본문 바로가기

벌새::Analysis

공유기 DNS 서버 변경을 통한 SmartTouch 악성앱 감염 주의 (2015.6.6)

최근에 새롭게 발견된 유무선 공유기 DNS 서버 변경을 통해 PC 및 스마트폰을 통해 포털 사이트 접속시 "최신버전 smart touch 출시" 관련 메시지 창이 생성되는 이슈가 있습니다.

'h**p://98.126.52.115' 페이지 내용:

 

최신버전 smart touch 출시되었습니다. 업데이트후 이용하시기바랍니다.

해당 메시지 창을 통해 설치가 이루어지는 안드로이드(Android) 악성앱에 대한 개략적인 정보가 확인되어 살펴보도록 하겠습니다.

  • SHA-1 : 3fccd11354daf6c5a6048feb6fe39c414d387048 - AhnLab V3 Mobile : Android-Trojan/Mqt.b457

최신 펌웨어 업데이트 및 비밀번호 설정 등의 보안 설정이 제대로 이루어지지 않은 공유기가 해킹되어 DNS 서버 주소가 변경된 상태에서 포털 사이트 접속시 "98.126.52.114 / 98.126.52.115 / 98.126.52.116 / 98.126.52.117" IP 주소로 연결되어 "최신버전 smart touch 출시되었습니다. 업데이트후 이용하시기바랍니다." 메시지 창을 생성하여 (5자리 숫자 + 4자리 영문).apk 파일 패턴을 가진 APK 파일을 다운로드합니다.

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.WAKE_LOCK
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.SEND_SMS
  • android.permission.WRITE_SETTINGS
  • android.permission.DISABLE_KEYGUARD
  • android.permission.READ_CONTACTS
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.GET_TASKS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.RESTART_PACKAGES
  • android.permission.CHANGE_NETWORK_STATE
  • android.permission.CALL_PHONE

다운로드된 APK 파일을 실행할 경우 SmartTouch 애플리케이션 설치를 진행하며, 요구하는 권한 중에서 SMS 문자 메시지 읽기/편집/수신/발신, 연락처 확인, 경고창 생성, 실행 중인 애플리케이션 검색 및 프로세스 종료 등을 수행할 수 있습니다.

설치가 완료된 후에는 바탕 화면에 SmartTouch 악성앱 바로가기 아이콘이 생성되며, 사용자가 애플리케이션 실행을 진행할 경우 다음과 같은 동작 후 아이콘을 삭제하여 자신의 존재를 숨깁니다.

실행된 SmartTouch 악성앱은 기기 관리자 활성화 요구를 통해 화면 잠금 기능을 제어하려고 하므로 애플리케이션 설치 후 기기 관리자 활성화를 요구하는 앱은 함부로 허용하지 않도록 주의하시기 바랍니다.

만약 SmartTouch 악성앱에 대한 기기 관리자 활성화를 허용한 경우 애플리케이션 제거 버튼을 비활성화하여 삭제를 방해합니다.

백그라운드 방식으로 실행되는 SmartTouch 악성앱(※ 패키지 이름 : com.games.bdafdsfsd)은 실행 중인 애플리케이션 검색을 통해 표적이 되는 애플리케이션이 존재할 경우 "새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다."와 같은 메시지 창을 지속적으로 생성할 수 있습니다.

 

이를 통해 추가적인 악성앱(APK) 파일 다운로드 및 설치를 통해 악의적인 기능을 수행할 수 있으며, 일반적으로 기존의 모바일 뱅킹 삭제를 통한 가짜 모바일 뱅킹 악성앱을 추가 설치하여 개인/금융 정보 탈취, 스미싱(Smishing) 문자 발송 등의 행위를 할 수 있습니다.

그러므로 공유기 해킹을 통해 다운로드된 APK 파일을 실행하여 SmartTouch 악성앱을 설치한 사용자는 반드시 기기 관리자에서 SmartTouch 항목을 체크한 후 설치된 애플리케이션 목록 중에서 SmartTouch 앱을 찾아 삭제하시기 바랍니다.

 

또한 추가적인 악성앱 다운로드 및 설치가 존재할 수 있으므로 모바일 백신을 통해 정밀 검사를 통해 점검하시기 바라며, 근본적으로 스마트폰 감염을 유발한 공유기의 공장 초기화, 펌웨어 업데이트, 보안 설정을 꼼꼼하게 체크하여 반복적으로 위와 같은 위협에 노출되지 않도록 하시기 바랍니다.

 

  • 구글 크롬으로 우겨먹다가 이제 어느정도 알려지니까 이제는 스마트터치로 바꾼것같은느낌이드네요.

  • emnurter 2015.06.06 20:51 댓글주소 수정/삭제 댓글쓰기

    저도이게 떠서 모르고 설치해 버렸는데 아차 싶어서 백신프로그램 돌려서 다 삭제를 했는데요.
    삭제해도 저 창이 계속뜨다가 갑자기 안뜨는데 안심해도 되나요?

    • 저 창이라는 것이 포털 접속시 Smart Touch 메시지를 말씀하시는건가요?

      그게 맞다면 사용자가 공유기 펌웨어 업데이트 및 보안 설정을 하지 않은 상태에서 안뜬다고 방심하지 마시기 바랍니다.

      다음에 또 공격 들어올 수 있으니 링크 내용을 참고하여 수정하시기 바랍니다.

      http://hummingbird.tistory.com/5935

  • 제 주변지인들에게 이글을 공유했어요~

  • 안녕하세요 저 지금 폰갖고 놀다가 저게 떠서 머지하고 눌렀는데 다운은됐다는데 인터넷이 안열려요 답답해서 검색해보려고 들어왔다 글읽어보고 아차 싶네요 폰살때 홈화면밑에 인터넷아이콘클릭하니 한자가 자꾸뜨고 인터넷이 안들어기져요 ㅠㅠ 해결방법이 없나요?

    • 한자가 뜨는 경우에는 공격자 서버가 막혔거나 하는 문제이므로 공유기 펌웨어 업데이트, 공유기 초기화 및 보안 설정을 하시고 재확인해 보시기 바랍니다.

  • 다운을 받았는데 설정-기기관리에서 비활성화가 되지 않아요 비활성화 누르기도 전에 설정에서 튕겨저 나가버리는데 이럴때는 어떻게 해야하는지 아시나요..?.. ㅠㅠㅠ

  • 좋은글 감사합니다. 요즘 다음 카페에만 들어가면 쿠차 직방 등의 플레이스토어 설치창으로 넘어가거나 광고페이지로 넘어가는 일이 잦습니다. 다른 사이트는 괜찮은데 모바일로 다음 카페 들어갈 때만 그런 것도 공유기의 문제일까요?

    • 광고 프로그램이 설치된 PC에서 나타나는 증상이 아닌가 생각됩니다.

      http://hummingbird.tistory.com/notice/4859

      링크 내용을 확인하시고 run 파일을 만들어 보내주시면 확인해 보겠습니다.

    • 감사합니다. 2015.06.08 20:41 댓글주소 수정/삭제

      스캔해서 메일 보냈습니다. 번거로우실텐데 감사합니다.

  • 부탁드립니다 2015.07.05 02:10 댓글주소 수정/삭제 댓글쓰기

    악성 apk 를 분석해보고 싶은데 apk 받을 수 있을까요??

  • 노트북 2015.09.29 21:47 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 집에서 와이파이 쓰는 랩탑에서 크롬 열면 저 메세지가 뜨는데요 어차피 apk 파일이니까 노트북은 이상 없겠죠? 3개월사이에 윈도우까지 진출한거면ㄷㄷ 어차피 공유기를 바꾸기는 할겁니다 그리고 해당 바이러스 증상중에 아이피가 바뀌는 것도 있나요? 메세지가 뜨기 시작한 게 어제 아침인데 저녁에 보니 아이피가 바뀌어 있어서요

    • APK 파일은 안드로이드 모바일 환경에서만 동작하므로 Windows 환경에서는 아무런 영향을 주지 못합니다.

      또한 공유기 해킹에 사용되는 IP 주소는 다양합니다. 특히 해킹된 공유기로 연결되는 악성 IP를 통해 PC에 영향을 줄 수 있는 스크립트도 존재할 수 있으므로 공유기 펌웨어 업데이트 및 보안 설정을 꼼꼼하게 하시기 바랍니다.