울지않는벌새 : Security, Movie & Society

전화번호 입력을 요구하는 택배 스미싱(Smishing) 문자를 이용한 악성앱 주의 (2015.5.30)

벌새::Analysis

2014년 하반기경부터 전파되는 택배 스미싱(Smishing) 문자 중에서는 가짜 택배 웹 사이트로 접속을 유도하여 문자를 수신한 휴대전화 번호를 입력해야지 APK 악성 파일을 다운로드하는 변칙적인 사례가 발견되고 있었습니다.

[한진택배] 배송예약이 많아 1~2 배송문지연 배송정보 다시확인해주세요 h5fo.hiun3.com

최근에 유포된 한진택배 배송 지연 관련 스미싱(Smishing) 문자를 통해 자세하게 살펴보도록 하겠습니다.

수신된 스미싱(Smishing) 문자를 스마트폰 환경이 아닌 PC와 같은 다른 접속 환경으로 접속할 경우에는 자동으로 로젠택배 공식 사이트로 연결(※ 문자 내용과는 달리 한진택배로 연결되지 않습니다.)하여 분석을 방해하고 있으며, 해당 홈 페이지에서는 "운송장 번호 입력"을 통해 택배 조회 서비스를 제공하고 있습니다.

반면 정상적인 스마트폰 환경을 통해 스미싱(Smishing) 문자에 포함된 URL 주소를 통해 접속을 할 경우 가짜 로젠택배 웹 사이트로 연결되며, 상단에는 운송장 번호가 아닌 휴대전화 번호(010 - **** -****)를 입력하도록 구성되어 있습니다.

만약 유효하지 않은 전화번호를 입력할 경우 "입력번호오류다시 입력해주세요 (3회남음)"이라는 메시지 창이 생성됩니다.

문자 수신자의 전화번호를 입력한 경우 "휴대폰알수없는출처 어플을 설치하는 법"이라는 방법을 안내하는 페이지로 연결되어 "보안 → 알 수 없는 출처" 항목에 체크되어 있지 않은 스마트폰의 경우 설정을 변경하도록 유도하여 다음과 같은 APK 악성 파일을 다운로드하도록 합니다.

  • 010********.apk (SHA-1 : de81147f53f7621e45a51dbe346a276d4e09b13f) - AhnLab V3 Mobile : Android-Downloader/Bankun.4dad, 알약(ALYac) : Trojan.Android.Downloader.KRBanker

다운로드된 (전화번호).apk 악성 파일은 택배차 아이콘 모양을 하고 있으며, 실행시 다음과 같은 악의적인 행위를 수행합니다.

  • android.permission.ACCESS_WIFI_STATE
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.WAKE_LOCK
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_PHONE_STATE
  • android.permission.SEND_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.MODIFY_PHONE_STATE
  • android.permission.CALL_PHONE
  • android.permission.WRITE_CONTACTS
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • com.android.launcher.permission.UNINSTALL_SHORTCUT
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.RESTART_PACKAGES
  • android.permission.GET_TASKS
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.READ_LOGS
  • android.permission.VIBRATE
  • android.permission.MODIFY_AUDIO_SETTINGS
  • android.permission.INTERNET
  • android.permission.ACCESS_NETWORK_STATE

"한진택배." 애플리케이션 이름을 가진 해당 악성앱은 연락처 정보 확인, SMS 문자 메시지 수신/발송, 바로가기 아이콘 생성 및 삭제, 특정 프로세스 종료, 경고창 생성 등의 권한을 요구하고 있습니다.

설치가 완료된 경우 "한진택배." 바로가기 아이콘을 생성하지만 사용자가 악성앱을 실행할 경우 아이콘을 자동 삭제하여 자신의 존재를 숨깁니다.

실행된 "한진택배." 악성앱은 기기 관리자 활성화를 요구하며 허용시 화면 잠금 기능 수행 및 제거 버튼을 비활성화하여 삭제를 방해하므로 기기 관리자 활성화를 함부로 허용하지 않도록 매우 주의하시기 바랍니다.

성공적으로 설치가 이루어진 "한진택배." 악성앱은 스마트폰에 설치된 4종의 모바일 뱅킹 애플리케이션 검사를 수행합니다.

  1. NH 스마트뱅킹(nh.smart)
  2. 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking)
  3. 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank)
  4. 우리은행 원터치개인뱅킹(com.webcash.wooribank)

또한 "yiod4.y30icv.com" C&C 서버와 지속적인 통신을 통해 감염된 스마트폰에 표적이 되는 모바일 뱅킹앱이 존재할 경우 다음과 같은 메시지 창을 생성할 수 있습니다.(※ 테스트 당시에는 서버 연결이 이루어지지 않고 있습니다.)

  • 새로운 업데이트가 있습니다. 최신버전으로 보안강화하시기 바랍니다.
  • 새로운 업데이트가 있습니다.보다 더 안전한 스마트뱅킹을 사용하기위하여 최신버전을 다운받으시기 바랍니다.

이를 통해 사용자가 업데이트 창을 통해 확인 버튼을 클릭할 경우 기존에 설치된 모바일 뱅킹앱을 삭제한 후 동일한 이름과 아이콘 모양을 가진 가짜 모바일 뱅킹앱을 다운로드하여 설치할 수 있습니다.

  • 가짜 NH 스마트뱅킹(nh.smart) : h**p://yiod4.y30icv.com/***/KR_NHBank.apk (SHA-1 : 13d1b337c0b1a387a8bc997fa121f8b3ac1aeb18) - avast! : Android:Agent-AXX [Trj]
  • 가짜 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking) : h**p://yiod4.y30icv.com/***/KR_SHBank.apk (SHA-1 : fc2beb475504ea8f49d954fffddba5510c5c1efa) - Kaspersky : HEUR:Trojan-Banker.AndroidOS.Tebak.a
  • 가짜 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank) : h**p://yiod4.y30icv.com/***/KR_HNBank.apk (SHA-1 : 5448d22f354fe0bc195f1337db588506025328a3) - AhnLab V3 Mobile : Android-Trojan/Bankun.697c
  • 가짜 우리은행 원터치개인뱅킹(com.webcash.wooribank) : h**p://yiod4.y30icv.com/***/KR_WRBank.apk (SHA-1 : 3f579b7a5fcae33c4a4d81e2dbb5ab68e8ee8bce) - AhnLab V3 Mobile : Android-Trojan/SMSstealer.60c1

이렇게 다운로드 및 설치가 이루어진 모바일 뱅킹앱을 실행할 경우 공인인증서 유출, 과도한 개인/금융 정보 입력을 요구하는 방식으로 정보 유출이 이루어질 것으로 추정됩니다.

그러므로 "한진택배." 악성앱이 설치된 스마트폰 사용자는 기기 관리자에 등록된 항목을 비활성화한 후 설치된 애플리케이션 목록에서 악성앱을 찾아 제거하시기 바랍니다.

 

또한 추가적으로 다운로드되어 설치될 수 있는 모바일 뱅킹앱이 존재할 수 있으므로 모바일 백신을 통한 정밀 검사 또는 설치되어 있는 모바일 뱅킹앱을 찾아 모두 삭제한 후 Google Play에서 재설치를 하시기 바랍니다.

 

지속적으로 유포가 이루어지고 있는 택배 관련 스미싱(Smishing) 문자는 실제 택배 수령이 예정된 경우 쉽게 속을 수 있으므로 문자에 포함된 URL 주소를 클릭하여 APK 파일 다운로드 및 설치를 요구할 경우에는 절대로 실행하는 일이 없도록 주의하시기 바랍니다.