본문 바로가기

벌새::Analysis

가짜 Flash Player 업데이트를 통한 스마트폰 감염 주의 (2015.6.12)

스마트폰을 이용하여 국내 언론 사이트를 접속할 경우 노출될 수 있는 특정 광고 네트워크를 통해 유포가 이루어지는 가짜 Flash Player 업데이트를 통해 모바일 뱅킹을 표적으로 한 악성앱 유포 사례를 살펴보도록 하겠습니다.

 

해당 이슈는 Flash Player 업데이트를 통해 지속적으로 변종을 유포하는 조직이므로 참고하시기 바랍니다.

h**p://nws.lum*eyes.com/libs2/js/commons.js

어제(2015년 6월 11일) 유포된 정보를 확인해보면 언론사 광고 영역에 삽입된 광고 영역에 코드를 추가하여 특정 웹 서버로부터 1.js 악성 스크립트를 받아오는 동작을 확인할 수 있습니다.

 

이를 통해 언론사 기사를 클릭할 경우 자동으로 특정 웹 페이지로 자동 연결되어 다음과 같은 동작을 확인할 수 있으며,  확인된 언론 사이트는 연예인 사생활을 집중적으로 다루며 팩트를 강조하는 곳으로 최근 지속적으로 악성앱 유포 행위가 발견되고 있습니다.

You need to upgrade your Flash Player. flash play11.2 버전으로 업데이트해야만 계속 사용할수 있읍니다..

Flash Player 업데이트 창 생성을 통해 사용자가 확인 버튼을 클릭할 경우 해킹된 국내 특정 웹 서버로부터 다음과 같은 악성 APK 파일을 다운로드할 수 있습니다.

  • h**p://**undhouse.co.kr/files/flash11.2.apk (SHA-1 : 15fd9048bc8948d873867ab3cbb5e16c6038b879) - 알약(ALYac) : Downloader.Android.KRBanker.Gen

다운로드된 flash11.2.apk 악성 파일을 사용자가 직접 실행하여 다음과 같은 설치 과정을 거쳐야 최종 감염에 성공하므로 원치않게 다운로드된 flash11.2.apk 파일을 삭제하시면 됩니다.

다운로드된 flash11.2.apk 악성 파일을 실행할 경우 "Flash update" 악성앱 설치를 시도하며, 요구하는 권한에서는 SMS 문자 읽기/편집/수신/발신, 연락처 읽기, 실행 중인 애플리케이션 검색, 경고창 생성 등의 기능을 수행할 수 있습니다.

설치가 완료된 "Flash update" 악성앱은 바로가기 아이콘을 생성하지만 실행시 기기 관리자 활성화를 요구하여 삭제를 방해하며 생성된 바로가기 아이콘을 자동 삭제하여 자신의 존재를 숨깁니다.

감염된 환경에서는 일본(Japan)에 위치한 "rttukdrks.iego.net (126.117.61.227)" 서버에 스마트폰 기종, 안드로이드(Android) 버전, 설치된 모바일 뱅킹앱 이름 등에 대한 정보를 전송합니다.

  1. NH 스마트뱅킹(nh.smart)
  2. 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking)
  3. 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank)
  4. 경남은행 스마트뱅킹(com.knb.psb)
  5. 새마을금고 스마트뱅킹(com.smg.spbs)
  6. 우체국 스마트뱅킹(com.epost.psf.sdsi)
  7. 신협 S뱅킹(com.cu.sb)
  8. 외환은행 스마트뱅크(com.keb.android.mbank)
  9. KB국민은행 스타뱅킹(com.kbstar.kbbank)
  10. IBK ONE뱅킹 개인 - 스마트뱅킹(com.ibk.neobanking)
  11. 부산은행 BS개인스마트뱅크(com.areo.bs)

또한 실행된 "Flash update" 악성앱은 감염된 스마트폰에 설치된 11종의 모바일 뱅킹앱, 공인인증서(NPKI), AhnLab V3 Mobile Plus 2.0 보안앱(com.ahnlab.v3mobileplus)를 검사하여 다음과 같은 악의적 행위를 진행합니다.

  • h**p://www.suyong**.com/files/2.apk (SHA-1 : 133efd7c0ba42aff308448e894610d685fd43598) - AhnLab V3 Mobile : Android-PUP/FakeInst.dc76, 알약(ALYac) : Trojan.Android.Downloader.KRBanker

"최신버전을 업데이트 해주세요" 메시지 창 생성을 통해 국내 특정 웹 서버에서 2.apk 악성 파일을 추가로 다운로드합니다.

이 과정에서 다운로드된 2.apk 악성 파일은 "/sdcard/temp/test.apk" 파일로 생성되어 다음과 같은 방식으로 설치 단계로 연결되며 설치가 완료된 후에는 설치 파일은 자동 삭제 처리를 합니다.

[공지사항]

 

애플리케이션이 보안 기능을 우회하는것을 방지하여 사용자의 디바이스와 정보를 보호합니다 최신 보호 기능을 활용하려면 다음 화면에서 이용양관에 확인하여 자동 업데이트가 실행되도록 수락하세요.

자동으로 다운로드된 2.apk (= test.apk) 악성 파일 설치를 위해 공지사항 창을 생성하여 확인 버튼을 클릭하도록 유도하여 다음과 같은 설치가 진행됩니다.

추가로 설치되는 "Google App Play" 악성앱은 SMS 문자 메시지 및 연락처 확인, 경고창 생성, 실행 중인 애플리케이션 검색 및 종료 등의 권한을 요구하고 있습니다.

설치된 "Google App Play" 악성앱은 기기 관리자 활성화를 요구하여 강제 종료 및 제거 버튼을 비활성화하여 삭제를 방해합니다.

  • bab.apk (SHA-1 : 6d1dc514dc29f7fc857939b5ba12d1129703168c) - avast! : Android:FakeBank-J [Trj]

2.apk (= test.apk) 악성 파일 내부에 포함되어 있던 bab.apk 파일은 "Google App Play" 악성앱 설치 과정에서 "/sdcard/bab.apk" 파일로 임시 생성되어 가짜 AhnLab V3 Mobile Plus 2.0 보안앱 기능을 수행합니다.

실행된 "Google App Play" 악성앱은 "최신버전을 업데이트 해주세요" 경고창을 생성하여 확인 버튼을 클릭할 경우 10초 간격으로 모바일 뱅킹앱과 함께 동작할 수 있는 "AhnLab V3 Mobile Plus 2.0" 보안앱 제거를 요구하는 창을 생성하여 삭제를 시도합니다.

"Google App Play" 악성앱은 앞서 언급한 11종의 국내 모바일 뱅킹앱을 표적으로 제작되어 있으며, 사용자가 감염된 스마트폰을 이용하여 모바일 뱅킹앱을 실행할 경우 다음과 같은 악의적인 행위를 수행할 수 있습니다.

스마트폰에 저장된 공인인증서(NPKI) "cros, sign, yess, kisa, trad, ncas" 값을 검사하여 존재할 경우 /temp 폴더 내에 (전화번호)_npki.zip 압축 파일로 저장하여 외부로 유출할 수 있습니다.

감염된 환경에서 "하나N Bank - 하나은행 스마트폰뱅킹" 모바일 뱅킹앱을 실행할 경우 실제로는 삭제된 AhnLab V3 Mobile Plus 2.0 보안앱이 동작하는 것처럼 표시를 합니다.

다음 단계에서는 "최신 업데이트가있습니다 설치후 서비스이용하십시오!", "업그레이드 패키지를 다운로드, 양해 해주시기 바랍니다" 화면을 제시하여 기존과 다른 변화가 있는 것처럼 사용자를 속입니다.

[공지사항]

 

금융감독당국 정책에 의거 전금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스전면시행(의무화)을 아래와 같이안내하오니, 사전에 연락처 정비 및 서비스가입을 부탁드립니다.전면시행일 : 2015년9월26일(예정) 연락처 정비 및 서비스를미가입한 경우 본인확인절차 강화 및 금융거래가 중단될 수 있습니다.

이후 단계에서는 공지사항 창을 생성하여 전자금융사기 예방 서비스를 위한 본인 확인 절차가 있음을 안내하고 있습니다.

다음 단계에서는 "[안내]은행시스템 보안강화가 있습니다 서비스 가입하시기바랍니다" 메시지 창을 생성하여 다음과 같은 과도한 정보 입력을 유도합니다.

이를 통해 전화번호, 아이디(ID), 이름, 계좌 번호, 비밀번호, 인증서 비밀번호, 주민등록번호, 이체 비밀번호 등의 개인 및 금융 정보를 모두 입력하도록 유도합니다.

특히 보안카드 수집을 목적으로 "보안 강화를 위한 안전 보안사진 촬영을 완료해 주시기 바랍니다." 메시지를 통해 스마트폰을 통해 보안카드를 촬영하도록 유도하여 JPG 그림 파일로 저장하여 외부로 유출을 시도할 수 있습니다.

이렇게 수집된 정보는 "nrs@vip.126.com" 이메일 계정으로 전송하여 금전 피해를 유발할 수 있습니다.

 

■ 악성앱 제거 방법

해당 악성앱을 제거하기 위해서는 기기 관리자(휴대폰 관리자)에 등록된 "Flash update", "Google App Play" 항목의 체크를 해제하여 비활성화하시기 바라며, 만약 해제가 이루어지지 않는 경우에는 안전 모드로 스마트폰을 부팅하여 기기 관리자를 해제하시기 바랍니다.

이후 설치된 애플리케이션 중에서 "Flash update", "Google App Play" 악성앱을 찾아 활성화된 제거 버튼을 이용하여 삭제를 진행하시면 되며, 추가적으로 모바일 백신을 통해 정밀 검사를 진행하시기 바랍니다.

특히 정상적인 "Google Play 스토어" 애플리케이션과 "Google App Play" 악성앱이 동일한 아이콘과 유사한 이름으로 구성되어 있으므로 혼동하지 않도록 하시기 바랍니다.

 

위와 같이 스마트폰을 이용하여 웹 사이트 방문시 메시지 창 생성을 통해 APK 파일 다운로드를 통해 악성앱 설치를 시도하는 사례가 지속적으로 발견되고 있으므로 안드로이드(Android) 스마트폰 사용자는 매우 주의하시기 바랍니다.

  • 저도 페이스북 페이지보는데 자꾸 설치하라해서 설치했는데 이상해서 이페이지보고 써있는데로 삭제했습니다 안드로이드관리자에선 삭제안되서 알약으로 삭제는 했는데 삭제만 하면 되는건가요?

    • 질문하신 내용으로는 알 수 없지만 백신에서 진단하고 있다면 해결되신 것 같습니다. 일반적으로 모바일뱅킹을 노리므로 은행앱 실행시 평소와 다르다면 은행앱도 삭제하시고 재설치하시기 바랍니다.

    • 알약으로 검사했는데 정상적인 앱으로 간주하더라구요 벌새님 말씀대로 이페이지를 보기위해서는 플래쉬업데이트버전이 필요합니다하면서 계속 떠서 깔았던거구요 ㅠㅠ 알약에서도 정상적인앱으로 뜨길래 안드로이드관리자에서 제거가 안되길래 알약앱관리에서 강제삭제시켰는데 오늘 페이스북봐도 똑같이 업데이트하라고 자꾸 뜨네요 몇몇 페이지에서만 이런게 뜨던데 괜찮은건지요?그리고 삭제는했습니다만 찝찝해서 완전히 해결된건지 궁금합니다 답변또한 감사드리구요

    • 기기 관리자에서 체크 해제가 되지 않는 경우에는 스마트폰을 안전 모드로 부팅해서 체크 해제 후 제거를 진행하시면 됩니다.

      혹시 다운로드되는 apk 파일을 전달해 주실 수 있으면 http://hummingbird.tistory.com/notice/911 게시글에서 안내하는 이메일로 보내주시기 바랍니다.

  • 좋은 정보 감사합니다~~

  • 비밀댓글입니다

  • 방금 댓글 쓴 사람인데요 공지사항이 계속 떠서 미치겠어요 구글앱플레이 는설치 안했고요
    플래시 어쩌고 그건 업데이트해서 파일을 다운은 받았고요 앱을 지울라고해봐도 앱은 안깔려있고요 어찌해야하나요 ㅠㅠ ?

    • 여기에서 설명한 이름에서 변경된 것이 아닌가 의심됩니다. 다운로드하여 설치할 때 표시한 이름을 기억하여 제거하시거나 모바일 백신으로 정밀 검사해 보시기 바랍니다.

    • 혹시 플레쉬업데이트하라거 뜨지 않았나요?안드로이드관리자에선 삭제안되서 알약 앱관리에서 삭제했습니다 제가 깔았던 악성앱은 빨간색아이콘 flash update 였던걸로 기억합니다

  • 저도 flash update 까지 깔았는데 진동모드임에도 소리나면서 업데이트하라고 계속 뜨길래 이상해서 검색해보니 혹시나가 역시나 ㅠㅠㅠ 안드로이드에서는 안되고 알약으로 삭제했더니 더이상 창은 안뜨네요 어플 설치한상태에서는 금융어플 클릭 안했구요 구글플레이까지는 깔지 않았어요. 문제가 되지는 않겠죠? 공인인증서가 핸드폰에있는데.. 이거 폐기도하고 서비스센터가서 초기화니 뭐니 다 해야될까요? 일단 어플 삭제하고 하나은행 앱 켜보니 정상적으로 작동은했습니다 ㅠㅠ 도와주세요 ㅠㅠㅠ

    • 최초 설치한 앱을 제거하시고 더 이상의 동작이 없다면 해결된 것 같습니다. 인증서는 불안하시면 폐기하시고 재발급 받으시기 바랍니다.

    • BlogIcon 이런 2015.06.25 01:08 댓글주소 수정/삭제

      윗분이랑 같은 일을 겪었어요 찝찝해서 초기화할려했는데..
      너무 번거롭고.. 다시 은행어플깔고 인증서재발급받으면 됄까요? 이바이러스가 다른 정보는 안훔쳐가나요..? 사진이라던가 불안하네요..
      포스팅 보고 어플삭제는 했어요 너무 감사해요

    • 해당 악성앱은 정보 유출이 가능하기 때문에 사용자 부주의로 감염되었다면 그런 부분이 불안할 수 있을 것 같습니다.

      하지만 해당 조직은 금융 정보를 표적으로 하므로 수집되었더라도 별 쓸모가 없다고 판단할겁니다.

  • 사진 가져갑니다!!

  • 감사해요 진짜 ㅠㅠㅠㅠㅠ

  • 와 제가당한게 그대로 여기써있네요 저는 이앱때문인건지 스미싱도당했어요 이글 페이스북에 공유해도될까요????

  • 저도 방금 페북보다가 당해서 불안해서 전 금융어플 들어가서 암호만 바꾸었어요. 지금 전 금융사기 당한상태라 모든 은행거래가 정지된 상태거든요.그래도 개인정보가 나가나요?
    일단 이 정보보고 전 알약으로 지우지 않고 관리자에서 지웠더니 V3삭제하라고 1분마다 뜨던게 안뜨더라구요. 혹시몰라 알약 검사도 하고 공장초기화도 했습니다. 돈이 빠져나간다거나 개인정보가 빠져나간다던가 그런가요? 지금 금융사기 당한상태라 더더욱 불안하네요 제발 알려주세요. 은행어플 들어가서 인증서 암호바꿨는데 뭘 더 해야할까요?

    • 공장초기화를 했다면 악성앱은 모두 제거된겁니다. 하지만 감염으로 인해 어떤 정보를 입력하였다면 유출 가능성이 있을 수 있습니다.

      자신의 금융 자산은 아무도 보호해주지 않는다고 생각하시고 불안한 요소가 있다면 비밀번호 변경 및 공인인증서 재발급을 하시기 바랍니다.

  • 하나만 더 물어볼게요! 첨에 V3삭제하라해서 삭제했다가 뭔가 이상해서 국민은행 이용하는데 은행어플 들어가서 다시 정품 V3깔아서 인증서 암호만 변경하고 바로 나왓어요.그리고 계속V3삭제하라는 창이 떳는데 계속 취소하면서 무시했구요.그리고 은행어플 업데이트 이런거 없었거든요. 그럼 개인정보 안나간거죠? 돈 안빠져나가죠? 무서워요 답변 부탁드리겟습니다.

  • 비밀댓글입니다

    • 단순히 apk 파일을 다운로드하였다고 감염되는 것이 아니라 다운로드된 apk 파일을 실행하여 앱을 설치해야 합니다. 그런데 avast!에서 다운로드되는 apk 파일을 진단했다면 아무런 피해가 발생하지 않습니다.

  • 비밀댓글입니다

  • 정말 감사합니다! 괜히 이상한거 눌러서 깔렸는데 이 글보고 해결했어요!

  • 정말 감사합니다. 2015.07.04 06:14 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 선생님께서 게시하신 글 본문에

    [공지사항]
    금융감독당국 정책에 의거 전금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스전면시행(의무화)을 아래와 같이안내하오니, 사전에 연락처 정비 및 서비스가입을 부탁드립니다.전면시행일 : 2015년9월26일(예정) 연락처 정비 및 서비스를미가입한 경우 본인확인절차 강화 및 금융거래가 중단될 수 있습니다.
    이후 단계에서는 공지사항 창을 생성하여 전자금융사기 예방 서비스를 위한 본인 확인 절차가 있음을 안내하고 있습니다.

    저 창이 떠서 확인을 누르고 비밀번호입력하라는 창이 떠서 찝찝해서 입력은 안하고 지금 이 게시글 접하게 되었는데 일단은 apk 파일을 실행해서 앱을 설치한상태라 불안합니다. /temp 폴더 내에 (전화번호)_npki.zip도 확인했구요.. 그럼 일단 제 개인정보는 빠져나간게 맞겠죠? 돈은 비밀번호(금융정보)를 입력하지않았으니 안빠져나가겠죠? 하..그럼 이거 공인인증서를 재발급받거나 인증서 비밀번호 변경해야되는건가요??

    또, 악성 apk 파일을 지우려고하는데 안전모드로 삭제해도 깔끔하게 지워지는지 아니면 공장초기화를해야하는지 어떤방법이 안전한가요?

    • 공인인증서와 같은 일부 금융 정보가 유출되었을 수 있으므로 폐기 후 재발급을 받으시는 것이 좋습니다.

      또한 비밀번호, 계좌 번호 등을 입력하지 않았다면 유출되지는 않으므로 잘 판단해 보시기 바랍니다.

      마지막으로 스마트폰에서 제공하는 앱 삭제 방법도 깨끗하게 삭제하는 것은 맞습니다. 단지 불안하시다면 모바일 백신으로 정밀 검사를 해보시기 바랍니다.

  • 정말 감사합니다. 2015.07.05 06:32 댓글주소 수정/삭제 댓글쓰기

    안전모드로도 들어갔는데 삭제가 왜 안되죠??ㅠㅠ
    기종은 갤럭시s3 인데.. 하.. 공장초기화가 답인가요?
    공인인증서도 주말이라 내일 변경해야할것같네요..

  • 저도 PDF 파일 핸드폰으로 보려고 했는데 PDF 보려면 Flase update 를 깔으라며 자동으로 떠서 설치했는데,, 결국 신한S뱅크 가 가짜가 설치되고 난리가 났었어요 . 이 포스팅 잘보고 갑니다. 블로그로 퍼가고 싶은데 안되네요 ㅠㅠㅠ 일부 캡쳐해서 써도될까요? 출처는 반드시 남길께요 . 그리고 제 블로그 포스팅 오셔서 한번만 제 증상 봐주세요 flase update 삭제하고 모든게 정상화 됬는데 꼭 공장초기화를 해야될까요? ㅠㅠㅠ 도와주세요 http://blog.naver.com/bogili/220414332999

  • 급해요!! 2016.02.24 23:53 댓글주소 수정/삭제 댓글쓰기

    저 페북 인사이트 보다가 뭐 깔아야 한다길래 확인 안눌르고 뒤로 가기 눌럿는데 저절로 깔렸어요! v3삭제하라는 창은 안뜨구요!! 별다른거 없었지만 불안해서 설정에서 은행어플 한번만 들어갔다 나왔어요. 아무것도 클릭하지 않았습니다!! 나와서 바로 디바이스 전체 초기화 했거든요!! 근데도 뭐 문제있을까요? 2틀뒤에 폰 바꿀거라 그때 아예 재발급 받으려고 하는데....내일이라도 새로 발급받고 2틀뒤에 다시 발급받는게 좋을까요?

    • 뭔가 착각하시는 것 같습니다. 인사이트 접속 중에 자동으로 악성 APK 파일이 다운로드될 수는 있지만 자동 설치가 이루어지지는 않습니다.

      그런 방식으로 유포되는 방식은 현재 없으며, 다운로드 폴더에서 APK 파일은 찾아 삭제하시면 됩니다.

  • ZZZZZ 2016.02.25 09:22 댓글주소 수정/삭제 댓글쓰기

    apk파일이 다운로드 됬다고 떴어요. 그래서 아예 공장초기화를 했는데 그럼 문제없겠죠? 오늘 은행가서 공인인증서 삭제신청하고 2틀뒤에 공인인증서 재발급 받으려구요!
    저는 저 빨간색 flash 파일이랑 google app play안깔려 있었어요! 설정에서 찾아보니까 없었는데 그래도 불안해서 공장초기화했거든요

    • 다운로드되었다고 나오지 설치되었다는 것을 의미하는 것이 아닙니다.

      단순히 다운로드된 경우에는 apk 파일을 찾아서 삭제만 하시면 되며, 사용자가 다운로드된 apk 파일을 직접 실행해서 설치를 진행할 경우에는 최종적으로 감염된 것입니다.

  • 비밀댓글입니다