본문 바로가기

벌새::Analysis

뽐뿌 해킹 사건과 hotvideo_0910_3.apk 파일과의 관계 (2015.9.12)

반응형

국내 최대 규모의 휴대폰 커뮤니티로 유명한 뽐뿌(PPOMPPU) 사이트가 국내인으로 추정되는 인물에 의해 해킹을 당하여 190만명 수준의 개인정보가 유출되는 사고가 발생하였습니다.

 

해킹 사고는 2015년 9월 11일경에 발생하였으며 제로보드 게시판의 보안 취약점을 이용한 SQL Injection 공격으로 회원 정보(아이디(ID), 닉네임, 암호화된 비밀번호, 생년월일, 이메일 주소, 암호화된 장터 비밀번호, 회원 가입일, 회원 점수)가 대량으로 빠져나간 것으로 보입니다.

 

특히 취약한 암호화 방식으로 인하여 비밀번호를 짧고 평범하게 사용한 일부 회원의 암호화가 이미 복호화되었다는 점에서 피해 회원들의 항의가 심한 것 같습니다.

그런데 해킹 사고와 함께 이슈가 되고 있는 모바일을 이용하여 뽐뿌 사이트 접속시 hotvideo_0910_3.apk 파일이 자동으로 다운로드되는 문제로 인하여 추가적인 공지가 올라왔지만 APK 파일의 정체에 대해 제대로 인지하지 못한 것으로 보입니다.

 

우선 hotvideo_0910_3.apk 파일은 이번 뽐뿌 해킹 사건과는 무관해 보인다는 것이 개인적인 의견이지만 다운로드된 APK 파일은 악의적인 기능을 수행할 수 있는 악성앱이며, 실제 스마트폰을 이용하여 뽐뿌를 비롯한 국내/해외 사이트 이용 과정에서 자동으로 다운로드되는 사례가 있었던 것으로 보입니다.(※ 자동 다운로드된 APK 파일은 스마트폰을 감염시킨 것은 아니며 사용자가 APK 파일을 실행하여 애플리케이션을 설치한 경우에만 감염이 최종적으로 이루어집니다.)

 

개인적으로 hotvideo_0910_3.apk 파일과 관련된 정보를 확인하는 과정에서 매우 유사한 유포 사례가 확인되어 관련 정보를 간단하게 살펴보도록 하겠습니다.

hotvideo_(4자리 숫자 : 날짜)_(1자리 숫자).apk 파일은 국내 또는 해외 사이트 중에서 광고 배너 또는 특정 스크립트가 포함된 웹 페이지를 방문할 경우 사용자 접속 환경을 체크하여 스마트폰인 경우 허위 바이러스 보안 경고 또는 "DU Battery Saver" 배터리 애플리케이션과 같은 홍보 메시지를 표시하는 과정에서 자동으로 다운로드되는 APK 계열로 확인되고 있습니다.

 

  • h**p://d3g1zz9036e**.cloudfront.net/b_zq_mobvta001/folder_0827_1.apk (SHA-1 : ff884255b2cef6245721c2fb98c663412573727f) - AhnLab V3 Mobile : Android-Trojan/Shedun.f842, Kaspersky : HEUR:Trojan.AndroidOS.Rootnik.d

확인 과정에서 자동으로 다운로드된 folder_0827_1.apk 파일은 hotvideo_0910_3.apk 파일과 매우 유사할 것으로 추정되며, hotvideo_0910_3.apk 파일의 경우에는 실제 설치가 진행될 경우 비디오 관련 기능과 더불어 추가적인 악의적인 기능을 수행할 것으로 추정됩니다.(※ 해당 악성앱은 DES 암호화 방식으로 코드를 보호하고 있습니다.)

다운로드된 folder_0827_1.apk 파일은 SmartFolder 이름으로 설치가 진행되며, 기기 위치, 개인정보 접근, 사진 및 동영상 촬영, 실행 중인 애플리케이션 검색 및 종료, 시스템 설정 변경, 잠금 사용 중지, 바로가기 설치 등의 과도한 권한을 요구하고 있습니다.

설치가 완료된 SmartFolder 악성앱을 실행할 경우 자동으로 설치된 애플리케이션 검색을 통해 자동 분류를 통해 Entertainment, Game, Tools 카테고리로 구성하여 배치를 변경합니다.

특히 각 카테고리별로 12,000개의 패키지 이름을 SQL 테이블로 저장하고 있으며, 사용자 스마트폰에 설치된 앱 중 매칭되는 것이 존재할 경우 자동으로 분류될 것으로 추정됩니다.

하지만 SmartFolder 악성앱은 추가적으로 [Booster] Booster++ 서비스 활성화를 요구하며, 접근성 메뉴에 추가된 서비스를 활성화할 경우 비밀번호를 제외한 사용자 입력키를 수집할 수 있는 개인정보 및 데이터 수집 기능이 동작하게 됩니다.

또한 SmartFolder 악성앱은 사용자 몰래 rt_0907_129.apk 파일<SHA-1 : ce6c5d7373a41a73702d4fa7c25a9dc16a44e5e8 - AhnLab V3 Mobile : Android-Trojan/Temone.e398, avast! : Android:Ztorg-D [PUP], Kaspersky : HEUR:Trojan.AndroidOS.Ztorg.a>을 추가 다운로드하는 행위를 확인할 수 있습니다.

rt_0907_129.apk 파일은 RootMasterDemo 이름의 애플리케이션(※ 주요 권한 : 네트워크 통신, SD카드 수정 및 삭제, 사진 및 동영상 촬영, 파일 시스템 마운트 및 마운트 해제)을 설치할 수 있으며 "sys.hdyfhpoi.com" 서버와 통신하는 부분을 확인할 수 있습니다.

 

최초 설치된 SmartFolder 악성앱의 외형적으로 카테고리 기능을 통해 자동으로 설치된 애플리케이션을 분류할 수 있도록 하지만, 사용자 몰래 정보 수집을 통한 유출 및 APK 다운로드를 비롯한 수익성 활동을 전개할 가능성이 높습니다.

기본적으로 SmartFolder 악성앱은 기기 관리자 활성화를 통해 강제 종료 및 제거 버튼을 비활성화 처리할 수 있으므로 기기 관리자(휴대폰 관리자)에서 해당 앱을 비활성화한 후 "데이터, 캐시 지우기 → 제거" 순서로 설치된 애플리케이션을 제거하시기 바랍니다.

 

이처럼 folder_0827_1.apk 악성앱과 매우 유사할 것으로 추정되는 hotvideo_0910_3.apk 악성앱 역시 외형적으로는 유용한 기능을 제공할 수 있지만 내부적으로 원치않는 수익 행위, 사용자 몰래 APK 파일 다운로드, 입력되는 키값 수집 행위를 할 수 있으므로 웹 사이트를 방문하는 과정에서 자동으로 APK 파일이 다운로드되는 경우에는 실행하여 설치하지 마시고 삭제하시기 바랍니다.

 

 hotvideo_0910_3.apk 변종 악성앱 정보 (2015.9.12)

 

hotvideo_0910_3.apk 악성앱 관련 정보에 대한 추가적인 조사를 통해 다양한 웹 사이트를 통해 유포가 이루어지고 있는 변종 정보를 확인하여 공개해 드리겠습니다.

 

  • hotvideo_0827_1.apk (SHA-1 : ee70277b618c0ab5a7b7a42a7d80757f6416bdd3) - AhnLab V3 Mobile : Android-Trojan/Shedun.f842, 알약(ALYac) : Trojan.Android.Rootnik
  • hotvideo_0909_3.apk (SHA-1 : 57beb506b70fb22224a917f1bb08ccc5d74de081) - Kaspersky : HEUR:Trojan.AndroidOS.Rootnik.d, 알약(ALYac) : Trojan.Android.Rootnik
  • hotvideo_0907_4.apk (SHA-1 : 9485c660c3ede38e1d181eadef3c411d4045f406) - avast! : Android:Xinyinhe-AH [PUP], 알약(ALYac) : Trojan.Android.Rootnik

hotvideo_0910_3.apk 파일은 앞서 소개한 folder_0827_1.apk 파일과 동일한 기능을 가지고 있으며, 설치되는 애플리케이션 이름은 다양하게 추가될 수 있습니다.

설치되는 hotvideo 악성 파일은 PronClub 이름의 애플리케이션으로 설치가 진행되어 특정 카테고리 생성과 같은 바로가기 생성을 수행하며, 요구되는 권한은 이전의 SmartFolder 악성앱과 동일합니다.

앞서 언급한 것처럼 PronClub 악성앱이 설치된 후에는 사용자 몰래 추가적으로 rt_0907_129.apk <SHA-1 : ce6c5d7373a41a73702d4fa7c25a9dc16a44e5e8 - AhnLab V3 Mobile : Android-Trojan/Temone.e398, avast! : Android:Ztorg-D [PUP], Kaspersky : HEUR:Trojan.AndroidOS.Ztorg.a> 파일을 다운로드 및 실행하여 파일 시스템 마운트 권한을 통해 "슈퍼유저 권한 요청"을 통해 자동으로 APK 파일 다운로드 및 설치를 진행할 수 있도록 권한을 탈취할 수 있습니다.

PronClub 악성앱이 설치된 환경에서는 주기적으로 다양한 애플리케이션 설치를 유도하는 광고창이 생성되며, 테스트에서는 "Game of Ware - Fire Age" 게임앱 설치를 유도하고 있습니다.

만약 사용자가 생성된 광고창을 통해 설치를 진행할 경우 "apk.static.soappu.com"과 같은 외부 서버에서 APK 파일 다운로드가 진행되며 다운로드가 완료된 후 상단에 노출된 메시지를 클릭할 경우 자동으로 설치 완료됩니다.

 

위와 같이 hotvideo_0910_3.apk 계열의 악성앱이 설치된 경우에는 다양한 광고창을 통해 수익성 애플리케이션 설치를 유도할 수 있으며, 추가적인 권한 획득을 통해 사용자 몰래 애플리케이션 설치 등의 문제를 유발할 수 있으므로 매우 주의하시기 바랍니다.

728x90
반응형