울지않는벌새 : Security, Movie & Society

데이터 용량 초과 요금 청구서 확인 스미싱(Smishing) 문자 주의 (2014.10.3)

벌새::Analysis

최근(2014년 9월 30일) 불특정 다수에게 "데이터 용량 초과 요금 청구서 확인" 스미싱(Smishing) 문자를 전파하여 링크를 통해 다운로드되는 안드로이드(Android) 스마트폰을 표적으로 한 악성앱 설치가 확인되었습니다.

실제 확인된 메시지 내용은 "데이터 용초과요금청구서확인: {www.955.cc/a7A**}" 문구로 되어 있었으며, 문자 내용에 포함된 링크(URL)를 클릭할 경우 다음과 같은 파일 다운로드가 자동으로 진행됩니다.

링크를 통해 연결된 일본(Japan)에 위치한 "60.148.120.16" IP 주소에서는 "downloading after 3 second ..." 메시지와 함께 자동으로 악성 APK 파일이 다운로드되었으며, 특이한 점은 다운로드 링크에 "apk?=m.naver.com" 문자열이 포함되어 있습니다.

  • Upload__hideIcon_2014.09.30.apk (SHA-1 : d9d594bd0df074eaa1f68cd50a598bedd7cac5ae) - 알약(ALYac) 모바일 : Trojan.Android.SMS.Stech

  • android.permission.MOUNT_UNMOUNT_FILESYSTEMS
  • android.permission.WRITE_EXTERNAL_STORAGE

다운로드된 악성 APK 파일을 실행할 경우 알약(ALYac) 아이콘 모양의 "SlientInstall" 애플리케이션 설치를 시도하며, 요구하는 권한 중에서는 파일 시스템 마운트 및 마운트 해제 권한이 포함되어 있는 것이 특징입니다.

설치가 완료된 "SlientInstall" 악성앱을 실행할 경우 첫 화면에서는 "슈퍼유저 권한 요청" 창이 생성되어 권한을 획득할 경우 다양한 명령에 따라 기능을 수행할 수 있으며, 이번 사례의 경우 대표적으로 추가적인 악성앱을 사용자 동의없이 자동 설치할 수 있습니다.

 

그러므로 애플리케이션 설치시 슈퍼유저 권한을 요청하는 앱의 경우 일반적인 앱에서는 권한을 요청하는 일이 거의 없으므로 함부로 허용하지 않도록 매우 주의하시기 바랍니다.

 

1. 슈퍼유저 권한 요청 허용시

슈퍼유저(SuperUser) 권한을 획득한 경우 com.android.sinstall 패키지명을 가진 SlientInstall 악성앱은 루트(Root) 권한을 통해 Upload__hideIcon_2014.09.30.apk 악성앱 내부에 포함되어 있던 xxxxx.apk 악성앱(SHA-1 : 756ac368eccee2d694753d5cadc9af15823fad67 - AhnLab V3 Mobile : Android-Malicious/Narut, 알약(ALYac) 모바일 : Trojan.Android.SMS.Stech)을 사용자 몰래 자동 설치 및 실행합니다.

실제 코드를 살펴보면 파일 시스템 마운트 권한을 통해 SlientInstall 악성앱은 "/mnt/sdcard/apks/xxxxx.apk" 파일을 생성하여 앱 설치를 수행하도록 되어 있으며, 해당 동작은 화면상으로는 표시되지 않습니다.

사용자 몰래 추가적으로 자동 설치된 악성앱은 "Tel_SD" 이름을 가진 애플리케이션으로 설치시 기기 관리자 권한까지 자동으로 획득할 수 있습니다.

 

2. 슈퍼유저 권한 요청 거부시

만약 사용자가 다운로드된 악성 APK 파일을 실행하여 SlientInstall 악성앱에서 요구하는 슈퍼유저 권한 요청을 거부할 경우에는 알약(ALYac) 모양을 한 SlientInstall 악성앱을 1차적으로 설치합니다.

SlientInstall 악성앱 설치와 함께 자동으로 "/mnt/sdcard/apks/xxxxx.apk" 악성 파일을 생성합니다.(※ 슈퍼유저 권한 요청을 허용할 경우에는 xxxxx.apk 악성 파일 생성 후 사용자 몰래 자동 실행 및 설치가 이루어지며 이를 통해 "Tel_SD" 악성앱이 설치됩니다.)

 

이후 사용자가 알약(ALYac) 모양을 한 SlientInstall 악성앱을 직접 실행시 다음과 같이 화면상으로 표시되는 방식으로 Tel_SD 악성앱 설치를 유도할 수 있습니다.

  • android.permission.READ_PHONE_STATE
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.WRITE_SMS
  • android.permission.WAKE_LOCK
  • android.permission.SEND_SMS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.READ_CONTACTS
  • android.permission.CALL_PHONE
  • android.permission.PROCESS_OUTGOING_CALLS

Tel_SD 악성 애플리케이션이 요구하는 권한을 확인해보면 SMS 문자 메시지 읽기/수신/발신, 연락처 읽기, 자동 실행 등의 핵심적 권한을 확인할 수 있습니다.

또한 설치된 Tel_SD 악성앱은 기기 관리자 활성화를 요구하여 화면 잠금 기능을 제어하려고 합니다.

 

3. xxxxx.apk 악성앱(Tel_SD) 정보

스미싱(Smishing) 문자를 통해 다운로드된 Upload__hideIcon_2014.09.30.apk 악성앱을 살펴보면 내부에 xxxxx.apk 악성 파일이 포함되어 있으며, 해당 파일은 "gjaoun" 키값을 통해 복호화를 해야지 실제 기능을 확인할 수 있는 암호화되어 있습니다.

DES 암호화를 이용한 FakeApp 방식은 2014년 6월경에 이미 확인된 유포 사례가 있으며 DES 복호화를 한 후에는 정상적으로 내부 코드를 확인할 수 있습니다.

사용자 몰래 설치된 Tel_SD 악성앱은 중국(China)에 위치한 "smswatch.duapp.com" C&C 서버에 감염된 스마트폰의 SMS 문자 메시지 내용 전송 기능과 연락처 정보를 유출하는 기능이 포함되어 있습니다.

 

이를 통해 SMS 문자를 통해 수신한 OTP를 비롯한 인증 번호, 민감한 개인 사생활 정보 등이 외부로 유출될 수 있으며, 수집된 내용을 악용하여 유사한 스미싱(Smishing) 문자 전송을 통해 피해 유발 및 금전적 피해를 유발할 수 있습니다.

특히 해당 서버는 기존부터 다양한 스미싱(Smishing) 문자를 통해 설치되는 악성앱과 통신을 하였던 사례도 확인할 수 있었으므로 참고하시기 바랍니다.

 

4. 악성앱 제거 방법

기본적으로 Tel_SD 악성앱을 지속적으로 설치 유도할 수 있는 SlientInstall 악성앱은 알약(ALYac) 아이콘 모양을 하고 있으므로, 설치된 애플리케이션 목록에서 해당 앱을 찾아 "강제 종료 → 제거" 순서로 삭제를 진행하시기 바랍니다.

사용자 몰래 설치되어 SMS 문자 메시지 정보를 탈취할 수 있는 Tel_SD 악성앱은 기기 관리자 권한으로 실행되므로 애플리케이션 목록에서 제거 버튼이 비활성화된 상태로 유지됩니다.

 

그러므로 "기기 관리자" 메뉴에서 Tel_SD 항목의 체크를 해제한 후 설치된 애플리케이션 목록에서 Tel_SD 악성앱을 찾아 "강제 종료 → 제거" 순서로 삭제를 진행하시기 바랍니다.

 

여전히 스미싱(Smishing) 문자 메시지를 통해 악성앱 설치가 진행되는 안드로이드(Android) 스마트폰 사용자가 많다는 점에서 문자 메시지를 통해 APK 파일 다운로드 및 설치를 유도할 경우에는 무턱대고 실행하는 일이 없도록 하시기 바랍니다.

 

특히 감염된 스마트폰을 통해 스미싱(Smishing) 문자가 발송된다는 점에서 가까운 가족 및 친구들로부터 전송되는 링크가 포함된 문자 메시지는 더욱 주의하시기 바랍니다.