울지않는벌새 : Security, Movie & Society

스미싱(Smishing) 문자를 통한 "Google Services Framework" 악성앱 설치 주의 (2014.6.8)

벌새::Analysis

최근 악성앱에 감염된 안드로이드(Android) 스마트폰을 통해 불특정 다수를 대상으로 드롭박스(Dropbox)에 등록된 악성앱 다운로드를 유도하는 스미싱(Smishing) 문자를 발송하여 금전적 피해를 유발하는 것으로 확인되고 있습니다.

  • h**ps://www.dropbox.com/s/(영문+숫자)/117.18.73.226.apk?dl=1 (olleh.com) - (SHA-1 : 49b539ce7174bc6c6bbeeae4b85f4d69e98a6175) - AhnLab V3 : Android-Malicious/HijackBank, avast! : Android:Banker-AR [Trj] (VT : 15/51)
  • h**ps://www.dropbox.com/s/(영문+숫자)/korean.apk?dl=1 (olleh.com)
  • h**ps://www.dropbox.com/s/(영문+숫자)/naver.apk?dl=1 (olleh.com)
  • h**ps://www.dropbox.com/s/(영문+숫자)/naver1.apk?dl=1 (olleh.com)
  • h**ps://www.dropbox.com/s/(영문+숫자)/124.248.222.98.apk?dl=1 (olleh.com)

확인된 스미싱(Smishing) 문자의 패턴은 특별히 문구없이 드롭박스(Dropbox) 다운로드 URL 주소만 포함되어 있으며, 최종적으로 다운로드되는 악성 apk 파일명은 지속적으로 변경되는 것으로 보입니다.

android.permission.READ_SMS
android.permission.WRITE_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.INTERNET
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.UPDATE_APP_OPS_STATS
android.permission.GET_TASKS
android.permission.VIBRATE
android.permission.KILL_BACKGROUND_PROCESSES

다운로드된 악성앱을 설치해보면 "Google Services Framework" 이름의 애플리케이션을 설치 시도하며, 권한을 살펴보면 SMS 문자 읽기/쓰기/수신/발신, 연락처 접근, 부팅시 자동 실행, 프로세스 종료 등의 다양한 기능을 수행할 수 있습니다.

 

"Google Services Framework" 악성앱 설치가 완료된 후 실행을 할 경우 기기 관리자 활성화(android.permission.BIND_DEVICE_ADMIN)를 요구하며 활성화시 다음과 같은 악의적 기능을 수행합니다.

최초 "Google Services Framework" 악성앱 설치시 바탕 화면에 "Google Services" 바로가기 아이콘이 생성되며, 사용자가 기기 관리자 활성화를 한 경우 해당 바로가기 아이콘은 삭제 처리되어 백그라운드 방식으로 동작합니다.

원래 안드로이드(Android) 스마트폰의 기본 애플리케이션에서는 "Google Services Framework" 앱이 설치되어 있으며, 스미싱(Smishing) 문자를 통해 설치된 "Google Services Framework" 악성앱은 동일한 이름으로 구성하여 사용자의 눈을 속이고 있습니다.

 

참고로 "Google Services Framework" 정상앱과 악성앱을 구분할 수 있는 방법 중에서는 악성앱은 다운로드하여 설치된 구조상 "제거" 버튼이 표시된다는 점입니다.

"Google Services Framework" 악성앱이 설치된 후에는 홍콩(Hong Kong)에 위치한 "117.18.73.226:80" C&C 서버로 IMEI 번호를 비롯한 기기 정보와 네트워크 구성값, 세션, 디바이스ID 등의 고유 정보를 전송합니다.

감염된 스마트폰에서는 GoogleSyncServiceB 서비스 이름으로 자동 실행되며, "Google Services Framework (com.vivaclao.syncservice)" 프로세스 이름을 통해 감염 여부를 확인할 수 있습니다.

실행된 악성앱은 "android.permission.KILL_BACKGROUND_PROCESSES" 권한을 이용하여 실행 중인 AhnLab V3 Mobile Plus 2.0 모바일 백신의 프로세스 패키지 이름(com.ahnlab.v3mobileplus)을 찾아 종료 시도합니다.

또한 알림창을 생성하여 "새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다." 메시지를 통해 추가적인 악성앱 다운로드 및 설치를 유도할 수 있습니다.

이를 통해 최종적으로 농협(nh.smart), 신한은행(com.shinhan.sbanking), 우리은행(com.webcash.wooribank), 국민은행(com.kbstar.kbbank), 하나은행(com.hanabank.ebk.channel.android.hananbank), 우체국(com.epost.psf.sdsi), 기업은행(com.ibk.neobanking), 새마을금고(com.smg.spbs), 시티은행(com.kftc.citismb), 스탠다드차타드은행(com.sc.danb.scbankapp), 부산은행(com.areo.bs)을 표적으로 악성 스마트뱅킹앱을 설치하여 금융 정보 탈취를 통해 금전적 피해를 유발할 수 있습니다.

또한 "117.18.73.226:80" C&C 서버와 지속적인 통신을 통해 공격자의 추가적인 명령을 받아 악의적인 기능을 수행할 수 있을 것으로 판단됩니다.

 

그 외에도 감염된 스마트폰 환경에서는 주소록에 등록된 전화번호로 유사한 스미싱(Smishing) 문자를 발송하여, 문자를 수신한 사람들은 알고 있는 번호로 수신된 문자이기에 의심없이 악성앱을 설치하도록 할 수 있으므로 타인에게 금전적 피해를 주지 않도록 각별히 주의하시기 바랍니다.

설치된 "Google Services Framework" 악성앱은 기기 관리자 권한을 가지고 있으므로 삭제 버튼이 비활성화되어 삭제가 어려우므로, 반드시 기기 관리자에서 "Google Services Framework" 항목을 찾아 비활성화한 후 삭제를 진행하시기 바라며, 추가적으로 모바일 백신을 이용하여 정밀 검사를 하시길 권장합니다.

 

사회적 이슈, 감염된 스마트폰을 이용한 스미싱(Smishing) 문자 발송을 통해 악성앱 유포 활용 등을 통해 스마트뱅킹을 표적으로 하거나 민감한 개인정보 수집을 통한 협박 등이 발생할 수 있으므로 문자로 전송되는 URL 링크를 클릭하여 악성앱을 설치하는 일이 없도록 하시기 바랍니다.

 

또한 이러한 스미싱(Smishing) 문자로 피해를 보았거나 감염에 대한 막연한 불안감이 있으신 분들은 안드로이드(Android) 스마트폰을 사용하지 마시고 아이폰(iPhone)으로 기기를 교체하시기 바랍니다.