울지않는벌새 : Security, Movie & Society

가짜 Flash Player 업데이트를 통한 스마트폰 감염 주의 (2015.6.12)

벌새::Analysis

스마트폰을 이용하여 국내 언론 사이트를 접속할 경우 노출될 수 있는 특정 광고 네트워크를 통해 유포가 이루어지는 가짜 Flash Player 업데이트를 통해 모바일 뱅킹을 표적으로 한 악성앱 유포 사례를 살펴보도록 하겠습니다.

해당 이슈는 Flash Player 업데이트를 통해 지속적으로 변종을 유포하는 조직이므로 참고하시기 바랍니다.

h**p://nws.lum*eyes.com/libs2/js/commons.js

어제(2015년 6월 11일) 유포된 정보를 확인해보면 언론사 광고 영역에 삽입된 광고 영역에 코드를 추가하여 특정 웹 서버로부터 1.js 악성 스크립트를 받아오는 동작을 확인할 수 있습니다.

 

이를 통해 언론사 기사를 클릭할 경우 자동으로 특정 웹 페이지로 자동 연결되어 다음과 같은 동작을 확인할 수 있으며,  확인된 언론 사이트는 연예인 사생활을 집중적으로 다루며 팩트를 강조하는 곳으로 최근 지속적으로 악성앱 유포 행위가 발견되고 있습니다.

You need to upgrade your Flash Player. flash play11.2 버전으로 업데이트해야만 계속 사용할수 있읍니다..

Flash Player 업데이트 창 생성을 통해 사용자가 확인 버튼을 클릭할 경우 해킹된 국내 특정 웹 서버로부터 다음과 같은 악성 APK 파일을 다운로드할 수 있습니다.

  • h**p://**undhouse.co.kr/files/flash11.2.apk (SHA-1 : 15fd9048bc8948d873867ab3cbb5e16c6038b879) - 알약(ALYac) : Downloader.Android.KRBanker.Gen

다운로드된 flash11.2.apk 악성 파일을 사용자가 직접 실행하여 다음과 같은 설치 과정을 거쳐야 최종 감염에 성공하므로 원치않게 다운로드된 flash11.2.apk 파일을 삭제하시면 됩니다.

다운로드된 flash11.2.apk 악성 파일을 실행할 경우 "Flash update" 악성앱 설치를 시도하며, 요구하는 권한에서는 SMS 문자 읽기/편집/수신/발신, 연락처 읽기, 실행 중인 애플리케이션 검색, 경고창 생성 등의 기능을 수행할 수 있습니다.

설치가 완료된 "Flash update" 악성앱은 바로가기 아이콘을 생성하지만 실행시 기기 관리자 활성화를 요구하여 삭제를 방해하며 생성된 바로가기 아이콘을 자동 삭제하여 자신의 존재를 숨깁니다.

감염된 환경에서는 일본(Japan)에 위치한 "rttukdrks.iego.net (126.117.61.227)" 서버에 스마트폰 기종, 안드로이드(Android) 버전, 설치된 모바일 뱅킹앱 이름 등에 대한 정보를 전송합니다.

  1. NH 스마트뱅킹(nh.smart)
  2. 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking)
  3. 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank)
  4. 경남은행 스마트뱅킹(com.knb.psb)
  5. 새마을금고 스마트뱅킹(com.smg.spbs)
  6. 우체국 스마트뱅킹(com.epost.psf.sdsi)
  7. 신협 S뱅킹(com.cu.sb)
  8. 외환은행 스마트뱅크(com.keb.android.mbank)
  9. KB국민은행 스타뱅킹(com.kbstar.kbbank)
  10. IBK ONE뱅킹 개인 - 스마트뱅킹(com.ibk.neobanking)
  11. 부산은행 BS개인스마트뱅크(com.areo.bs)

또한 실행된 "Flash update" 악성앱은 감염된 스마트폰에 설치된 11종의 모바일 뱅킹앱, 공인인증서(NPKI), AhnLab V3 Mobile Plus 2.0 보안앱(com.ahnlab.v3mobileplus)를 검사하여 다음과 같은 악의적 행위를 진행합니다.

  • h**p://www.suyong**.com/files/2.apk (SHA-1 : 133efd7c0ba42aff308448e894610d685fd43598) - AhnLab V3 Mobile : Android-PUP/FakeInst.dc76, 알약(ALYac) : Trojan.Android.Downloader.KRBanker

"최신버전을 업데이트 해주세요" 메시지 창 생성을 통해 국내 특정 웹 서버에서 2.apk 악성 파일을 추가로 다운로드합니다.

이 과정에서 다운로드된 2.apk 악성 파일은 "/sdcard/temp/test.apk" 파일로 생성되어 다음과 같은 방식으로 설치 단계로 연결되며 설치가 완료된 후에는 설치 파일은 자동 삭제 처리를 합니다.

[공지사항]

 

애플리케이션이 보안 기능을 우회하는것을 방지하여 사용자의 디바이스와 정보를 보호합니다 최신 보호 기능을 활용하려면 다음 화면에서 이용양관에 확인하여 자동 업데이트가 실행되도록 수락하세요.

자동으로 다운로드된 2.apk (= test.apk) 악성 파일 설치를 위해 공지사항 창을 생성하여 확인 버튼을 클릭하도록 유도하여 다음과 같은 설치가 진행됩니다.

추가로 설치되는 "Google App Play" 악성앱은 SMS 문자 메시지 및 연락처 확인, 경고창 생성, 실행 중인 애플리케이션 검색 및 종료 등의 권한을 요구하고 있습니다.

설치된 "Google App Play" 악성앱은 기기 관리자 활성화를 요구하여 강제 종료 및 제거 버튼을 비활성화하여 삭제를 방해합니다.

  • bab.apk (SHA-1 : 6d1dc514dc29f7fc857939b5ba12d1129703168c) - avast! : Android:FakeBank-J [Trj]

2.apk (= test.apk) 악성 파일 내부에 포함되어 있던 bab.apk 파일은 "Google App Play" 악성앱 설치 과정에서 "/sdcard/bab.apk" 파일로 임시 생성되어 가짜 AhnLab V3 Mobile Plus 2.0 보안앱 기능을 수행합니다.

실행된 "Google App Play" 악성앱은 "최신버전을 업데이트 해주세요" 경고창을 생성하여 확인 버튼을 클릭할 경우 10초 간격으로 모바일 뱅킹앱과 함께 동작할 수 있는 "AhnLab V3 Mobile Plus 2.0" 보안앱 제거를 요구하는 창을 생성하여 삭제를 시도합니다.

"Google App Play" 악성앱은 앞서 언급한 11종의 국내 모바일 뱅킹앱을 표적으로 제작되어 있으며, 사용자가 감염된 스마트폰을 이용하여 모바일 뱅킹앱을 실행할 경우 다음과 같은 악의적인 행위를 수행할 수 있습니다.

스마트폰에 저장된 공인인증서(NPKI) "cros, sign, yess, kisa, trad, ncas" 값을 검사하여 존재할 경우 /temp 폴더 내에 (전화번호)_npki.zip 압축 파일로 저장하여 외부로 유출할 수 있습니다.

감염된 환경에서 "하나N Bank - 하나은행 스마트폰뱅킹" 모바일 뱅킹앱을 실행할 경우 실제로는 삭제된 AhnLab V3 Mobile Plus 2.0 보안앱이 동작하는 것처럼 표시를 합니다.

다음 단계에서는 "최신 업데이트가있습니다 설치후 서비스이용하십시오!", "업그레이드 패키지를 다운로드, 양해 해주시기 바랍니다" 화면을 제시하여 기존과 다른 변화가 있는 것처럼 사용자를 속입니다.

[공지사항]

 

금융감독당국 정책에 의거 전금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스전면시행(의무화)을 아래와 같이안내하오니, 사전에 연락처 정비 및 서비스가입을 부탁드립니다.전면시행일 : 2015년9월26일(예정) 연락처 정비 및 서비스를미가입한 경우 본인확인절차 강화 및 금융거래가 중단될 수 있습니다.

이후 단계에서는 공지사항 창을 생성하여 전자금융사기 예방 서비스를 위한 본인 확인 절차가 있음을 안내하고 있습니다.

다음 단계에서는 "[안내]은행시스템 보안강화가 있습니다 서비스 가입하시기바랍니다" 메시지 창을 생성하여 다음과 같은 과도한 정보 입력을 유도합니다.

이를 통해 전화번호, 아이디(ID), 이름, 계좌 번호, 비밀번호, 인증서 비밀번호, 주민등록번호, 이체 비밀번호 등의 개인 및 금융 정보를 모두 입력하도록 유도합니다.

특히 보안카드 수집을 목적으로 "보안 강화를 위한 안전 보안사진 촬영을 완료해 주시기 바랍니다." 메시지를 통해 스마트폰을 통해 보안카드를 촬영하도록 유도하여 JPG 그림 파일로 저장하여 외부로 유출을 시도할 수 있습니다.

이렇게 수집된 정보는 "nrs@vip.126.com" 이메일 계정으로 전송하여 금전 피해를 유발할 수 있습니다.

 

■ 악성앱 제거 방법

해당 악성앱을 제거하기 위해서는 기기 관리자(휴대폰 관리자)에 등록된 "Flash update", "Google App Play" 항목의 체크를 해제하여 비활성화하시기 바라며, 만약 해제가 이루어지지 않는 경우에는 안전 모드로 스마트폰을 부팅하여 기기 관리자를 해제하시기 바랍니다.

이후 설치된 애플리케이션 중에서 "Flash update", "Google App Play" 악성앱을 찾아 활성화된 제거 버튼을 이용하여 삭제를 진행하시면 되며, 추가적으로 모바일 백신을 통해 정밀 검사를 진행하시기 바랍니다.

특히 정상적인 "Google Play 스토어" 애플리케이션과 "Google App Play" 악성앱이 동일한 아이콘과 유사한 이름으로 구성되어 있으므로 혼동하지 않도록 하시기 바랍니다.

 

위와 같이 스마트폰을 이용하여 웹 사이트 방문시 메시지 창 생성을 통해 APK 파일 다운로드를 통해 악성앱 설치를 시도하는 사례가 지속적으로 발견되고 있으므로 안드로이드(Android) 스마트폰 사용자는 매우 주의하시기 바랍니다.