울지않는벌새 : Security, Movie & Society

민감한 정보 수집 목적의 "Android.Titan.1" 악성앱 주의 (2015.3.23)

벌새::Analysis

최근 러시아 보안 업체 닥터웹(Dr.Web)을 통해 국내에서 유포되는 "Android.Titan.1" 진단명을 가진 안드로이드(Android) 악성앱이 다양한 악의적 기능을 통해 정보 유출이 가능하는 정보를 공개하였습니다.

이에 공개된 정보를 기반으로 관련 이슈에 대해 살펴보도록 하겠으며, 특히 모바일뱅킹을 표적으로 한 악성앱과는 다르게 수집된 정보를 통해 제2의 표적 공격도 가능할 수 있다는 점에서 주목해 주시기 바랍니다.

[로젠택배]3/12등기소포배송불가(주소불명)주소확인/변경요망

악성앱 유포 방식은 2015년 3월 10일 전후로 불특정 다수에게 택배 관련 스미싱(Smishing) 문자를 발송하여 특정 URL 주소를 통해 아마존(Amazon) 서버에 등록된 rec25.apk 파일<SHA-1 : db27bc861665495329fb93df30017e24ddda8d27 - AhnLab V3 모바일 : Android-Malicious/Neclace, Dr.Web : Android.Titan.1, ESET : Android/Raidum.B, Kaspersky : HEUR:Backdoor.AndroidOS.Tediss.a>을 다운로드하도록 유도하고 있습니다.

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.RECEIVE_SMS
  • android.permission.WRITE_SMS
  • android.permission.READ_SMS
  • android.permission.SEND_SMS
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_PHONE_STATE
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_CALL_LOG
  • android.permission.WRITE_CALL_LOG
  • android.permission.CALL_PHONE
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.BROADCAST_STICKY
  • android.permission.WAKE_LOCK
  • android.permission.RECORD_AUDIO
  • android.permission.MODIFY_AUDIO_SETTINGS
  • android.permission.WRITE_SETTINGS
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.ACCESS_WIFI_STATE

다운로드된 악성 APK 파일은 SmartcardService 애플리케이션 이름으로 설치가 이루어지며, 주요 권한 중에서는 SMS 문자 및 통화 모니터링, 오디오 녹음, 특정 프로세스 종료, 주소록 접근 등의 의심스러운 행위가 가능합니다.

특히 해당 악성앱은 모바일 백신 진단을 우회할 목적으로 libTitaniumCore.so 라이브러리 파일<SHA-1 : 2c74c22181bcd789c53a65a8a8a35fabf6e80bea - Dr.Web : Android.Titan.2, avast! : ELF:Titan-A [Trj]>을 통해 핵심적인 악의적 기능을 수행하도록 구성되어 있습니다.

성공적으로 감염이 이루어진 환경에서는 최초 SmartcardService 바로가기 아이콘이 생성되며 사용자가 해당 악성앱을 실행할 경우 자동으로 바로가기 아이콘이 삭제되어 자신의 존재를 숨깁니다.

 

이를 통해 스마트폰 부팅과 함께 자동 실행된 SmartcardService 악성앱은 감염된 스마트폰 하드웨어 및 소프트웨어 정보(모바일 운영 체제 종류, 사용자 전화 번호, 네트워크 연결 정보, MAC Address, IMEI, IMSI)를 유출하며 C&C 서버로부터 다음과 같은 악의적인 명령을 받아 수행할 수 있습니다.

  • 카카오톡(KakaoTalk) 애플리케이션(com.kakao.talk)을 검색하여 관련 프로세스 종료
  • 주소록에 등록된 전화번호 도용
  • 스마트폰 볼륨 및 키패드 모드 변경 및 사용자 몰래 전화 걸기
  • 특정 번호로 SMS 문자 발송
  • 주소록에 저장된 정보를 특정 서버로 전송
  • 특정 텍스트 및 이미지를 알림 표시줄에 표시(허위 메시지 창 생성)

특히 감염된 스마트폰이 장시간 대기 모드인 상태인 경우 사용자 몰래 전화 걸기를 수행하며, 이 과정에서 화면 상에서는 잠금 상태로 전환하여 사용자가 인지할 수 없도록 합니다.

 

또한 전화 통화시에는 amr 파일로 녹음을 하여 C&C 서버로 파일을 전송하여 엿들을 수 있으며, 특정 전화번호에 대해서는 착신/발신을 차단하는 기능이 포함되어 있습니다.

 

스마트폰에 수신 및 발신된 SMS 문자 메시지는 인터넷이 연결되지 않는 경우 기기 내부에 저장을 해 두었다가 인터넷 연결시 외부 서버로 전송하며, 통화 기록을 통해 의심스러운 행위를 사용자가 인지하지 못하도록 삭제할 수 있습니다.

 

위와 같이 "Android.Titan.1" 악성앱은 감염된 스마트폰을 통한 문자 메시지와 통화 정보를 저장 및 녹음을 통해 외부에서 관련 정보를 수집하여 해당 스마트폰 대상자에게 제2의 표적 공격이 가능할 수 있다는 점에서 단순히 1회성 공격으로 끝나지 않을 가능성도 높습니다.

그러므로 스마트폰에 SmartcardService (버전 4.98) 악성앱이 설치되어 있는지 모바일 백신 또는 수동으로 확인하여 삭제를 하시기 바라며, 스미싱(Smishing) 문자를 통해 수신되는 문자에 포함된 URL 주소를 클릭하여 (반)자동으로 다운로드되는 APK 파일을 호기심 또는 실수로 클릭하여 민감한 개인 정보가 외부로 유출되지 않도록 주의하시기 바랍니다.