울지않는벌새 : Security, Movie & Society

우체국 소포, 택배를 사칭한 스미싱(Smishing) 문자 주의 (2014.9.23)

벌새::Analysis

최근에 많이 이용되는 우체국 등기 소포, 선물 택배 스미싱(Smishing) 문자를 이용한 안드로이드(Android) 악성앱에 대해 살펴보도록 하겠습니다.

유사한 악성앱과 관련된 세부적인 정보는 안랩(AhnLab) 분석 정보를 함께 참고하여 피해를 당하지 않도록 주의하시기 바랍니다.

대표적인 스미싱(Smishing) 문자는 "☆[우체국]☆동기소포배송불가주소지확인 http://rz9.de/****" 또는 "선물 택배로 보냈어 확인해봐 http://rz9.de/****"와 같은 단축 URL 주소가 포함된 형태로 수신되어 접속을 유도하고 있습니다.

접속된 웹 사이트는 중국(China) IP 주소(192.151.226.69)를 포함하고 있으며, "스마트택배 택배조회&자동알림" 페이지에 제시된 안드로이드와 아이폰용 앱을 설치하도록 유도하고 있습니다.(※ 안드로이드와 아이폰 버튼은 모두 동일한 페이지로 연결되며 아이폰(iPhone)용 악성앱은 실제로 존재하지 않습니다.)

 

이를 통해 "자동입력방지 문자를 입력해주세요."라는 메시지를 통해 제시된 4자리 숫자를 입력하면 "copy.com" 클라우드 저장 서비스에서 악성앱 다운로드가 진행되는 구조입니다.(※ 제시된 자동 입력 방지 문자(CAPTCHA)는 임의의 4자리 숫자만 입력하여도 파일 다운로드가 이루어지는 형식적인 단계입니다.)

  • h**ps://copy.com/arRK******AKNmnl/EMS.apk (SHA-1 : 965c8ef816219efe898deb5968d2bd4e2f761e26) - AhnLab V3 모바일 : Android-Malicious/Bankun (VT : 18/54)

  • android.permission.VIBRATE
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.SEND_SMS
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.WRITE_SETTINGS
  • android.permission.READ_PHONE_STATE
  • android.permission.CALL_PHONE
  • android.permission.READ_CALL_LOG
  • android.permission.WRITE_CALL_LOG
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.UPDATE_APP_OPS_STATS
  • android.permission.GET_TASKS
  • android.permission.VIBRATE
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.WAKE_LOCK

다운로드된 EMS.apk 악성앱을 설치하면 "google app store" 이름으로 설치가 진행되며, 주요 권한을 살펴보면 SMS 문자 메시지 읽기/쓰기/수신/발신, 주소록(연락처) 읽기/쓰기, 통화 기록 읽기/쓰기, 실행 작업 체크를 통한 특정 프로세스 종료 기능 등 다양한 권한을 요구하고 있습니다.

악성앱 설치가 완료된 후에는 바탕 화면에 "Play 스토어"와 동일한 아이콘 모양을 가진 "google app store" 바로가기 아이콘이 생성되며 사용자가 앱을 실행할 경우 바로가기 아이콘을 자동 삭제 처리하여 자신을 숨깁니다.

악성앱 실행 후의 단계에서는 "최신버전을 업데이트 해주세요"라는 화면이 생성되며, 사용자가 "확인" 버튼을 클릭한 후에는 주기적으로 다음과 같은 동작이 수행될 수 있습니다.

감염된 안드로이드(Android) 스마트폰에 금융앱이 설치되어 있는 경우 함께 설치될 수 있는 "AhnLab V3 Mobile Plus 2.0" 모바일 백신을 검색하여 "android.permission.KILL_BACKGROUND_PROCESSES" 권한을 이용하여 애플리케이션 제거를 시도하는 화면이 지속적으로 생성될 수 있습니다.

  • 표적이 되는 금융앱 : NH 스마트뱅킹(nh.smart), 신한S뱅크(com.shinhan.sbanking), 우리은행 원터치개인뱅킹(com.wooribank.pib.smart), KB국민은행 스타뱅킹(com.kbstar.kbbank), 하나N Bank(com.hanabank.ebk.channel.android.hananbank), 새마을금고 스마트뱅킹(com.smg.spbs), 스마트뱅크(com.keb.android.mbank), 우체국 스마트뱅킹(com.epost.psf.sdsi), IBK ONE뱅킹 개인(com.ibk.neobanking)

해당 악성앱의 주요 기능을 살펴보면 감염된 스마트폰에 존재하는 금융앱 9종에 대해 악의적 기능을 수행할 수 있습니다.

또한 스마트폰에 저장되어 있는 공인인증서 파일(/mnt/sdcard/temp, /mnt/sdcard/NPKI)을 ZIP 압축 파일로 저장하여 중국(China)에서 서비스하는 126.com 메일 서버로 전송을 시도합니다.

실제 동작을 살펴보면 감염으로 인하여 "AhnLab V3 Mobile Plus 2.0" 모바일 백신이 삭제된 후에 금융앱을 실행할 경우 첫 화면에는 마치 정상적으로 "AhnLab V3 Mobile Plus 2.0" 모바일 백신이 실행되고 있는 것처럼 눈속임을 하고 있습니다.

이후에는 "최신 업데이트가있습니다 설치후 서비스이용하십시오!"라는 메시지 창을 생성하여 자동으로 "업그레이드 패키지를 다운로드, 양해 해주시기 바랍니다."라는 내용과 함께 업데이트가 이루어지는 화면이 보여집니다.

 

업데이트가 완료된 후에는 공지사항을 통해 "금융감독당국 정책에 의거 전 금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스 전면시행(의무화)을 아래와 같이 안내하오니,사전에 연락처 정비 및 서비스 가입을 부탁드립니다. 전면시행일:2014년 9월26일(예정)연락처 정비 및 서비스를 미가입한 경우 본인확인절차 강화대상금융거래가 중단될 수 있습니다."라는 허위 정보를 통해 금융 정보를 입력하는 단계로 연결됩니다.

실제 수집되는 금융 정보는 아이디(ID), 이름, 계좌 번호, 계좌 비밀번호, 공인인증서 비밀번호, 주민등록번호, 보안 카드 전체 번호 등이 포함될 수 있으며, 이들 정보는 공인인증서와 함께 126.com 메일 서버로 전송됩니다.

또한 해당 악성앱은 중국(China)에 위치한 "192.151.226.133:80" IP 서버에서 추가적인 악성앱 다운로드가 이루어질 수 있는 것으로 추정되고 있습니다.

테스트 당시에는 중국(China)에서 제공하는 동적 DNS 서비스의 "mvbedx.vicp.co" 서버와 통신을 시도하고 있는 것을 확인할 수 있었습니다.

그러므로 위와 유사한 악성앱에 감염된 스마트폰 사용자는 애플리케이션 목록 중 "google app store" 설치 여부를 확인하여 "강제 종료" "제거" 버튼을 클릭하여 삭제하시기 바랍니다.

 

또한 스미싱(Smishing) 문자를 통해 악성앱에 감염된 경우에는 추가적으로 다음과 같은 보안 조치를 수행하시길 권장합니다.

  • 모바일 백신을 이용하여 정밀 검사를 수행하여 추가적인 악성앱 감염 여부를 확인하시기 바랍니다.
  • 스마트폰에 공인인증서가 존재할 경우 폐기하시기 바라며, 보안 카드와 공인인증서를 재발급 받으시기 바랍니다.
  • 은행 사이트에서 사용하는 비밀번호(공인인증서, 출금, 계좌)를 변경하시기 바랍니다.
  • 전송된 문자 메시지를 확인하여 가까운 지인들에게 유사한 스미싱(Smishing) 문자가 전송된 경우 연락을 통해 링크 클릭을 하지 않도록 알리시기 바랍니다.

안드로이드(Android) 스마트폰 사용자를 대상으로 한 스미싱(Smishing) 문자를 이용한 악성앱 유포 공격은 절대로 사라지지 않는 방식이므로 보안에 자신이 없는 사용자는 아이폰(iPhone)으로 기기를 변경하시길 권장하며, 반드시 모바일 백신 및 스미싱 감시 기능을 제공하는 보안앱을 함께 사용하시기 바랍니다.