울지않는벌새 : Security, Movie & Society

유병언 관련 영상을 이용한 "Google Play" 악성앱 주의 (2014.7.26)

벌새::Analysis

2014년 4월 16일 발생한 세월호 침몰 사고 이후 100일이 지난 현재까지 대한민국의 총체적인 막장같은 현실을 피부로 느끼고 있는 와중에 유병언 이슈를 이용한 악성앱 유포가 트위터(Twitter)를 중심으로 이루어지고 있기에 관련 정보를 살펴보도록 하겠습니다.

해당 사회적 이슈를 이용한 악성앱 유포와 관련하여 경찰청 사이버 안전국에서는 상황을 전파하고 있으며, 현재 시점에서는 통신사를 통해 차단이 이루어지고 있는 것으로 판단됩니다.

확인된 트위터(Twitter) 계정은 KBS 기자 또는 유병언 비서라는 닉네임으로 활동하고 있으며, 다음과 같은 다양한 트윗을 통해 단축 URL 링크를 게시하고 있습니다.

[ 유병언] 비밀장부를 공개합니다 다운받어보세요
[ 유병언 비밀금고 공개 ] 비공개영상입니다 다운받어보세요
[ 유병언 금고 ] 비공개영상입니다 다운받어보세요
유병언 암살 유병언에 관한 모든것 영상으로 담아봣어요

트윗에 공개된 단축 URL 주소(h**p://is.gd/****PG)는 실제 또 다른 단축 URL 주소(h**p://t.co/cyf**kIV5x)로 연결되며, 해당 주소는 다시 트윗상에 노출된 주소를 경유하여 일본(Japan)에 등록된 특정 IP 주소에서 Googleplay.apk 파일<SHA-1 : 1e9b2ef5726117bfa3c512e83e32288abcc0ce52 - AhnLab V3 : Android-Malicious/SMSstealer (VT : 29/53)>을 다운로드하는 구조입니다.

android.permission.INTERNET
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.CALL_PHONE
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.READ_CALL_LOG
android.permission.WRITE_CALL_LOG
android.permission.ACCESS_NETWORK_STATE
android.permission.CHANGE_NETWORK_STATE
android.permission.PROCESS_OUTGOING_CALLS
android.permission.GET_TASKS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_EXTERNAL_STORAGE

다운로드된 Googleplay.apk 파일을 실행하면 "Google Play" 앱을 설치하도록 제작되어 있으며, 권한을 살펴보면 SMS 메시지 수신/읽기/발신, 연락처 읽기/쓰기, 경고창 생성, SD 카드 읽기/쓰기 등의 기능을 포함하고 있습니다.

"Google Play" 악성앱이 설치된 직후에는 바탕 화면에 바로가기 아이콘이 생성되며, 사용자가 실행을 통해 다음과 같이 기기 관리자 활성화(android.permission.BIND_DEVICE_ADMIN)를 진행한 경우에는 바로가기 아이콘이 제거되어 백그라운드 방식으로 동작합니다.

참고로 상당수의 악성앱은 설치 완료 후 실행시 기기 관리자 활성화를 요구하여 사용자가 설치된 애플리케이션을 삭제하지 못하게 하며, 화면 상에 표시하지 않도록 표시되지 않도록 동작하므로 함부로 활성화하지 않도록 주의하시기 바랍니다.

감염된 안드로이드(Android) 스마트폰 환경에서는 정상적인 "Google Play 서비스""Google Play" 악성앱을 쉽게 구분할 수 없다는 점을 이용하여 이름을 등록하고 있습니다.

설치된 "Google Play" 악성앱은 기본적으로 2개의 서비스(EmailService, MainService)와 1개의 프로세스(com.dfoe.dfodf)로 동작합니다.

"Google Play" 악성앱에 감염된 경우 사용자 스마트폰에 설치되어 있는 5개 금융앱<농협(nh.smart), 신한은행(com.shinhan.sbanking), 우리은행(com.webcash.wooribank), 국민은행(com.kbstar.kbbank), 하나은행(com.hanabank.ebk.channel.android.hananbank)>을 체크하여 경고창을 생성하여 추가적인 악성앱을 일본(Japan)에 위치한 "126.76.107.121" C&C 서버로부터 다운로드를 통해 바꿔치기를 시도할 수 있습니다.

또한 스마트폰에 저장된 공인인증서(/mnt/sdcard/NPKI)를 체크하여 존재시 ZIP 압축 파일로 저장하여 G메일(smtp.gmail.com) 계정<haohaoganhuo21@gmail.com, rkdls100@gmail.com, rlaxogud1001@gmail.com, zhongguokorean1@gmail.com, hudakj82@gmail.com, wlstb100@gmail.com, rkdls100@gmail.com, zhongguokorean2@gmail.com>으로 유출할 수 있습니다.

 

그 외에 대검찰청, 홈택스, 삼성카드, 삼성생명, 신용보증기금, 저축은행, 대출(대부) 업체 등 1,209개 전화번호를 모니터링하여 추가적인 악의적 기능을 수행할 수 있습니다.(※ 추가적인 조사 과정에서 해당 유포 조직은 보이스피싱을 통한 금전적 피해를 유발할 수 있는 부분도 발견하였으며 차후 관련 정보도 공개해 드리도록 하겠습니다.)

"Google Play" 악성앱이 설치된 경우 사용자가 애플리케이션을 중지 및 삭제할 수 없도록 비활성화 처리되어 있으므로, 다음과 같은 방식으로 기능을 중지하여 삭제하도록 하시기 바랍니다.

먼저 "기기 관리자" 메뉴에 등록된 "Google Play" 항목을 찾아 기기 관리자 권한을 비활성화하시기 바랍니다.

그 후 애플리케이션 메뉴에 등록된 "Google Play" 애플리케이션 항목을 선택하여 "사용 안 함" 버튼을 클릭한 후 기기를 재부팅하여 활성화된 "제거" 버튼을 클릭하여 삭제할 수 있습니다.

 

특히 금융앱이 설치되어 있던 스마트폰 기기인 경우에는 추가적으로 모바일 백신을 이용하여 정밀 검사를 통해 추가적으로 다운로드된 악성앱이 존재한지 확인하실 필요가 있습니다.

 

이번 악성앱 유포 사례와 같이 사회적 이슈를 이용한 스미싱(Smishing), SNS 게시글, 이메일 등 다양한 경로를 통해 안드로이드(Android) 스마트폰 기기의 감염을 노리는 공격이 지속적으로 발생할 수 있으므로 개인정보 유출 및 금전적 피해를 당하지 않도록 각별히 주의하시기 바랍니다.