보안 설정을 제대로 하지 못한 공유기의 DNS 서버 주소를 변경하여 포털 사이트 접속시 보안 업데이트 알림창을 생성하여 안드로이드(Android) 스마트폰을 감염시키는 사례에 대해 2015년 3월 중순경에 소개한 적이 있었습니다.
그런데 관련 유포 행위 중 최근에 확인된 공격자 서버 정보를 자세하게 살펴볼 수 있는 기회가 되어 관련 정보를 조금 더 자세하게 알아보도록 하겠습니다.
우선 공격자는 서버를 구축하여 自动免杀器.exe 도구<SHA-1 : adf41e81558b46d7ceafc0be9d22841814a2e699 - AhnLab V3 : Malware/Win32.Generic, avast! : Win32:Evo-gen [Susp] (VT : 15/57)>을 이용하여 5종의 APK 악성앱 다운로드 경로와 IP 주소를 세팅할 수 있습니다.
이를 통해 세팅된 웹 서버는 위와 같은 형태로 생성되며, 공유기 DNS 서버가 변조된 사용자가 구글(Google), 네이버(Naver), 네이트(Nate), 다음(Daum) 포털 사이트 접속을 감시하도록 되어 있습니다.
예를 들어 사용자가 다음(Daum) 포털 사이트 접속을 시도할 경우 25848GYOYS 폴더 내에 구축한 스크립트로 연결을 시도합니다.
이를 통해 연결된 스크립트에서는 쿠키 체크 후 /index.php 단계로 자동 연결을 시킵니다.
다음 단계에서는 해킹된 공유기 사용자가 볼 수 있는 "보안업데이트 버전이 출시되였습니다. 업데이트후 실행해주십시오." 알림창이 생성되며, 이 과정에서 중국(China) 카운트 서비스를 통해 체크를 수행합니다.
이후 사용자가 확인(승인) 버튼을 클릭할 경우 서버에 등록된 config.ini 파일에 등록된 IP 정보를 참조하여 특정 서버에서 APK 악성 파일을 다운로드하도록 구성되어 있습니다.
그 외에도 yundown 폴더의 경우에는 제작툴을 참조하여 살펴보면 특정 단축 URL 값을 이용하여 "Android Update" 알림창 생성을 통해 특정 클라우드 서버에 등록된 AndroidUpdate3.23.6 이름의 악성 APK 파일을 다운로드하도록 유도할 수 있을 것으로 추정됩니다.
이를 통해 다운로드된 악성 APK 파일<SHA-1 : 1221756d6728ba908790f34015e0f6fe0101201a - AhnLab V3 모바일 : Android-Trojan/Bankun.d494>은 구글 크롬(Google Chrome) 아이콘 모양을 하고 있습니다.(※ 알림창 클릭을 통해 다운로드 폴더에 생성된 APK 파일을 사용자가 실행하여 아래와 같이 설치를 하지 않는 한 감염이 아니므로 다운로드된 APK 파일을 삭제하시면 됩니다.)
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.MOUNT_UNMOUNT_FILESYSTEMS
- android.permission.CALL_PHONE
- android.permission.READ_PHONE_STATE
- android.permission.INTERNET
- android.permission.READ_CONTACTS
- android.permission.PROCESS_INCOMING_CALLS
- android.permission.READ_SMS
- android.permission.WRITE_CONTACTS
- android.permission.ACCESS_NETWORK_STATE
- android.permission.DISABLE_KEYGUARD
- android.permission.WAKE_LOCK
- android.permission.SEND_SMS
- android.permission.WRITE_SETTINGS
- android.permission.GET_TASKS
- android.permission.ACCESS_WIFI_STATE
- android.permission.CHANGE_NETWORK_STATE
- android.permission.CHANGE_WIFI_STATE
- android.permission.PROCESS_OUTGOING_CALLS
- android.permission.SYSTEM_ALERT_WINDOW
- android.permission.RECEIVE_BOOT_COMPLETED
- android.permission.READ_CALL_LOG
다운로드된 APK 파일을 실행하여 설치를 진행할 경우 Chrome 악성앱이 요구하는 권한을 확인할 수 있으며, 설치된 경우 전화 걸기 및 통화 감시, 연락처(주소록) 읽기/쓰기, SMS 문자 메시지 수신/발송, 경고창 생성, 부팅시 자동 실행, 실행 중인 특정 애플리케이션 검색 등의 기능을 수행할 수 있습니다.
설치가 완료된 경우 Chrome 바로가기 아이콘이 생성되며 사용자가 Chrome 악성앱을 실행할 경우 바로가기 아이콘은 자동 삭제되어 자신의 존재를 숨깁니다.
Chrome 악성앱을 실행할 경우 기기 관리자 활성화를 요구하므로 절대로 활성화를 허용하면 안되며, 활성화된 경우 공격자의 명령에 따라 공장 초기화, 화면 잠금 모드 설정 변경을 통해 잠금 해제를 위한 비밀번호를 임의로 변경하여 사용자가 스마트폰을 사용하지 못하게 할 수 있습니다.
해당 Chrome 악성앱이 실행될 경우 스마트폰에 설치된 애플리케이션 검색을 통해 avast! 모바일 백신 (com.avast.android.mobilesecurity), 피싱가드 - 스미싱, 피싱앱, 보이스피싱 차단 (net.btworks.phishingguard), AhnLab V3 Mobile Plus 2.0 (com.ahnlab.v3mobileplus) 보안앱이 존재할 경우 삭제를 시도할 수 있습니다.(※ 자동으로 애플리케이션 삭제 메시지 창이 생성될 경우 감염된 상태임을 인지하시기 바랍니다.)
- 우리은행 원터치개인뱅킹 (com.wooribank.pib.smart)
- KB국민은행 스타뱅킹 (com.kbstar.kbbank)
- IBK ONE뱅킹 개인 - 스마트뱅킹 (com.ibk.neobanking)
- SC은행 Breeze(브리즈)뱅킹 (com.sc.danb.scbankapp)
- 신한S뱅크 - 신한은행 스마트폰뱅킹 (com.shinhan.sbanking)
- 하나N Bank - 하나은행 스마트폰뱅킹 (com.hanabank.ebk.channel.android.hananbank)
- NH 스마트뱅킹 (nh.smart)
- 우체국 스마트뱅킹 (com.epost.psf.sdsi)
- 광주은행 스마트뱅킹 (com.kftc.kjbsmb)
- 새마을금고 스마트뱅킹 (com.smg.spbs)
핵심적인 Chrome 악성앱은 10종의 국내 모바일뱅킹 애플리케이션을 감시하여 업데이트 창 생성을 통해 다음과 같은 베트남(Vietnam)에 위치한 "117.2.38.118" C&C 서버로부터 가짜 금융앱을 다운로드하여 교체할 수 있습니다.
그 외에도 감염된 스마트폰에서 수신 및 발송되는 SMS 문자 메시지, 통화 기록, 공인인증서 등을 통해 민감한 정보를 수집하여 C&C FTP 서버로 업로드할 수 있으며, 다양한 공격자의 명령에 따라 추가적인 금전적 피해를 유발할 수 있으리라 추정됩니다.
Chrome 악성앱에 감염된 경우 모바일 백신 또는 수동으로 제거시 반드시 기기 관리자에 등록된 Chrome 항목을 체크 해제 후 애플리케이션 목록 중에서 Chrome 악성앱을 찾아 제거 버튼을 클릭하여 삭제하시기 바랍니다.
또한 스마트폰에 설치된 모바일뱅킹 애플리케이션이 악성앱으로 교체되었을 수 있으므로 모바일 백신을 통한 정밀 검사 또는 모두 삭제한 후 Google Play를 통해 재설치하시기 바랍니다.
여전히 공유기 사용자들 중에서 보안 설정을 제대로 하지 않고 사용함으로 인해 위와 같은 방식으로 위협에 노출되어 금전 피해 및 시간 낭비를 하는 일이 없도록 보안에 관심을 가지시기 바랍니다.