울지않는벌새 : Security, Movie & Society

스카이프(Skype) 몸캠 사기에 사용되는 악성앱(APK) 살펴보기 (2014.9.14)

벌새::Analysis

네이버(Naver) 포털 사이트 검색 기록으로는 2013년 5월경부터 본격적으로 이루어지고 있는 것으로 추정되는 스카이프(Skype) 음성 및 영상 통화 서비스를 이용하여 불특정 다수를 대상으로 몸캠을 요구하는 사례가 있습니다.

상대방을 서로 모르는 상태에서 이루어지는 스카이프(Skype) 영상 통화는 익명의 여성이 자신의 몸을 보여주면서 상호 성적인 표현을 영상을 통해 이루어진다는 점에서 호기심과 성적으로 문제가 되는 남성들이 많이 당하고 있는 것으로 보입니다.

 

이런 영상 통화 과정에서 상대방은 영상 및 음성 녹화를 할 수 있으며, 메시지를 통해 추가적으로 제공하는 안드로이드(Android) 스마트폰을 대상으로 한 악성앱(APK) 설치로 인하여 추가적인 피해가 이루어질 수 있습니다.(※ 대표적인 악성앱 파일명 : The Best Skype 1.0.1.apk, 음성지원.apk, skype sound.apk 등)

 

이에 Skype 몸캠 사기에서 활용된 악성앱(SHA-1 : 9cd626ff6869d64e2f0f3eae3b863b9cae48a43d)을 이용하여 어떤 문제를 유발할 수 있는지 살펴보도록 하겠습니다.

Skype 메시지를 통해 전달된 악성앱을 다운로드 및 실행할 경우 "My Application 2" 이름의 앱 설치가 이루어집니다.

  • android.permission.RECEIVE_SMS
  • android.permission.SEND_SMS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.VIBRATE
  • android.permission.INTERNET
  • android.permission.READ_CONTACTS
  • android.permission.READ_PHONE_STATE
  • com.android.launcher.permission.UNINSTALL_SHORTCUT
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.CALL_PHONE
  • android.permission.READ_CALL_LOG
  • android.permission.RECORD_AUDIO
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.ACCESS_FINE_LOCATION
  • android.permission.ACCESS_COARSE_LOCATION
  • android.permission.GET_ACCOUNTS

해당 악성앱이 요구하는 권한을 살펴보면 SMS 문자 메시지 수신/발신/읽기/쓰기, 연락처 읽기/쓰기, 통화 기록 읽기, 음성 녹음, SD카드 쓰기 권한 등을 통해 민감한 개인 정보를 수집하여 외부로 유출할 수 있을 것으로 판단됩니다.

설치된 악성앱은 "My Application 2" 애플리케이션 바로가기 아이콘을 생성할 수 있으며, 경우에 따라서는 최초 실행 후 바로가기 아이콘은 삭제 처리하여 사용자가 설치 여부를 눈치채지 못하게 할 수 있습니다.

해당 악성앱이 설치된 환경에서는 스마트폰 동작시마다 일본(Japan)에 위치한 "www7070ui.sakura.ne.jp (133.242.152.84)" C&C 서버의 BBS 게시판에 정보를 전송하도록 구성되어 있습니다.

실제로 테스트 당시 해당 IP 서버 게시판으로 다양한 정보를 수집하여 전송되는 모습을 확인할 수 있었습니다.

수집되는 정보를 살펴보면 음성 녹음 파일, 기기 정보, 구글(Google) 메일 계정, SMS 문자 메시지, 연락처, 저장된 영상 및 사진 파일 등 민감한 개인 식별 정보가 C&C 서버 게시판에 등록될 수 있습니다.

실제 공격자가 운영하는 서버를 살펴보면 그누보드4 BBS 게시판을 활용하고 있으며, 일부 감염된 스마트폰으로부터 정보가 기록되고 있는 모습을 실시간으로 확인할 수 있었습니다.

이렇게 감염된 악성앱은 "My Application 2" 애플리케이션으로 실행 중이므로 만약 실행 중인 앱 중에 동일한 이름이 존재한다면 권한을 확인하여 서비스 실행을 중지하시기 바랍니다.

삭제는 설치된 앱 중에서 "My Application 2" 항목을 찾아 강제 종료 및 제거 버튼을 클릭하여 삭제를 진행하시기 바라며, 만약 그대로 설치가 유지된 경우에는 지속적으로 외부로 민감한 개인 정보가 유출될 수 있으므로 앱 삭제 또는 공장 초기화를 권장합니다.

 

하지만 스카이프(Skype) 몸캠 사기에 당한 피해자들이 가장 많이 궁금해하는 것이 자신이 설치된 악성앱 삭제만 하면 안전한지 문의를 하는 경우가 많은데 악성앱 삭제는 스마트폰에 저장된 정보 유출이 더 이상 이루어지지 않도록 하는 것 뿐입니다.

 

이미 설치 및 실행하는 행위만으로도 기존에 저장된 정보는 충분히 외부로 유출될 수 있으며, 수집된 연락처 정보를 기반으로 상당한 금전적 협박이 이루어질 수 있으며 연락처에 존재하는 다른 지인들에게 녹화된 영상 및 민감한 개인 정보를 유포하여 피해를 유발할 수 있다는 점을 명심하시기 바랍니다.

실제 최근에 음란 사진 유포와 관련된 협박을 받던 남성이 자살한 사건이 발생하였을 정도로 사회적 문제가 된다는 점에서 호기심이라도 스마트폰을 통해 수치스러운 행위를 하지 않도록 주의하시기 바랍니다.