울지않는벌새 : Security, Movie & Society

유명 모바일 게임 크랙을 이용한 백도어(Backdoor) 악성앱 유포 주의 (2014.11.14)

벌새::Analysis

Trend Micro 해외 보안 업체에서 국내 모바일 게임 사용자를 대상으로 한 안드로이드(Android) 악성앱을 유포한다는 정보가 공개되어 관련 정보에 대해 살펴보도록 하겠습니다.

이 글에서 소개하는 정보는 Trend Micro 보안 업체에서 공개한 정보를 토대로 일부분만 살펴보았으므로 상세한 정보는 링크 정보를 확인하시기 바랍니다.

 

사이버 범죄 조직은 유명 모바일 게임의 인앱 부분을 크랙(결제 크랙)하여 인터넷 상에서 배포되는 앱을 수집하여 내부에 추가적인 악의적 코드를 추가하여 리패키지를 통해 재배포를 하는 수법으로 많은 사람들이 다운로드하도록 유도하고 있습니다.

 

이로 인하여 다운로드된 악성앱은 실행시에는 정상적으로 크랙된 모바일 게임을 즐길 수 있는 반면 백그라운드 방식으로 정보 유출 및 추가적인 악성앱 다운로드 등의 악의적인 기능이 수행될 수 있습니다.

Trend Micro에서 공개한 정보에 따르면 국내 토렌트(Torrent) 파일 공유 사이트에 등록된 "인투 더 데드 v1.8.2 크랙 버전"으로 소개된 좀비 게임이 대표적인 악성앱 유포 사례라고 언급하고 있습니다.

해당 게시글은 2014년 8월 19일에 게시되어 있으며 토렌트(Torrent)를 이용하여 파일 다운로드를 진행해보면 33.6MB 용량의 Into_The_Dead_v1.8.2_crack.apk 파일<SHA-1 : 5ed0b669ad3454fc517281018f32e0bba83f3191 - 알약(ALYac) : Trojan.Android.Kosat, avast! : Android:FakeInst-AAE [Trj]>을 빠르게 다운로드 가능한 상태입니다.

다운로드된 "Into the Dead" 게임 크랙앱을 설치할 때 제시되는 권한을 확인해보면 일반적인 모바일 게임과는 다르게 과도한 권한을 요구하는 부분을 발견할 수 있습니다.

  • android.permission.READ_CONTACTS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.READ_CALENDAR
  • android.permission.READ_PHONE_STATE
  • android.permission.WRITE_SETTINGS
  • android.permission.SEND_SMS
  • android.permission.RECEIVE_BOOT_COMPLETED

그 중에서 연락처, SMS 문자 메시지, 캘린더 정보에 접근을 시도하며, 부팅시 "Into the Dead" 앱을 자동 실행하는 권한까지 포함되어 있습니다.

"Into the Dead" 게임 크랙앱이 설치된 환경에서 안드로이드(Android) 모바일 부팅 후에는 자동으로 게임이 백그라운드 방식으로 실행되는 동작을 확인할 수 있습니다.

이 과정에서 "Into the Dead" 게임 크랙앱은 해외 이메일 계정으로 수집된 정보를 유출할 수 있습니다.

 

또한 Trend Micro 정보에 따르면 공격자로부터 암호화된 명령 코드에 따라 유출 가능한 정보 및 동작은 통화 기록, 연락처 정보, 기기에 저장된 파일 목록 요청 및 파일 업로드/다운로드, 폴더 생성, 캘린더 이벤트 정보, SMS 문자 메시지 정보 등이 포함될 수 있습니다.

그러므로 토렌트(Torrent) 방식으로 "Into the Dead" 크랙앱을 다운로드하여 사용하는 사용자는 반드시 애플리케이션 목록에서 게임을 찾아 삭제하시기 바라며, 추가적으로 모바일 백신을 통해 정밀 검사를 하시길 권장합니다.

그 외에도 "캔디크러쉬사가 for Kakao v1.xx.0 크랙 버전" 등과 같은 유명 게임앱을 외부에서 결제 크랙하여 구글 드라이브(Google Drive)에 등록하여 유포하는 사례가 지속적으로 발견되고 있으며, 이런 비정상적인 게임앱을 실행할 경우 정보 유출 및 광고 생성 등의 악의적 기능이 포함되어 있을 수 있습니다.

 

특히 결제 크랙이 적용된 모바일 게임앱을 모바일 백신에서 진단할 경우 크랙(Crack)은 백신에서 진단한다는 선입견으로 인하여 진단을 무시하는 사용자의 잘못된 습관이 정보 유출로 연결된다는 점을 명심하시기 바랍니다.