본문 바로가기

벌새::Analysis

모바일 청첩장 스미싱(Smishing) 문자를 통한 악성앱 설치 주의 (2015.5.28)

최근 악성앱이 감염된 안드로이드(Android) 스마트폰을 통해 주소록에 등록된 친구들에게 다음과 같은 스미싱(Smishing) 문자를 대량 발송하는 일이 있었습니다.(※ 관련 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페의 "봄나무"님께 감사드립니다. 사랑해)

모u바m일,청j첩b장k이,도t착c하,엿z습c니r다

h**p://174.139.55.218:5566/?51263kb

스미싱(Smishing) 문자 자체가 필터링을 우회할 목적으로 정상적인 문장 형태가 아닌데도 용감하게 URL 주소를 클릭하여 감염되는 사람들은 반성을 하시기 바랍니다. 헐

URL 주소를 통해 최종적으로 연결되는 웹 서버에서는 중국(China) 업체에서 서비스하는 통계 카운터(Counter)가 포함되어 있으며, "174.139.55.220:63215" IP 서버에서 (5자리 숫자 + 4자리 영문).apk 패턴을 가진 악성 파일(SHA-1 : f30b70d40bb19dab19f16f800733446f11f52d08 - AhnLab V3 Mobile : Android-Trojan/Mqt.b759, 알약(ALYac) : Trojan.Android.Downloader.KRBanker, avast! : Android:Banker-FI [Trj])을 다운로드합니다.

실제 다운로드된 APK 악성 파일은 Chrome 웹 브라우저 아이콘 모양을 하고 있으며, 단순하게 폴더에 APK 파일이 다운로드된 상태에서는 감염된 것이 아니며 다음과 같은 설치 과정을 거친 경우에는 감염에 성공합니다.(※ 그러므로 실수로 스미싱(Smishing) 문자를 통해 APK 파일이 다운로드된 경우에는 추가적인 설치를 진행하지 마시고 APK 파일만 삭제하시면 해결됩니다.)

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.WAKE_LOCK
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.SEND_SMS
  • android.permission.WRITE_SETTINGS
  • android.permission.DISABLE_KEYGUARD
  • android.permission.READ_CONTACTS
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.GET_TASKS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.RESTART_PACKAGES
  • android.permission.CHANGE_NETWORK_STATE
  • android.permission.CALL_PHONE

설치를 요구하는 Chrome 악성앱은 사용자 몰래 SMS 문자 메시지 수신/발신을 통해 감염시 타인에게 스미싱(Smishing) 문자를 발송할 수 있으며, 화면 잠금 및 취침 모드 전환을 금지하여 지속적인 동작을 유발할 수 있습니다.

 

또한 정상적인 Chrome 웹 브라우저와는 다르게 스마트폰 부팅시 자동으로 실행되어 백그라운드로 동작하며 특정 애플리케이션을 검색하여 실행되지 않도록 방해할 수 있습니다.

Chrome 악성앱이 최초 설치된 후 바탕 화면에는 바로가기 아이콘이 생성되지만 사용자가 설치된 Chrome 악성앱을 실행할 경우 다음과 같은 기기 관리자 활성화를 요구하면서 아이콘이 자동 삭제 처리되어 자신의 존재를 숨깁니다.

최초 실행된 Chrome 악성앱은 기기 관리자 활성화 요구를 통해 화면 잠금 방법 및 시기를 제어할 수 있으며, 만약 사용자가 활성화를 허용한 경우 정상 모드에서 Chrome 악성앱 삭제를 방해하므로 절대로 활성화하지 마시기 바랍니다.

실제 기기 관리자를 활성화한 Chrome 악성앱은 삭제 버튼을 비활성화하여 삭제할 수 없도록 방해하며, 사용자가 기기 관리자를 비활성화 시도할 경우 화면을 HOME 화면으로 팅기는 기법을 사용하고 있습니다.

 

이렇게 감염이 성공적으로 이루어진 Chrome 악성앱은 특정 애플리케이션 종료(삭제), 업데이트 메시지를 통한 추가적인 악성앱(모바일 뱅킹 추정) 다운로드 및 설치 유도, 스미싱(Smishing) 문자 발송 등의 악의적인 기능을 수행할 수 있습니다.

일반적으로 정상적인 Chrome 웹 브라우저가 설치된 환경에서 동일한 이름으로 감염된 경우 애플리케이션(앱) 용량이 작은 Chrome 앱이 악성앱으로 판단하시면 되며, 이번에 유포된 Chrome 악성앱은 com.games.mnvwicizmbfdg 패키지 이름을 가지고 있습니다.

 

Chrome 악성앱 제거 방법

모바일 백신을 이용하여 Chrome 악성앱 진단이 이루어지지만 기기 관리자에 등록된 Chrome 악성앱 해제시 팅기는 문제가 발생하는 경우에는 스마트폰을 안전 모드로 부팅한 후 기기 관리자에서 해제를 하시기 바랍니다.

 

이후 설치된 애플리케이션 목록에서 Chrome 악성앱을 찾아 삭제를 하시면 되며, 감염 이후 업데데이트 창을 통해 추가적으로 설치가 이루어진 모바일 뱅킹앱이 존재할 경우에는 반드시 함께 삭제를 하시기 바랍니다.

 

안드로이드(Android) 스마트폰 사용자는 가족, 친구, 불특정 다수로부터 발신되는 스미싱(Smishing) 문자를 통해 악성앱 설치를 유도하는 범죄 행위에 항상 노출되어 있다는 점을 명심하시기 바라며, 감염으로 인한 개인정보 및 금융 정보 유출 등으로 피해를 당하지 않도록 비정상적인 문자 메시지에 포함된 URL 주소를 클릭하는 일이 없도록 주의하시기 바랍니다.