울지않는벌새 : Security, Movie & Society

공용 와이파이 접속시 유포되는 Skype Voice 악성앱 주의 (2015.11.10)

벌새::Analysis

최근 인천 모 커피 전문점에서 제공하는 와이파이(Wi-Fi)에 접속할 경우 APK 파일을 자동으로 다운로드하는 부분에 대한 이메일 문의가 들어와서 살펴보도록 하겠습니다.

  • Skype+Voice.apk (SHA-1 : bf30aa31f2e7a6ada4c3c47dc2b3421fd3bdcc47) - 알약(ALYac) : Trojan.Android.SMS.Stech.Gen, avast! : Android:SpyVmvol-A [PUP]

다운로드된 Skype+Voice.apk 파일은 스카이프(Skype) 아이콘 모양으로 위장하고 있으며, 단순히 APK 파일이 다운로드되었다고 악성앱에 감염된 것은 아니므로 파일을 찾아 삭제해 주시면 됩니다.

또한 해당 악성앱 유포 조직에 대하여 Ec0nomist님의 블로그에서는 네이버(Naver) 블로그를 통해 몸캠 서버, 협박앱, 스미싱앱, 몸캠앱 등의 사이버 범죄 서비스를 제공한다는 홍보글이 게시되고 있다는 정보를 공개한 상태입니다.

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.INTERNET
  • android.permission.READ_PHONE_STATE
  • android.permission.READ_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.MOUNT_UNMOUNT_FILESYSTEMS
  • android.permission.ACCESS_COARSE_LOCATION
  • android.permission.ACCESS_FINE_LOCATION
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.WAKE_LOCK
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.MANAGE_ACCOUNTS
  • android.permission.GET_ACCOUNTS
  • android.permission.AUTHENTICATE_ACCOUNTS
  • android.permission.CALL_PHONE
  • android.permission.SEND_SMS
  • android.permission.READ_PHONE_STATE
  • android.permission.PROCESS_OUTGOING_CALLS

APK 파일을 실행할 경우 "Skype Voice" 악성앱(com.m.android.data) 설치를 시도하며, 제시된 권한에서는 연락처 및 SMS 문서 메시지 접근, GPS 기반 위치 확인, 부팅시 자동 실행 등의 개인정보 수집 기능을 수행할 수 있습니다.

설치가 완료된 상태에서는 바탕 화면에 "Skype Voice" 바로가기 아이콘이 생성되며, 사용자가 앱을 실행할 경우 자동으로 바로가기 아이콘이 삭제되어 자신의 존재를 숨깁니다.

최초 "Skype Voice" 악성앱 실행시 화면 잠금 기능을 제어할 목적으로 기기 관리자(휴대폰 관리자) 활성화를 요구하여 만약 허용할 경우 "Skype Voice" 악성앱 제거 버튼이 비활성화 됩니다.

APK 파일의 코드를 확인해보면 "Skype Voice" 악성앱은 중국(China)에 위치한 "ck668.cc (118.193.222.18)" C&C 서버와 통신을 시도하는 것을 확인할 수 있습니다.

참고로 해당 서버를 잠시 살펴보면 테스트 목적으로 중국 여성으로 추정되는 사진, 중국 음악이 포함된 AMR 파일이 존재하며 "Skype Voice" 악성앱이 설치된 환경에서는 스마트폰에 저장된 사진, 오디오 파일이 서버로 유출될 가능성이 높습니다.

  • h**p://ck668.cc/sychonizeUser.htm

부팅시마다 자동 실행되는 "Skype Voice" 악성앱은 서버에 사용자 기기 모델명, 전화번호, IMEI 값을 기반으로 사용자 동기화 정보를 전송합니다.

  • h**p://ck668.cc/uploadContact.htm

또한 스마트폰 기기에 저장된 연락처 정보를 감염자에게 부여된 아이디(ID) 기반으로 전송하여 사이버 범죄에 활용될 수 있습니다.

"Skype Voice" 악성앱 삭제를 위해서는 우선적으로 기기 관리자(휴대폰 관리자)에 등록된 항목을 비활성화한 후 활성화된 "데이터 지우기 → 제거" 버튼을 클릭하여 삭제를 진행하시기 바랍니다.

 

커피 전문점의 공유기 해킹을 통한 악성 APK 파일을 불특정 다수에게 유포하는 행위로 추정해보면 "Skype Voice" 악성앱이 설치된 사용자의 정보를 1차적으로 수집한 후 범죄에 활용할 수 있는 정보를 기반으로 협박이 진행되거나 추가적인 표적 접근을 통해 몸캠 제안 또는 스미싱(Smishing), 모바일뱅킹 악성앱 추가 감염 등이 진행될 수 있을 것으로 추정됩니다.

 

그러므로 공용 와이파이(Wi-Fi)를 이용하실 때에는 자동으로 다운로드되는 APK 파일은 절대로 실행하지 않도록 주의하시기 바랍니다.