울지않는벌새 : Security, Movie & Society

자동 입력 방지 문자가 포함된 서울지방경찰청 위장 악성앱 주의 (2014.6.5)

벌새::Analysis

2013년 5월경부터 스미싱(Smishing) 문자를 이용한 악성앱 다운로드를 감시하는 보안앱을 우회할 목적으로 등장한 자동 입력 방지 문자(CAPTCHA)가 포함된 유포 사례가 발견되고 있습니다.

이번에 확인된 유포 사례는 스미싱(Smishing) 문자를 통해 서울지방경찰청 웹 사이트처럼 제작된 피싱(Phishing) 사이트로 접속을 유도하여 악성앱 다운로드를 유도하며, 이 과정에서 자동 입력 방지 문자(CAPTCHA)가 포함된 부분을 살펴보도록 하겠습니다.

ㅇㅇㅇ님[서울경찰]사이버수사 인터넷악플
명예훼손,협박죄로(진정서)확인 h**p://bit.do/****

확인된 스미싱(Smishing) 문자에서는 사이버수사대에서 인터넷 악플 관련 신고에 따른 진정서 확인을 위한 단축 URL 주소를 통해 다음과 같은 사이트로 접속을 유도하고 있습니다.

연결된 웹 사이트는 사이버경찰청 웹 사이트처럼 구성된 피싱(Phishing) 사이트로 "불친절/인권침해 제보" 페이지에서 서류 접수를 확인하는 버튼을 통해 악성앱을 다운로드하도록 구성되어 있습니다.

 

참고로 해당 웹 사이트 홍콩(Hong Kong)에 위치한 "korsmpanzte.wicp.net (210.209.117.67)" 도메인으로 연결되고 있었습니다.

다운로드 과정에서는 4자리로 구성된 "자동 입력 방지 문자"를 확인하여 입력시에만 다운로드가 이루어지도록 제작되어 있습니다.

구현된 코드는 일반적으로 기계적인 로그인을 예방할 목적으로 추가되는 인증 방식으로 유명한 캡차(CAPTCHA) 코드 구현에 사용되고 있으며, 앞서 언급한 것처럼 스미싱(Smishing) 감시 보안앱을 우회할 목적으로 포함되어 있습니다.

제시된 코드 입력을 통해 실제 앱 다운로드가 진행되면 특정 드롭박스(Dropbox)에 등록된
Police-smpa.apk.apk 악성앱<SHA-1 : afd9044387b0dd43d16e6f763494f72a92040529 - AhnLab V3 : Android-Malicious/Bankun, 알약(ALYac) : Trojan.Android.KRBanker (VT : 19/51)>이 다운로드됩니다.

android.permission.ACCESS_WIFI_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.WAKE_LOCK
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_PHONE_STATE
android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.MODIFY_PHONE_STATE
android.permission.CALL_PHONE
android.permission.WRITE_CONTACTS
com.android.launcher.permission.INSTALL_SHORTCUT
com.android.launcher.permission.UNINSTALL_SHORTCUT
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RESTART_PACKAGES
android.permission.GET_TASKS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.SYSTEM_ALERT_WINDOW
android.permission.READ_LOGS
android.permission.VIBRATE
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE

다운로드된 악성앱을 실행하면 "서울지방경찰청"이라는 이름으로 설치를 시도하며, 권한을 확인해보면 연락처 접근, SMS 메시지 수신/발송, 오디오 설정 변경, 실행 중인 애플리케이션 검색, 바로가기 설치/제거, 부팅시 자동 실행 등 다양한 기능이 포함되어 있습니다.

서울지방경찰청 악성앱 설치가 완료된 상태에서는 "서울지방경찰청" 바로가기 아이콘이 생성되며 사용자가 아이콘을 클릭할 경우 바로가기 아이콘은 삭제 처리되어 자신을 숨깁니다.

이 과정에서 "서울지방경찰청" 악성앱은 기기 관리자 활성화 권한을 요구하며 사용자가 활성화할 경우 백그라운드 방식으로 동작하며 애플리케이션에서 삭제를 쉽게 할 수 없도록 합니다.

정상적으로 실행된 환경에서는 CoreService 서비스 이름으로 등록된 "서울지방경찰청" 이름으로 안드로이드(Android) 스마트폰 실행시 자동 실행됩니다.

실행된 악성앱은 "korsmopafdfw.wicp.net" C&C 서버와 통신을 시도하며, 최초 유포 당시에는 정상적으로 연결되었지만 게으른 관계로 나중에 확인해보니 연결이 이루어지지 않고 있습니다.

 

이에 코드를 기반으로 어떤 동작이 발생할 수 있는지에 대해 간단하게 살펴보도록 하겠습니다.

감염된 환경에서 "새로운 업데이트가 있습니다. 최신버전으로 보안강화 하시기 바랍니다.", "새로운 업데이트가 있습니다. 보다 더 안전한 스마트뱅킹을 사용하기 위하여 최신버전을 다운받으시기 바랍니다."와 같은 경고 메시지창을 생성할 수 있습니다.

이를 통해 스마트폰에 정상적인 뱅킹앱(농협, 신한은행, 하나은행, 우리은행)이 존재할 경우 다운로드된 악성앱(KR_NHBank.apk, KR_SHBank.apk, KR_HNBank.apk, KR_WRBank.apk)을 다운로드하여 바꿔치기를 수행합니다.

 

이렇게 변경된 금융앱을 통해 모바일뱅킹을 이용할 경우에는 과도한 금융 정보를 요구하여 탈취된 정보를 바탕으로 금전적 피해를 유발할 수 있습니다.

가짜 뱅킹앱을 다운로드할 수 있는 "서울지방경찰청" 악성앱을 삭제하기 위해서는 기본적으로 기기관리자 권한으로 동작하므로 제거가 이루어지지 않습니다.

그러므로 먼저 기기 관리자 메뉴에서 "서울지방경찰청" 악성앱을 비활성화한 후 애플리케이션에서 해당 앱을 찾아 제거를 하시기 바라며, 모바일 백신을 통해 추가적으로 정밀 검사를 받으시길 권장합니다.

 

또한 감염된 스마트폰에 모바일뱅킹 앱이 설치된 경우에는 모두 삭제를 한 후 기존의 공인인증서와 보안 카드는 폐기하여 재발급을 받는 것이 가장 안전합니다.

 

이처럼 모바일뱅킹을 표적으로 한 악성앱은 기존에 설치된 정상적인 금융앱을 삭제하고 가짜앱으로 교체하여 사용자의 눈을 속이고 있으며, 기본적으로 스미싱(Smishing) 문자를 통해 앱을 다운로드할 때 자동 입력 방지 문자(CAPTCHA)를 입력하도록 하는 경우는 악성앱이라고 판단하시는 것이 좋습니다.