본문 바로가기

벌새::Analysis

Poly Videos 악성앱을 이용한 애플리케이션 자동 다운로드 주의 (2015.12.8)

2015년 9월에 발생한 뽐뿌 해킹 사고와 맞물러서 이슈가 되었던 스마트폰을 이용하여 웹 사이트 접속시 자동으로 hotvideo APK 파일이 다운로드되어 PronClub 악성앱을 통해 다양한 애플리케이션 설치를 유도하는 문제에 대해 소개한 적이 있었습니다.

그런데 2015년 11월 20일경 당시와 매우 유사한 유포 방식으로 웹 사이트 접속시 자동으로 APK 파일 다운로드를 통해 설치를 유도하는 행위가 있었기에 살펴보도록 하겠습니다.

  • PolyVideo_main_main_2949_new.apk (SHA-1 : a975cca4010a592c4c450b16f564a7eb38e421ae) - AhnLab V3 Mobile : Android-PUP/Hidap.ffb5

  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.GET_TASKS
  • android.permission.INTERNET
  • android.permission.READ_PHONE_STATE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.GET_ACCOUNTS
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • com.android.launcher.permission.UNINSTALL_SHORTCUT

다운로드된 PolyVideo APK 파일을 실행할 경우 "com.google.view.main" 악성앱(com.main.haha) 설치가 진행되며, 요구되는 권한에서는 바로가기 아이콘 생성 및 제거, 실행 중인 애플리케이션 검색, 경고창 생성 등의 행위를 수행할 수 있습니다. 

설치가 완료된 후 앱을 실행할 경우 "Video-plug is ready" 창 생성을 통해 내부에 포함된 APK 파일(polyvideo.apk (SHA-1 : a25d23fc8fa3fd6d341dd03e809581022c865b1f - avast! : Android:Dropper-EM [PUP])을 추가로 자동 실행하여 "Poly Videos" 악성앱 설치를 유도합니다.

 

참고로 만약 사용자가 추가적인 앱(Poly Videos) 설치를 허용하지 않을 경우에도 자동으로 특정 애플리케이션 다운로드 및 설치 목적의 바로가기 아이콘을 생성 또는 삭제를 진행할 수 있습니다.

  • android.permission.INTERNET
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.GET_TASKS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.GET_TASKS
  • android.permission.INTERNET
  • android.permission.READ_PHONE_STATE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.GET_ACCOUNTS
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • com.android.launcher.permission.UNINSTALL_SHORTCUT
  • android.permission.DOWNLOAD_WITHOUT_NOTIFICATION
  • android.permission.INTERNET
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.WRITE_SETTINGS
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.ACCESS_FINE_LOCATION
  • android.permission.GET_TASKS

"Poly Videos" 악성앱(com.bech.y)의 주요 권한을 살펴보면 바로가기 아이콘 생성 및 제거, 자동 다운로드, 실행 중인 애플리케이션 검색, 경고창 생성, GPS 위치 확인 등을 행위를 수행할 수 있습니다.

최종적으로 설치가 완료된 환경에서는 "Poly Videos" 바로가기 아이콘을 표시하며 사용자의 호기심을 자극하는 아이콘 모양으로 실행을 유도하고 있습니다.

실행된 "Poly Videos" 애플리케이션에서는 비디오(Video), 사진(Pic), 망가(Manga) 메뉴를 통해 성적으로 자극적인 콘텐츠를 통해 의심을 피하고 있습니다.

참고로 해당 콘텐츠는 유튜브(YouTube) 및 국내에서 유해 사이트로 차단된 서버 연결을 통해 표시될 수 있습니다.

 

외형적으로는 위와 같은 "Poly Videos" 애플리케이션을 통해 성인 콘텐츠를 감상할 수 있도록 제작되어 있지만, 백그라운드 방식으로 부팅시마다 다음과 같은 악의적인 행위를 수행할 수 있습니다.

스마트폰 부팅시마다 자동으로 실행되는 "com.google.view.main" 악성앱(com.main.haha)은 바로가기 아이콘을 표시하지 않으므로 설치 여부를 인지하기 매우 어려우며, "sdk.mobnativeads.com" 서버와 통신을 통해 설치된 스마트폰 기기 정보를 전송하여 추가적인 구성값 정보를 받아옵니다.

서버에서 받아온 정보를 기반으로 홈(HOME) 화면에 다양한 애플리케이션 이름값을 가진 바로가기 아이콘을 생성하는 행위를 수행합니다.

생성된 바로가기 아이콘은 애플리케이션 자체가 최종적으로 설치된 것이 아니며, 사용자가 생성된 바로가기 아이콘을 실행할 경우 추가적인 설치 파일(APK)을 다운로드하도록 구성되어 있습니다.

  • h**p://c3.myapkcdn.in/upload/googleplay/com.nhnent.SKQUEST.apk (SHA-1 : 74fb830d88de360c6d14d7f0640d39a8590733f8) :: 크루세이더 퀘스트 (게임)
  • h**p://c5.myapkcdn.in/upload/googleplay/kr.perfectree.heydealer.apk (SHA-1 : cc92e07c6f0b4cb515889e5ef53b450c587b7568) :: 1등 내차팔기 필수앱 - 헤이딜러 (중고차 비교 견적)

테스트 당시에 바로가기 아이콘 클릭을 통해 자동 다운로드된 APK 파일은 "c*.myapkcdn.in" 서버에 등록된 다양한 정상적인 애플리케이션 설치 파일로 확인되고 있습니다.

이를 통해 자동 다운로드된 애플리케이션은 다운로드 폴더(/sdcard/Download)에 생성되어 사용자에 의한 설치를 유도하는 방식으로 배포가 이루어지고 있으며, 만약 최종적으로 설치가 이루어질 경우 악성앱 유포자에게 금전적 수익이 발생할 것으로 판단됩니다.

그러므로 스마트폰에 "Poly Videos" 악성앱이 설치된 경우에는 해당 애플리케이션 이외에 "com.google.view.main" 악성앱을 찾아 함께 제거해 주셔야 합니다.

 

또한 스마트폰을 이용하여 웹 사이트 접속 과정에서 자동으로 다운로드되는 APK 파일을 호기심에 실행하여 설치할 경우 자동으로 APK 파일 다운로드를 통한 애플리케이션 유도 등의 악의적인 행위가 지속적으로 발생하여 데이터 소모를 유발할 수 있으므로 매우 주의하시기 바랍니다.

  • 이전 댓글 더보기
  • 비밀댓글입니다

  • 안녕하세요! 벌새님 저도 이앱apk가 다운돼서 감염될뻔 했지만 이글 덕분에 살았네요 ㅎㅎ

  • 저도 이것때문에 꽤나 고생햇는데..
    좋은정보감사드려요ㅜㅜ

  • 비밀댓글입니다

  • 제가 아무것도 안했는데 갑자기 폴리어쩌저쩌가 깔리더라고요.그래서 삭제했는데 이상한 앱들이 나와있어요..파일을 뒤져봐도 없네요.어떻게 해야 없어지나요?ㅠㅠ

    • 뭔가 착각을 하시는 것 같은데 자동으로 다운로드는 되지만 사용자가 직접 설치를 하지 않는한 자동 설치까지는 연결되지 않습니다.

      아마도 다운로드된 apk 파일을 직접 설치를 하셨기 때문으로 보입니다.

      이 글에서 언급한 2개의 악성앱 외의 추가적으로 다운로드되는 앱은 정상앱이므로 설치된 앱을 찾아서 직접 삭제하시기 바랍니다.

  • 잠깐 핸드폰에 어플 깔려다 저게 깔릴 뻔했었는데 놀라서 바로 지웠는데.. 저게 바이러스였다니 놀랍네요 만일 깔았기라도 했다면...끄앙

  • 오......갑자기 다운로드되길래
    몬가 의심스러워서
    찾아봤더니 악성앱이네요...

  • Com.google.view.main은 원래 폰에 기본적처럼 깔린게 아닌가요? SD카드 검사중 바이러스라 떠서 삭제했지만

  • 아스트로 파일관리자로 삭제를 했는데
    괜찮을까요?
    불안해서......

  • 비밀댓글입니다

  • 폴리비디오 깔아야만 다운되는 앱 있어
    서 깔았는데 이런것일줄은 몰랐네요 Com.google.view.main 삭제 어떻게 하나요? 폴리비디오 열지 않고 그냥 삭제했는데 괞찮을까요?

    • 게시글 맨 하단에서 삭제 방법을 안내하고 있으므로 스크린 샷을 보시고 제거하시기 바랍니다.

      잘 모르시면 모바일 백신으로 정밀 검사를 해보시기 바랍니다.

  • 비밀댓글입니다

  • ㅠㅠ 2016.12.13 15:39 댓글주소 수정/삭제 댓글쓰기

    무심결에 블로그 링크를 눌렀는데 poly vidoe저게 자동으로 apk파일로 다운이 됬어요...벌새님이 위에서 말씀하신 증상은 하나도 없었고 일단은 지웠는데 불안해서 여쭤봅니다... 핸드폰 초기화해야하나요? 글구 공유기르 통해서 다운된건데 공유기도 초기화 해야하나요?그리구 감염이 된거지 안된지 여부를 알 수 있을까요?

    • 사이트에 접속하는 과정에서 apk 파일이 자동으로 다운로드되었다가 설치된 것이 아닙니다.

      사용자가 다운로드된 apk 파일을 직접 실행하여 앱 설치 화면을 통해 설치가 이루어져야지 최종 설치된 것입니다.

      그러므로 다운로드된 apk 파일을 실행하지 않고 그냥 삭제하셨다면 특별한 문제가 발생하지 않습니다.

      또한 해당 문제는 공유기와는 무관하며 사용자가 이런 apk 파일을 유포하는 사이트 또는 광고가 노출된 사이트에 접속했기 때문에 발생합니다.

  • ㅠㅠ 2016.12.13 16:41 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 지식인에다 물어봤을때는 서비스센터 가는게 좋을거 같다고 얘기하셔서 정말 그래야하나 고민했는데
    벌새님덕분에 한시름 놓았습니다.

  • 무섭 2017.01.18 03:24 댓글주소 수정/삭제 댓글쓰기

    제가 이국의 소녀라는 만화를 검색하니 어떤 사이트에서 1화보기로 쭉 나와있었고 그걸 설치하고 실행까지 했습니다ㅠㅠ 유투브 화면이 나왔고 동시에 클린마스터에서 밀웨어가감지되었다고 하여 제거를 눌렀는데 이런 경우에 이미 감염이된 것인가요? 그것을 보고 남아있는 다운로드 apk도 삭제하였고 추가적으로 google.view도 삭제하려 하니 보이지 않더군요 검색이 안되어ㅠㅠ 그런데 나중에 저 어플이 의심된다고 삭제하라는 메세지가 떠서 삭제했는데 이미 저의 많은 개인정보는 빠져나간 것인지 궁금하여 문의드려요. 해당 apk의 이름은 civiljarber 였고 설치하니 후에 폴리비디오로 바뀌어있었습니다ㅠㅠ

    • 일반적인 애플리케이션 설치하듯이 말씀하신 apk 파일을 실행하여 설치하였다면 설치된 것으로 보입니다.

      단지 클린마스터 백신앱(?)에서 탐지하여 제거되었다면 삭제된 것이 아닌가 생각됩니다.

      그리고 이 분석글에서 언급한 내용과 최근에 유포되는 apk의 경우에는 일부 이름이 변경되었을 수 있습니다.

  • 헝헝 2017.03.21 13:08 댓글주소 수정/삭제 댓글쓰기

    안녕하세요? 언제나 글 보며 도움 많이받고있습니다.
    저도 블로그돌아다니다가 링크를 눌렀더니 저것이 받아지더라구요.
    보통 맨 윗화면을 스와이프하면 나오는 알림표시창을 길게 터치했더니 아무 창도 뜨지않더라구요.
    1. 이경우도 설치가 된거라고 봐야할까요?
    2. 아니면 보통 이런 apk 파일을 눌렀을때 패키지설치프로그램을 실행하시겠냐고 묻나요.?


    추가)후에 알약으로 악성코드있다며 알람이떠서 치료누르고나도 알람표시줄에 다운로드했다면서 그대로 남아있길래 눌렀더니 v3나 패키지설치프로그램을 쓰겠냐고 묻더라구요. 그래서 v3로 한다고 눌렀더니 아무것도 실행되지않거 알림도 없었어요.

    그래서 공장기화말고 일반초기화 해버렸는데 이과정을 통하여 설치되었을 수는 없겠죠?^^;

    • 최초 감염 시에는 apk 파일이 다운로드된 후 사용자가 일반 애플리케이션 설치하듯이 설치 화면 제시를 통한 설치 과정이 추가되어야 합니다.

      그러므로 설치 여부를 제대로 확인할 수 없다면 현재 설치된 애플리케이션 목록에서 찾아 보시기 바라며 앱 이름은 다를 수 있습니다.

  • 헝헝 2017.03.21 15:23 댓글주소 수정/삭제 댓글쓰기

    설치화면은 뜨지 않았던 것같아요 출처를 알 수없는 앱 설치안하는 걸로 설정해놔서 분명 설치했다면 권한달라는 화면이 떴을텐데 없었어요. 고마워요^^

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 우선 단순히 apk 다운로드만 하고 설치하지 않았다면 감염괸 것이 아닙니다. 그리고 해당 앱은 광고 목적으로 추가적인 앱 다운로드 기능을 사용하지 정보 유출 기능은 없었던걸로 기억합니다.

  • 으엥 2019.06.18 06:40 댓글주소 수정/삭제 댓글쓰기

    일단 알약으로 검색했더니 apk만 있길레 바로 삭제했긴했는데 정보유출기능은 없는거 확실하나요?
    트로이목마라고 분류되어있길레ㅠㅠ