본문 바로가기

벌새::Analysis

공유기 취약점을 이용한 Chrome 악성앱 이슈 정리 (2015.1.29)

2014년 12월경부터 최근까지 꾸준하게 발생하고 있는 유무선 공유기 해킹을 통한 Chrome 악성앱 유포 행위가 지속적으로 확인되고 있으며, 블로그에서도 관련 이슈에 대해 정리를 한 적이 있었습니다.

 

해당 문제는 공유기를 통한 와이파이(Wi-Fi)를 이용한 인터넷 접속 과정에서 스마트폰 또는 PC 환경에서도 동일하게 발생할 수 있으며, 최종적으로는 안드로이드(Android) 스마트폰을 감염시킬 목적의 악성앱의 설치를 유도하고 있습니다.

 

이같은 유무선 공유기 해킹 공격은 중국(China)에서 제작된 해킹툴을 통해 외부에서 특정 IP 대역에 대한 공유기 사용자를 대상으로 이루어지고 있으며, 특히 보안 취약점 문제를 해결한 펌웨어를 지원하지 못하는 구형 공유기(※ 애니게이트(AnyGate) 공유기 모델명 - XM-3300N, XM-3100N, XM-2100N, XM-1100N, XM-700A, XM-300UA 등)는 보안 설정으로는 해결되지 않으므로 새로운 제품을 재구매해야 하는 문제까지 있는 것으로 보입니다.

대표적인 유포 사례를 확인해보면 사용자가 보안 설정이 제대로 이루어지지 않은 공유기의 와이파이(Wi-Fi) 방식으로 인터넷 접속시 "h**p://125.197.109.115 페이지 내용: 한층 개선된 chrome의 최신버전이 출시되었습니다. 업데이트후 이용해주십시오."라는 메시지 창을 생성하여 확인 버튼을 클릭하도록 유도하고 있습니다.

이를 통해 다운로드된 악성 APK 파일<SHA-1 : cb108fe8abfe42baaec89d832bc41130a5f7d8f5 - AhnLab V3 모바일 : Android-Malicious/Mqt, 알약(ALYac) 모바일 : Trojan.Android.Downloader.KRBanker>은 Chrome 아이콘과 동일하여 사용자는 의심없이 실행할 가능성이 있습니다.

참고로 해당 APK 파일은 ApkProtect로 제작되어 있으며 추가적으로 assets\p.dex 플러그인을 통해 자신을 정체를 숨기고 있습니다.

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.WAKE_LOCK
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.SEND_SMS
  • android.permission.WRITE_SETTINGS
  • android.permission.DISABLE_KEYGUARD
  • android.permission.READ_CONTACTS
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.GET_TASKS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.RESTART_PACKAGES
  • android.permission.CHANGE_NETWORK_STATE

Chrome 악성앱이 요구하는 권한에서는 SMS 메시지 보내기, 연락처 읽기, 실행 중인 애플리케이션 검색, 부팅시 자동 실행 및 백그라운드를 통한 프로세스 종료 등의 의심스러운 기능이 포함되어 있습니다.

설치가 완료된 상태에서는 정상적인 Chrome 앱과 동일한 아이콘을 생성하는 악성 Chrome 앱이 표시되며, 사용자가 설치된 악성 Chrome 앱을 실행할 경우 바로가기 아이콘은 자동으로 삭제되어 자신의 존재를 숨깁니다.

특히 실행된 Chrome 악성앱은 기기 관리자를 활성화하여 사용자가 설치된 Chrome 악성앱의 제거를 방해하고 있습니다.

GET /profile?hostuin=3158386955 HTTP/1.1
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.0.4; GT-P3113 Build/IMM76D)
Host: m.qzone.com
Connection: Keep-Alive
Accept-Encoding: gzip

감염된 스마트폰 환경에서는 부팅시마다 com.games.mcdaffdss 프로세스 이름을 가진 Chrome 악성앱이 자동 실행되며, 중국(China)의 특정 QQ 블로그 계정에 접속을 시도합니다.

 

세부적인 악성 행위는 기종의 "AhnLab V3 Mobile Plus 2.0" 악성앱과 마찬가지로 스마트폰에 설치된 은행앱 실행시 동일한 악성 은행앱으로 바꿔치기를 시도하여 금융 정보 및 공인인증서를 유출하는 기능을 포함하고 있으므로 참고하시기 바랍니다.

또한 감염된 스마트폰에서는 주소록에 저장된 전화번호로 결혼식 등 다양한 스미싱(Smishing) 문자를 대량 발송하여 감염을 유발하고 있으므로 매우 주의할 필요가 있습니다.

감염된 스마트폰에 설치된 Chrome 악성앱을 모바일 백신 또는 사용자가 직접 삭제를 위해서는 반드시 기기 관리자에서 Chrome 앱의 체크를 해제해야 합니다.

 

그런데 문제는 악성앱이 사용자가 기기 관리자 체크를 해제하지 못하게 방해하는 동작이 있으므로 체크가 반복적으로 해제되지 않는 경우에는 안전 모드로 부팅(※ 스마트폰 기기마다 안전 모드 부팅 방법이 다를 수 있으며, 일반적으로 부팅시 통신사 로고가 표시될 때 소리 줄임(-) 버튼을 4초 이상 누르시면 안전 모드로 연결됩니다.)하여 기기 관리자 체크를 해제하시기 바랍니다.

기기 관리자에서 Chrome 악성앱을 비활성화한 후에는 설치된 애플리케이션 목록에서 Chrome 악성앱을 찾아 삭제하시기 바라며, 기존에 Chrome 앱이 설치된 경우에는 표시 용량이 작은 앱이 악성으로 판단하시면 됩니다.

 

위와 같이 유무선 공유기를 이용하여 스마트폰 또는 PC에서 포털 사이트(네이버(Naver), 다음(Daum), 네이트(Nate), 구글(Google)) 등에 접속할 때 안내창을 생성하여 APK 파일 다운로드를 유도할 경우에는 유무선 공유기의 보안 설정이 제대로 이루어지지 않았기 때문임을 명심하시기 바랍니다.

 

또한 유무선 공유기의 보안 설정 수정을 통해 문제가 해결되었지만 여전히 안내창이 표시될 경우에는 접속하는 애플리케이션의 임시 파일과 쿠키 파일을 모두 삭제한 후 재접속하시기 바랍니다.

 

■ 유무선 공유기 보안 설정 방법

 

  1. 유무선 공유기 제조사를 방문하여 안내에 따라 공유기의 공장 초기화를 진행하시기 바랍니다.
  2. 사용하는 유무선 공유기 제조사를 방문하여 해당 기종의 최신 펌웨어 파일을 다운로드하여 업데이트하시기 바랍니다.(※ 구형 공유기의 경우 최신 펌웨어 업데이트로 해결되지 않을 수 있습니다.)
  3. 유무선 공유기 환경 설정에 접속하여 2.4GHz, 5GHz 무선 인터넷의 암호화를 "WPA2PSK+AES" 방식으로 설정한 후 비밀번호를 "영문+숫자+특수 문자"로 조합된 12자리 이상으로 설정하시기 바랍니다.
  4. 유무선 공유기 환경 설정 페이지에 접속을 위한 아이디(ID)와 비밀번호(영문+숫자+특수문자 조합)를 반드시 생성하며, 로그인 방식은 캡차(CAPTCHA) 코드 방식으로 변경하시기 바랍니다.
  5. 외부에서 유무선 공유기 환경 설정 페이지에 접근할 수 없도록 "원격 관리 포트" 사용을 해제하시기 바랍니다.
  • 비밀댓글입니다

  • 비밀댓글입니다

    • 항상 모바일 백신을 사용하는 습관을 가지시기 바라며, 되도록 문자 또는 안내창을 통해 다운로드되는 apk 파일은 실행하는 일이 없도록 하시기 바랍니다. 고생하셨습니다.

  • 비밀댓글입니다

    • 해당 문제는 폰의 문제가 아니라 공유기 보안 설정 문제이므로 인터넷을 위해 접속하는 공유기의 펌웨어 업데이트 및 보안 설정(비밀번호, 환경 설정 페이지 로그인 적용, 원격 접속 차단 등)을 하셔야 합니다.

  • 비밀댓글입니다

  • 안전모드로 들어가서 비활성화해서 삭제시키라고써져있는데 비활성화는 어떻게하나요?

  • 비밀댓글입니다

    • 실제 설치를 진행해서 감염이 된 경우 제가 알 수 없으므로 모바일 백신을 통해 정밀 검사를 하는 방법 외에는 답변이 어렵습니다.

      펌웨어 업데이트 및 비밀번호 설정 등의 보안 세팅 이후에도 빈번하게 발생한다면 우선은 애니게이트 고객센터에 문의해서 펌웨어로 해결이 되는지 알아보신 후 해결이 안된다고 하시면 재구매를 하셔야 할 듯 싶습니다.

  • 갤럭시s2인데 안전모드에서 체크하는곳까지 진입이 안되는데 다른 루트가 있을까요?

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 소액결제가 이루어졌다면 아마 감염으로 인해서 스마트폰이 악용되었을 것으로 보입니다.

      소액결제가 된 경우에는 경찰서를 방문해서 사실 확인서를 발급 받으면 보상을 받는다고 알고 있으므로 일단 스마트폰을 초기화하지 마시고 경찰서에서 해킹되었음을 증명하시기 바랍니다.

  • 비밀댓글입니다

    • 해당 악성앱의 주요 기능은 금융 기관을 노리고 있습니다. 그 외에도 주소록 및 SMS 문자와 관련된 악의적인 기능을 수행합니다.

      그러므로 감염이 이루어졌다면 일정 수준의 정보 유출이 있을 수도 있으며, 공격자 서버 연결 상태에 따라서는 정보가 외부로 유출되지 않았을 수도 있습니다.

      그리고 폰 재부팅 여부와는 무관하게 감염이 이루어지면 악의적인 행위를 짧은 시간 내에 수행할 수도 있습니다.

    • 2015.03.02 19:37 댓글주소 수정/삭제

      비밀댓글입니다

    • 네.. 악성앱이 설치된 후에는 자동으로 진행되므로 폰 부팅과는 무관합니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 내용을 봐서는 공유기를 통해 악성앱 설치가 진행되었던 것으로 보이며, 이 과정에서 사용자가 적절한 조치가 잘 해결하신 듯 합니다.

      모바일 백신을 이용하여 정밀 검사해서 특별히 감염된 부분이 없으며, 공유기 펌웨어 업데이트를 통해 현재 인터넷 접속시 동일한 문제가 없다면 특별히 문제될 것은 없어 보입니다.

      그러므로 폰에 모바일뱅킹앱이 설치되어 있다면 한 번 실행하여 기존과 동일하게 실행되는지 체크를 해보시기 바랍니다.

  • 제가 얼마전에 저기에 당했는데요... ㅜㅠ 해당어플은 일단 삭제했습니다. 서비스센터 가서 초기화해야 할까요?

  • ㅠㅜㅠㅠ 2015.05.21 12:23 댓글주소 수정/삭제 댓글쓰기

    chrome 설치하면 악성앱 설치가 되는거죠? 악성앱인줄 어떻게 아나요? 다운받은건 어디들어가서 지워야하나요ㅠㅠ chrome을 삭제했는데 이게 진짜를 삭제하고 가짜가 남은것같더라구요 삭제가 안되서 위에처럼 기기관리자 들어가서 비활성화 하려니까 chrome은 없고 안드로이드 기기관리자 그것밖에없는데 chrome삭제하려면 어떻게 해야하나요..ㅠㅠ
    그리고 농협앱은 삭제하고 공인인증서도 재발급받았는데 위험한가요?

    • 본인이 찾지 못할 경우에는 모바일 백신을 이용하여 정밀 검사를 하시기 바랍니다.

      악성앱을 제거하지 않은 상태에서 공인인증서 재발급을 하는 행위는 별 도움이 되지 않을 수 있습니다.

      또한 기기 관리자에 Chrome 앱이 없고 안드로이드 기기관리자 밖에 없다면 기기 관리자 권한으로 설치되지 않았을 수 있습니다.

  • 이것은 현재도 진행중이라 개방형와이파이 사용시 구글을통한 인터넷사용은 안하시는게 좋습니다 공유기 초기화후 그잠깐 연결테스트한다고 구글들어가니 공유기가 감염되더군요

  • 우정의하루 2016.08.06 23:21 댓글주소 수정/삭제 댓글쓰기

    저는 2015년 5월17일 다른iptime 와이파이로 인터넷하다가 Chrome업데이트창이떠서 해당앱이 설치가되더니 금융앱를 설치창이떠서
    제거하고 v3로 검사하니 30개정도 검출되어 치료했습니다