울지않는벌새 : Security, Movie & Society

결혼식 스미싱(Smishing) 문자를 이용한 "AhnLab V3 Mobile Plus 2.0" 악성앱 유포 주의 (2014.12.29)

벌새::Analysis

스미싱(Smishing) 문자를 통한 악성앱 설치 사례 중 꾸준하게 인기있는 대표적인 사례가 결혼식 관련된 문자이며, 특히 감염된 친구 스마트폰 번호를 통해 문자가 전송된 경우에는 클릭할 확률이 더욱 높아질 것으로 보입니다.

토요일t결혼식c잊지말고y축복하러s와주세요g웨딩q사진첩
h**p://twr.kr/EKOX?******

최근 무작위로 배포가 이루어지고 있는 대표적인 결혼식 스미싱(Smishing) 문자를 통해 다운로드된 악성 APK 파일을 통한 어떤 문제가 유발될 수 있는지 살펴보도록 하겠습니다.(※ 제발 스미싱(Smishing) 문자 필터링을 우회하려고 비정상적인 문자가 포함된 링크(URL)은 호기심이라도 클릭하지 마시기 바랍니다.)

스미싱(Smishing) 문자에 포함된 단축 URL 주소를 클릭할 경우 "107.151.225.28:1150" IP 서버로 접속이 이루어지며, 이 과정에서 쿠키값을 체크하여 재접속시에는 악성 APK 파일을 다운로드하지 못하도록 되어 있습니다.

  • h**p://107.151.225.28:****/10241FGHN/10241FGHN.apk (SHA-1 : 30ebbc69ab6cd9c0bd8ef1ccebf441727be857f4) - AhnLab V3 모바일 : Android-Malicious/Mqt

해당 다운로드 페이지에 표시된 AndroidUpdate3.23.6.apk 버튼을 클릭할 경우 랜덤(Random)한 파일명으로 악성 APK 파일을 다운로드하며, 파일 아이콘은 AhnLab V3 모바일 백신으로 위장되어 있습니다.

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.WAKE_LOCK
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.SEND_SMS
  • android.permission.WRITE_SETTINGS
  • android.permission.DISABLE_KEYGUARD
  • android.permission.READ_CONTACTS
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.GET_TASKS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.RESTART_PACKAGES
  • android.permission.CHANGE_NETWORK_STATE

APKProtect로 패킹된 다운로드된 악성 APK 파일을 실행하면 "AhnLab V3 Mobile Plus 2.0" 앱을 설치하는 화면이 표시되며, 요구되는 권한 중 락스크린 비활성화(DISABLE_KEYGUARD) 기능이 포함되어 있는 것이 특징입니다.

특히 정보에 따르면 해당 스미싱(Smishing) 문자를 통해 설치되는 "AhnLab V3 Mobile Plus 2.0" 악성앱은 최근 공유기 취약점을 이용하여 설치될 수 있는 악성앱과 매우 유사하므로 참고하시기 바랍니다.

설치가 완료된 후에는 화면 잠금 작업 수행을 위한 기기 관리자 활성화를 요구하여 사용자가 활성화할 경우 "AhnLab V3 Mobile Plus 2.0" 악성앱 제거를 방해할 수 있습니다. (※ 참고로 정상적인 "AhnLab V3 Mobile Plus 2.0" 앱은 기기 관리자 권한을 요구하지 않습니다.)

이 과정에서 설치가 완료된 시점에서는 바탕 화면에 "AhnLab V3 Mobile Plus" 바로가기 아이콘이 생성되지만 사용자가 기기 관리자를 활성화하여 앱이 실행된 경우 바로가기 아이콘은 자동 삭제되어 자신을 숨깁니다.(※ 정상적인 "AhnLab V3 Mobile Plus 2.0" 앱은 금융앱 실행시에만 동작하여 바로가기 아이콘을 생성하지 않습니다.)

감염이 성공적으로 이루어진 스마트폰 환경에서 정상적인 "AhnLab V3 Mobile Plus 2.0" 앱이 설치되어 있는 경우에 그림과 같이 동일한 이름의 애플리케이션이 표시되어 이름으로는 구분이 매우 어렵습니다.(※ 일부 악성앱은 설치된 정상적인 "AhnLab V3 Mobile Plus 2.0" 앱 삭제를 시도하는 메시지로 감염을 쉽게 눈치챌 수 있었습니다.)

가장 정확하게 악성앱을 구분하기 위해서는 "AhnLab V3 Mobile Plus 2.0" 앱 정보를 확인하여 기기 관리자 활성화로 인하여 "제거" 버튼이 비활성화된 애플리케이션이 악성앱이라고 판단하시면 됩니다.

"AhnLab V3 Mobile Plus 2.0" 악성앱이 설치된 경우 5분 주기로 중국(China)에 위치한 특정 QQ 계정에 접속을 시도하는 연결을 확인할 수 있습니다.

  • 하나은행 : h**p://103.251.37.44:****/com.hana.google.kr.channel.korea.app.apk (SHA-1 : b0a3d5b81e28ad9d33854816c23736a2bbf3c8c9) - AhnLab V3 모바일 : Android-Malicious/Bankun
  • 우리은행 : h**p://103.251.37.44:****/com.we.google.nhb.kr.bk.app.apk (SHA-1 : 32b02f05b2a11a2a3d6a79f857893670d14b8f9c) - AhnLab V3 모바일 : Android-Malicious/Bankun

이를 통해 감염된 스마트폰에 설치된 앱 정보를 체크하여 금융앱이 설치되어 있는 경우 홍콩(Hong Kong)에 위치한 "103.251.37.44" IP 서버로부터 자동으로 관련 금융앱으로 위장한 악성앱을 자동으로 다운로드를 시도할 수 있습니다.

그 후 사용자가 정상적인 금융앱 실행시 "새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다."라는 메시지 창을 생성하여 "확인" 버튼을 클릭하도록 유도합니다.(※ 분석글에서는 하나은행 금융앱을 이용하여 테스트하였습니다.)

다음 단계에서는 스마트폰에 설치되어 있는 정상적인 "하나N Bank" 금융앱 삭제를 요구하며 삭제가 진행된 후에는 사용자 몰래 다운로드된 악성앱 설치를 유도합니다.

  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.MOUNT_UNMOUNT_FILESYSTEMS
  • android.permission.READ_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.CALL_PHONE
  • android.permission.READ_PHONE_STATE
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • android.permission.INTERNET

설치되는 악성앱은 "하나N Bank" 금융앱과 동일한 이름과 아이콘으로 등록되어 있으며, 요구하는 권한으로도 눈치채기 매우 어렵다고 판단됩니다.

설치가 완료된 후에는 기존의 "하나N Bank" 금융앱이 삭제된 후 동일한 바로가기 아이콘을 생성한 악성 "하나N Bank" 앱이 추가되어 사용자는 눈치챌 수 없습니다.

악성앱으로 바꿔치기된 "하나N Bank" 금융앱을 실행하면 전자금융사기 예방서비스 추가 보안 강화 실시 관련 공지사항 창을 생성합니다.

이를 통해 공인인증서 파일을 외부로 유출할 수 있으며, 단계별 화면에 따라 계좌 정보 및 보안카드 번호를 입력하도록 할 것으로 추정됩니다.

 

■ 악성앱 제거 방법

 

(1) 스마트폰에 설치된 모든 악성 금융앱 삭제

해당 악성앱에 감염된 경우에는 기존에 설치된 금융앱을 삭제한 후 악성앱으로 바꿔치기를 시도하므로 스마트폰에 설치된 모든 금융앱은 제거를 하시기 바랍니다.

 

(2) "AhnLab V3 Mobile Plus 2.0" 악성앱 삭제

결혼식 스미싱(Smishing) 문자를 통해 최초 설치된 "AhnLab V3 Mobile Plus 2.0" 악성앱은 기기 관리자 활성화 문제로 인하여 해제를 하지 않을 경우 삭제가 이루어지지 않습니다.

문제는 기기 관리자에 등록된 "AhnLab V3 Mobile Plus 2.0" 악성앱 체크를 해제할 경우 자동으로 체크가 재등록되는 동작이 발생하므로 체크 해제와 동시에 생성되는 "비활성화" 버튼 위치를 짐작하여 빠르게 클릭을 하여 체크 해제를 하시면 해결됩니다.(※ 해당 방식을 해결되지 않는다면 안전 모드로 부팅하여 진행해 보시기 바랍니다.)

 

기기 관리자 체크가 해제된 후에는 설치된 애플리케이션 목록 중에서 "AhnLab V3 Mobile Plus 2.0" 악성앱을 찾아 활성화된 "삭제" 버튼을 클릭하여 제거하시면 됩니다.

 

(3) 추가 보안 조치 사항

  1. 국내외 유명 모바일 백신을 이용하여 정밀 검사를 진행하여 숨어있는 악성앱을 찾아 삭제하시기 바랍니다.
  2. 모바일 뱅킹을 노리는 악성앱 감염자는 반드시 공인인증서를 폐기한 후 재발급 받으시기 바랍니다.
  3. 악성 금융앱에서 제시하는 양식에 따라 계좌 정보를 입력한 경우 비밀번호 및 보안 카드를 변경하시기 바랍니다.

위와 같은 결혼식 관련 스미싱(Smishing) 문자를 통해 다운로드되어 설치된 "AhnLab V3 Mobile Plus 2.0" 악성앱은 추가적인 악성앱을 사용자 몰래 다운로드하여 추가적인 감염을 유발하는 기능이 포함되어 있으며, 이를 통해 설치된 가짜 금융앱을 통한 금융 정보가 외부로 유출될 수 있습니다.

 

그러므로 가족 또는 친구 전화번호로 발송되는 문자일지라도 URL 링크를 통해 APK 파일이 다운로드될 경우에는 절대로 실행하지 마시고 삭제하시기 바랍니다.(※ 금전 피해를 당한다고 문자를 발송한 친구가 보상해주지 않고 자신도 피해자라고 할 뿐입니다.)