울지않는벌새 : Security, Movie & Society

가짜 신고민원포털 사이트를 이용한 사이버경찰청 악성앱 유포 주의 (2014.6.12)

벌새::Analysis

스미싱(Smishing) 문자를 통해 경찰청에서 운영하는 가짜 신고민원포털 웹 사이트로 접속을 유도하여 안드로이드(Android) 스마트폰을 대상으로 한 악성앱을 유포하는 사례가 추가로 확인되었습니다.

신고민원포털을 이용한 악성앱 유포의 대표적인 특징은 이전과 마찬가지로 "자동 입력 방지 문자" 기능(CAPTCHA)을 통해 스미싱(Smishing) 감시 보안앱의 탐지를 우회하고 있으므로 참고하시기 바랍니다.

○○○님[사이버경찰청]사이버수사 인터넷 악플
명예훼손,협박죄로(진정성)확인> bit.do/*****

대표적인 스미싱(Smishing) 문자는 사이버경찰청에서 인터넷 악플 관련 수사와 관련된 내용으로 구성되어 있으며, 제시된 단축 URL 주소를 통해 가짜 신고민원포털 웹 사이트로 연결됩니다.

연결된 가짜 신고민원포털 사이트의 특징은 "*****.oicp.net" 도메인 주소로 등록되어 있으며, 이번에 확인된 사이트는 홍콩(Hong Kong)에 위치한 "210.209.116.226" 서버에 등록되어 있습니다.

 

또한 해당 사이트에서는 "서류 접수 확인" 버튼을 클릭하여 악성앱 다운로드를 시도하고 있으며, "해제는 일주일이내 임의대로 삭제시 사용중지"라는 번역기로 작성한 것으로 보이는 문구가 포함되어 있습니다.

접속자가 "서류 접수 확인" 버튼을 클릭할 경우 랜덤(Random)한 자동 입력 방지 문자(CAPTCHA)가 제시되며, 실제로는 임의의 4자리 숫자만 입력하여도 정상적으로 다운로드 되는 구조입니다.

다운로드된 사이버경찰청.apk 악성앱<SHA-1 : 6225b6cf3b223f0c91d1e707707c8b8f574101f2 - AhnLab V3 : Android-Malicious/Bankun, 알약(ALYac) : Trojan.Android.KRBanker (VT : 23/54)>은 드롭박스(Dropbox)에 등록되어 있습니다.

android.permission.ACCESS_WIFI_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.WAKE_LOCK
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_PHONE_STATE
android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.MODIFY_PHONE_STATE
android.permission.CALL_PHONE
android.permission.WRITE_CONTACTS
com.android.launcher.permission.INSTALL_SHORTCUT
com.android.launcher.permission.UNINSTALL_SHORTCUT
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RESTART_PACKAGES
android.permission.GET_TASKS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.SYSTEM_ALERT_WINDOW
android.permission.READ_LOGS
android.permission.VIBRATE
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE

다운로드된 악성앱을 설치할 경우 "사이버경찰청" 앱으로 표시되며 연락처 및 SD카드 접근, SMS 문자 수신/발신, 전화 통화 제어, 바로가기 아이콘 생성/삭제, 실행 중인 애플리케이션 검색 등 다양한 퍼미션(권한)을 요구하고 있습니다.

설치가 완료된 시점에서는 "사이버경찰청" 바로가기 아이콘이 생성되며 사용자가 설치된 악성앱을 실행할 경우 백그라운드 방식으로 동작하면서 바로가기 아이콘은 자동 삭제 처리합니다.

"사이버경찰청" 악성앱 실행시에는 기기 관리자 권한을 활성화(android.permission.BIND_DEVICE_ADMIN)하여 사용자가 애플리케이션 삭제를 방해하고 있습니다.

실행된 앱은 "사이버경찰청" 이름으로 등록되어 있으며 "com.cyber110.police110.CoreService" 서비스 이름으로 자동 실행됩니다.

감염된 스마트폰은 연락처에 등록된 정보를 기반으로 유사한 스미싱(Smishing) 문자를 발송하여 주변 사람들이 악성앱에 감염되도록 유도할 수 있습니다.

또한 감염된 스마트폰에 설치된 모바일뱅킹 앱을 검색하여 정보를 특정 C&C 서버로 전송하도록 제작되어 있습니다.

만약 모바일뱅킹 앱이 설치된 스마트폰의 경우 강제로 삭제를 하며, "새로운 업데이트가 있습니다. 보다 더 안전한 스마트뱅킹을 사용하기위하여  최신버전을 다운받으시기 바랍니다."와 같은 메시지 창을 생성하여 악성앱 다운로드를 유도할 수 있습니다.

이를 통해 홍콩(Hong Kong)에 위치한 "iii137300.eicp.net (113.10.137.144)" C&C 서버에서 가짜 모바일뱅킹 악성앱을 다운로드를 시도합니다.

 

이번 악성앱의 경우에는 농협(nh.smart), 신한은행(com.shinhan.sbanking), 하나은행(com.hanabank.ebk.channel.android.hananbank), 우리은행(com.webcash.wooribank)을 표적으로 하고 있으며, 해당 모바일뱅킹이 설치되어 있는 경우 다음과 같은 악성앱을 추가로 다운로드할 수 있습니다.

  • 농협 : KR_NHBank.apk (SHA-1 : c168d50179ba4b9611cdae433c90fb36f9db7317) - AhnLab V3 : Android-Malicious/SMSstealer, 알약(ALYac) : Trojan.Android.KRBanker (VT : 26/54)
  • 신한은행 : KR_SHBank.apk (SHA-1 : c51a3d1f5135e799f748c9bdbf37f4bd8e0e083e) - avast! : Android:Agent-AXX [Trj], 알약(ALYac) : Trojan.Android.KRBanker (VT : 19/54)
  • 하나은행 : KR_HNBank.apk (SHA-1 : 2f4b9d6afb247dbf58202eac62801421b838981d) - AhnLab V3 : Android-Malicious/Bankun, 알약(ALYac) : Trojan.Android.KRBanker (VT : 25/54)
  • 우리은행 : KR_WRBank.apk (SHA-1 : 18511f4d892d723368ff93f55fda5f8eebf982ef) - Kaspersky : HEUR:Trojan-Banker.AndroidOS.Tebak.a, 알약(ALYac) : Trojan.Android.KRBanker (VT : 18/54)

이렇게 설치된 모바일뱅킹 악성앱은 홍콩(Hong Kong)에 위치한 "58.64.176.105" C&C 서버로 금융 정보와 공인인증서 파일을 전송할 수 있을 것으로 추정됩니다.(※ 로그인 페이지를 봐서는 한국인이 운영하는 것으로 보입니다.)

다시 사이버경찰청 악성앱으로 돌아와서 감염된 스마트폰은 20초 주기로 C&C 서버와 통신을 시도하며, 수신된 정보를 기반으로 SMS 문자 발송 및 추가 다운로드를 진행할 수 있을 것으로 판단됩니다.

참고로 C&C 서버는 중국 사이버 범죄 조직이 운영하고 있으며, kbs.php 값으로 유추해보면 취약점(Exploit) 기반으로 PC를 감염시켜 인터넷뱅킹 정보를 탈취하는 조직이 모바일 환경으로 확장된 것을 알 수 있습니다.

사이버경찰청 악성앱에 감염된 환경에서는 애플리케이션에서 삭제할 수 없도록 설정되어 있으므로, 기기 관리자 메뉴에서 사이버경찰청 항목을 비활성화한 후 삭제를 시도하시기 바랍니다.

 

또한 감염된 스마트폰에 모바일뱅킹앱이 설치되어 있던 경우에는 반드시 모바일 백신을 이용하여 정밀 검사를 하시기 바라며, 공인인증서 및 보안 카드는 모두 폐기하시고 재발급 받으시기 바랍니다.

 

마지막으로 다양한 스미싱(Smishing) 문자 또는 감염된 주변인으로부터 전달되는 앱 설치로 인해 금전적 피해를 유발할 수 있으므로 안드로이드(Android) 보안 관리에 자신이 없는 경우에는 아이폰(iPhone)으로 기기를 변경하시길 권장합니다.