울지않는벌새 : Security, Movie & Society

공유기 DNS 서버 변경을 통한 SmartTouch 악성앱 감염 주의 (2015.6.6)

벌새::Analysis

최근에 새롭게 발견된 유무선 공유기 DNS 서버 변경을 통해 PC 및 스마트폰을 통해 포털 사이트 접속시 "최신버전 smart touch 출시" 관련 메시지 창이 생성되는 이슈가 있습니다.

'h**p://98.126.52.115' 페이지 내용:

 

최신버전 smart touch 출시되었습니다. 업데이트후 이용하시기바랍니다.

해당 메시지 창을 통해 설치가 이루어지는 안드로이드(Android) 악성앱에 대한 개략적인 정보가 확인되어 살펴보도록 하겠습니다.

  • SHA-1 : 3fccd11354daf6c5a6048feb6fe39c414d387048 - AhnLab V3 Mobile : Android-Trojan/Mqt.b457

최신 펌웨어 업데이트 및 비밀번호 설정 등의 보안 설정이 제대로 이루어지지 않은 공유기가 해킹되어 DNS 서버 주소가 변경된 상태에서 포털 사이트 접속시 "98.126.52.114 / 98.126.52.115 / 98.126.52.116 / 98.126.52.117" IP 주소로 연결되어 "최신버전 smart touch 출시되었습니다. 업데이트후 이용하시기바랍니다." 메시지 창을 생성하여 (5자리 숫자 + 4자리 영문).apk 파일 패턴을 가진 APK 파일을 다운로드합니다.

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.WAKE_LOCK
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.SEND_SMS
  • android.permission.WRITE_SETTINGS
  • android.permission.DISABLE_KEYGUARD
  • android.permission.READ_CONTACTS
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.GET_TASKS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.RESTART_PACKAGES
  • android.permission.CHANGE_NETWORK_STATE
  • android.permission.CALL_PHONE

다운로드된 APK 파일을 실행할 경우 SmartTouch 애플리케이션 설치를 진행하며, 요구하는 권한 중에서 SMS 문자 메시지 읽기/편집/수신/발신, 연락처 확인, 경고창 생성, 실행 중인 애플리케이션 검색 및 프로세스 종료 등을 수행할 수 있습니다.

설치가 완료된 후에는 바탕 화면에 SmartTouch 악성앱 바로가기 아이콘이 생성되며, 사용자가 애플리케이션 실행을 진행할 경우 다음과 같은 동작 후 아이콘을 삭제하여 자신의 존재를 숨깁니다.

실행된 SmartTouch 악성앱은 기기 관리자 활성화 요구를 통해 화면 잠금 기능을 제어하려고 하므로 애플리케이션 설치 후 기기 관리자 활성화를 요구하는 앱은 함부로 허용하지 않도록 주의하시기 바랍니다.

만약 SmartTouch 악성앱에 대한 기기 관리자 활성화를 허용한 경우 애플리케이션 제거 버튼을 비활성화하여 삭제를 방해합니다.

백그라운드 방식으로 실행되는 SmartTouch 악성앱(※ 패키지 이름 : com.games.bdafdsfsd)은 실행 중인 애플리케이션 검색을 통해 표적이 되는 애플리케이션이 존재할 경우 "새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다."와 같은 메시지 창을 지속적으로 생성할 수 있습니다.

 

이를 통해 추가적인 악성앱(APK) 파일 다운로드 및 설치를 통해 악의적인 기능을 수행할 수 있으며, 일반적으로 기존의 모바일 뱅킹 삭제를 통한 가짜 모바일 뱅킹 악성앱을 추가 설치하여 개인/금융 정보 탈취, 스미싱(Smishing) 문자 발송 등의 행위를 할 수 있습니다.

그러므로 공유기 해킹을 통해 다운로드된 APK 파일을 실행하여 SmartTouch 악성앱을 설치한 사용자는 반드시 기기 관리자에서 SmartTouch 항목을 체크한 후 설치된 애플리케이션 목록 중에서 SmartTouch 앱을 찾아 삭제하시기 바랍니다.

 

또한 추가적인 악성앱 다운로드 및 설치가 존재할 수 있으므로 모바일 백신을 통해 정밀 검사를 통해 점검하시기 바라며, 근본적으로 스마트폰 감염을 유발한 공유기의 공장 초기화, 펌웨어 업데이트, 보안 설정을 꼼꼼하게 체크하여 반복적으로 위와 같은 위협에 노출되지 않도록 하시기 바랍니다.