울지않는벌새 : Security, Movie & Society

Flash Player 업데이트를 요구하는 "Google App Play" 안드로이드(Android) 악성앱 주의 (2015.6.1)

벌새::Analysis

언론 사이트 중 위키트리(wikitree)는 2014년 7월경 웹 사이트 접속시 악성코드 감염을 유발하는 이슈로 문제가 된 적이 있었지만 당시에 공지된 사항에서는 심각하게 받아들이지 않는 분위기였습니다.

이후 PC 환경 뿐만 아니라 모바일 접속 환경에서도 악성코드 감염을 유발하는 문제가 지속되었으며, 최근에서야 관련된 침해 사고에 대해 심각하게 인지하는 듯합니다.

 

최근 지속적인 변종을 통해 위키트리(wikitree) 웹 사이트에 게시된 기사에 접속할 경우 안드로이드(Android) 스마트폰을 감염시키는 악성앱 유포와 관련된 부분을 자세하게 살펴보도록 하겠습니다.

스마트폰을 이용하여 위키트리(wikitree) 기사를 클릭할 경우 "You need to upgrade your Flash Player. flash play11.1 버전으로 업데이트해야만 계속 사용할수 있읍니다.."라는 메시지창이 생성되는 증상이 발생할 수 있습니다.

해당 동작은 위키트리(wikitree) 웹 사이트 접속 환경을 체크하여 스마트폰 환경인 경우 동작하며 PC 환경에서는 관련 동작이 이루어지지 않도록 User-Agent 체크를 수행합니다.

 

또한 위키트리(wikitree) 웹 사이트에 추가된 악성 iframe을 통해 특정 웹 사이트에 추가된 악성 스크립트를 통해 Flash Player 설치 메시지창이 생성되어 확인 버튼을 클릭할 경우 자동으로 newflash.apk 또는 flashupdate.apk 파일이 다운로드됩니다.

  • h**p://**gospel.net/_data/newflash.apk (SHA-1 : 61ab0440ca80773f1ee755a336c7fc751f1a0324) - 알약(ALYac) : Trojan.Android.Downloader.KRBanker
  • h**p://push**.com/pages/flashupdate.apk (SHA-1 : 57807d916d7c75b689638922a86149788e9dfbe4) - 알약(ALYac) : Trojan.Android.Downloader.KRBanker

특히 재접속 사용자의 경우에는 해당 동작이 중복되지 않도록 쿠키값 체크를 하고 있습니다.

다운로드된 APK 악성 파일을 사용자가 실행할 경우 "Google App Play" 애플리케이션 이름을 가진 앱 설치를 유도하며, 요구되는 권한 중에서는 SMS 문자 베시지 읽기/편집/수신/발신, 연락처 확인, 실행 중인 애플리케이션 검색, 백그라운드로 프로세스 종료 등을 요구합니다.

설치가 완료된 상태에서 정상적인 "Play 스토어" 애플리케이션(Google Play 스토어)과 동일한 모양의 아이콘을 가진 "Google App Play"가 생성되며, 사용자가 해당 앱을 실행할 경우 바로가기 아이콘은 자동 삭제되어 자신의 존재를 숨깁니다.

실행된 "Google App Play" 악성앱은 "최신버전을 업데이트 해주세요"라는 메시지 창을 생성하며, 사용자가 확인 버튼을 클릭할 경우 다음과 같은 공지 사항을 주기적으로 생성하여 확인 버튼을 클릭하도록 유도합니다.

[공지사항]

 

애플리케이션이 보안 기능을 우회하는것을 방지하여 사용자의 디바이스와 정보를 보호합니다 최신 보호 기능을 활용하려면 다음 화면에서 이용양관에 확인하여 자동 업데이트가 실행되도록 수락하세요.

  • h**p://cd*.co.kr/1.apk (SHA-1 : 3bff07573d39d7f74622fb287512796da8691f64) - AhnLab V3 Mobile : Android-Trojan/Bankun.e1a1
  • h**ps://www.via***.co.kr/imgftp/1.apk (SHA-1 : 71fffc96dd343559cb174e2f7a4ff3d518c975c8) - AhnLab V3 Mobile : Android-PUP/FakeInst.dc76, 알약(ALYac) : Trojan.Android.Downloader.KRBanker
  • h**p://cl.ly/0W073H1F1A2H/download/ghdr.apk (SHA-1 : 812c3ff4ec96ea26d491086dc885bd26eb79bc95) - AhnLab V3 Mobile : Android-Trojan/Bankun.db24

악성앱이 표시하는 메시지를 통해 특정 서버에서 1.apk 파일을 다운로드 시도를 하고 있으며, 테스트 당시에는 엄청난 파일 다운로드로 인한 일일 트래픽 초과로 정상적인 다운로드는 이루어지지 않았습니다.

만약 정상적으로 1.apk 악성 파일이 다운로드가 이루어진다면 "/sdcard/temp/test.apk" 파일명으로 생성되어 설치를 유도합니다.

  1. NH 스마트뱅킹(nh.smart)
  2. 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking)
  3. 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank)
  4. 경남은행 스마트뱅킹(com.knb.psb)
  5. 새마을금고 스마트뱅킹(com.smg.spbs)
  6. 우체국 스마트뱅킹(com.epost.psf.sdsi)
  7. 신협 S뱅킹(com.cu.sb)
  8. 외환은행 스마트뱅크(com.keb.android.mbank)
  9. KB국민은행 스타뱅킹(com.kbstar.kbbank)
  10. IBK ONE뱅킹 개인 - 스마트뱅킹(com.ibk.neobanking)

참고로 설치된 "Google App Play" 악성앱의 코드를 살펴보면 국내 10개 모바일 뱅킹, 공인인증서(NPKI), AhnLab V3 Mobile Plus 2.0(com.ahnlab.v3mobileplus) 앱에 대한 검색 동작이 포함되어 있는 전형적인 모바일 뱅킹을 표적으로 한 악성앱입니다.

 

이제 "Google App Play" 악성앱을 통해 추가적으로 다운로드될 수 있는 1.apk (= test.apk) 파일에 대해 살펴보도록 하겠습니다.

해당 앱 역시 "Google App Play" 이름을 가진 애플리케이션이며, 요구하는 권한을 살펴보면 SMS 문자 읽기/편집/수신/발신, 연락처 수정/확인, 백그라운드 프로세스 종료, 실행 중인 애플리케이션 검색, 시스템 경고 메시지 표시 등의 기능을 수행할 수 있습니다.

설치시에는 1.apk (= test.apk) 파일 내에 존재하던 baby.apk <SHA-1 : 75ff210b480821dc586b0fba6fa6a57560bf1fe7 - 알약(ALYac) : Trojan.Android.Downloader.KRBanker, avast! : Android:FakeBank-J [Trj]>파일(= 가짜 AhnLab V3 Mobile Plus 2.0)을 실행하여 백그라운드 방식으로 추가합니다.

 

설치가 완료된 상태에서는 위에서 언급한 것과 동일하게 "Google App Play" 악성앱 바로가기 아이콘이 생성되었다가 사용자가 실행할 경우 자동 삭제되면서 다음과 같은 동작을 수행할 수 있습니다.

"Google App Play" 악성앱 실행 후 "최신버전을 업데이트 해주세요" 메시지 창을 생성하여 확인 버튼을 클릭하도록 유도합니다.

모바일 뱅킹앱 설치시 필수적으로 포함될 수 있는 "AhnLab V3 Mobile Plus 2.0" 보안앱이 설치되어 있는 경우 애플리케이션 제거창을 지속적으로 생성하여 사용자로 하여금 삭제하도록 유도합니다.

  1. NH 스마트뱅킹(nh.smart)
  2. 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking)
  3. 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank)
  4. 경남은행 스마트뱅킹(com.knb.psb)
  5. 새마을금고 스마트뱅킹(com.smg.spbs)
  6. 우체국 스마트뱅킹(com.epost.psf.sdsi)
  7. 신협 S뱅킹(com.cu.sb)
  8. 외환은행 스마트뱅크(com.keb.android.mbank)
  9. KB국민은행 스타뱅킹(com.kbstar.kbbank)
  10. IBK ONE뱅킹 개인 - 스마트뱅킹(com.ibk.neobanking)
  11. 부산은행 BS개인스마트뱅크(com.areo.bs)

설치된 "Google App Play" 악성앱은 국내 11개 모바일 뱅킹앱을 표적으로 제작되어 있으며, 감염된 환경에서 모바일 뱅킹앱을 실행할 경우 다음과 같은 악의적인 기능을 수행할 수 있습니다.

하나은행 스마트폰 뱅킹을 실행한 경우 실제로는 이미 삭제된 가짜 "AhnLab V3 Mobile Plus 2.0" 화면도 함께 표시하면서 애플리케이션 실행이 이루어집니다.

이후 "최신 업데이트가있습니다 설치후 서비스이용하십시오!" 메시지 창과 "업그레이드 패키지를 다운로드, 양해 해 주시기 바랍니다"라는 설치 화면이 자동 생성됩니다.

[공지사항]

 

금융감독당국 정책에 의거 전금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스전면시행(의무화)을 아래와 같이 안내하오니, 사전에 연락처 정비 및 서비스 가입을 부탁드립니다.전면시행일 : 2015년5월26일(예정) 연락처 정비 및 서비스를미가입한 경우 본인확인절차 강화 및 금융거래가 중단될수 있습니다.

이후 공지 사항을 생성하여 의무적으로 시행하는 본인 확인 절차에 따라 개인/금융 정보를 입력하도록 유도할 수 있습니다.

코드를 통해 확인해보면 이름, 계좌 번호, 계좌 비밀번호, 계좌 유형, 인증서 비밀번호, 주민등록번호, 이체 비밀번호 등의 다양한 정보를 입력하도록 요구할 수 있습니다.

또한 "[안내]은행시스템 보안강화가 있습니다 서비스 가입하시기바랍니다"라는 허위 메시지를 표시할 수 있습니다.

그 외에도 "보안 강화를 위한 안전 보안사진 촬영을 완료해 주시기 바랍니다"와 같은 메시지를 통해 보안카드와 같은 특정 금융 정보를 캡처하도록 유도하여 JPG 그림 파일 형태로 저장할 수 있습니다.

위와 같은 개인/금융 정보, 공인인증서(NPKI) 파일 등의 수집된 정보는 "tng@vip.126.com" 이메일 계정으로 자동 전송되며, 전송된 메일은 "mde@vip.126.com" 이메일 계정으로 재전송하여 1차 이메일 계정에서는 보관하지 않도록 설정되어 있습니다.

 

■ "Google App Play" 악성앱 삭제 방법

설치된 "Google App Play" 악성앱은 정상적인 "Google Play 스토어" 애플리케이션과 아이콘 및 이름이 매우 유사하므로 혼동하지 않도록 하시기 바랍니다.

 

또한 추가적인 악성앱 다운로드 및 설치가 존재할 수 있으며, 기존에 설치된 모바일 뱅킹앱 바꿔치기도 발생할 수 있으므로 모바일 백신을 이용하여 정밀 검사를 하시기 바라며, 스마트폰에 공인인증서(NPKI)가 저장되어 있는 경우에는 반드시 폐기 후 재발급 받으시기 바랍니다.

 

위와 같이 최근까지 위키트리(wikitree) 웹 사이트를 스마트폰 환경에서 접속할 경우 Drive-by Download 방식으로 자동 다운로드되어 설치를 유도할 수 있다는 점을 명심하시기 바라며, 안드로이드(Android) 스마트폰 사용자는 인터넷 웹 사이트 접속시 메시지 창을 통해 추가적인 애플리케이션 설치를 유도하는 경우에는 함부로 설치하는 일이 없도록 각별히 주의하시기 바랍니다.