2012년 10월 26일 국내 안드로이드 사용자들을 대상으로 방통위 등을 사칭한 악성 애플리케이션이 발견되어 이슈가 된 바있다. 국내 안드로이드 사용자들도 더이상 악성 애플리케이션으로부터 안전할 수 없다는 이슈가 환기되기도 전에 이번에는 동일한 악성 애플리케이션의 변종 2종이 등장해 사용자들의 각별한 주의가 요구된다.  
 
해당 악성 애플리케이션은 각종 마켓이 아닌 SMS를 통해 유포가 이루어졌으며 국내 이통사의 명세서 확인 애플리케이션으로 위장하고 있기 때문에 사용자들이 쉽게 현혹될 수 있어 주의해야 한다.

 
이를 최초 발견한 잉카인터넷 대응팀 관계자는 “해당 악성 애플리케이션은 구글 정식 마켓이나, 비공식 마켓 등이 아닌 SMS를 통해 유포가 이루어 졌으며, 도착한 문자메시지에서 단축주소로 이루어진 링크를 클릭시 다운로드 및 설치가 가능하다. 다만, 현재는 악성 애플리케이션에 대한 다운로드 단축 URL이 막혀있어 유포가 이루어지진 않는다”고 밝혔다.
 
또한 현재 해당 악성 애플리케이션의 유포와 관련해 특정 포털 카페 사이트 등을 통해 정보가 공유되고 있기도 하다.
 
이번 악성 앱에 대한 잉카인터넷의 분석 내용은 다음과 같다.
 
해당 악성 애플리케이션은 국내 이통사의 명세서 확인 애플리케이션으로 위장하고 있어 사용자들이 별다른 의심없이 다운로드 및 설치/실행을 진행할 수 있으며 실행 시 동작되는 전체적인 악성 기능은 아래와 같다.
 
<전체 악성 동작>
- 감염된 스마트폰의 전화번호 수집
- 감염된 스마트폰의 통신망사업자 정보 수집
- 감염된 스마트폰의 IMEI 정보 수집
- 수집된 스마트폰 정보의 외부 유출 시도(변종마다 유포지 URL이 상이)
- 감염된 스마트폰으로 수집되는 SMS 감시
- 특정번호로 수신되는 SMS에 대한 외부 유출 시도(변종마다 유포지 URL이 상이)
- 특정번호로 수신되는 SMS를 사용자 몰래 삭제
 
해당 악성 애플리케이션을 설치하게 되면 특정 권한을 요구하게 된다. 또 정상적인 국내 이통사의 명세서 확인 애플리케이션과 유사한 아이콘을 사용하고 있다.

 
설치가 모두 완료된 후 실행하게 되면, 해당 악성 애플리케이션은 "서버 접속 불가"와 관련된 다이얼로그를 출력하게 되며 육안상 확인할 수 있는 별다른 동작은 발생하지 않는다.
 
해당 악성 애플리케이션은 AndroidManifest 일부코드와 같이 내부에 3개의 리시버가 등록되어 있다.
 
또 내부에는 아이콘 리소스들이 포함되어 있고 이전에 발견되었던 변종들과 동일한 안랩(Ahnlab) 위장 아이콘이 포함되어 있다.
 
해당 악성 애플리케이션은 실행 시 일부 코드를 통해 "서버 접속 불가"와 관련한 다이얼로그를 출력하게 된다. 이때 다이얼로그 출력 전에 AndroidManifest에 등록된 리시버 "Ejifndv"를 호출하게 된다.
 
일부 코드에 선언되어 있는 WifiManager, PowerManager 부분은 각각 Wifi상태 및 화면 활성화 상태 유지를 위한 wakeLock 등록 코드이며 해제하고 있지 않아 불필요한 다량의 배터리 소모 현상이 발생할 수 있다.
 
"Ejifndv" 리시버는 아래의 일부 코드를 통해 감염된 스마트폰의 전화번호(첫번째 0을 대한민국 국가번호인 +82로 변환), 통신망사업자 정보, IMEI 정보를 수집 및 유출할 수 있는 스래드를 실행하게 된다. 현재까지 발견된 2종의 변종은 모두 유포지 URL이 상이하다는 특징이 있다.
 
위 부분까지가 해당 악성 애플리케이션을 실행함으로써 첫번째로 발생할 수 있는 악성 동작이며, 이후에는 AndroidManifest에 등록된 리시버의 특정 조건을 충족할 시 추가적인 악성 동작을 수행할 수 있다.
 
먼저, "OEWRUvcz" 리시버를 살펴보면 일부 코드를 통해 스마트폰의 재부팅 이벤트를 감시하고 재부팅이 완료될 경우 해당 악성 애플리케이션을 재실행하도록 되어 있다.
 
마지막 남은 "CVXAW" 리시버는 일부 코드를 통해 수신되는 SMS, MMS에 대한 감시 및 수집 기능을 수행하게 된다.
 
이때, SMS 및 MMS에 대한 감시는 내부에 선언되어 있는 특정 번호가 발신번호와 일치할 경우 수행하게 된다.
 
내부에 등록된 특정 발신번호와 일치하는 SMS, MMS는 일부 코드를 통해 외부 특정 서버로 유출 시도될 수 있으며, 해당 SMS, MMS는 사용자 몰래 삭제되어 사용자는 수신여부를 확인할 수 없도록 되어 있다. 현재까지 발견된 2종의 변종은 모두 유포지 URL이 상이하다는 특징이 있다.
 
외부로 유출되는 모든 정보들은 동일한 IP로 전송되며, 해당 IP는 홍콩에 위치하고 있는 것으로 파악되었다. 현재까지 발견된 2종의 변종은 모두 유포지 URL이 상이하다는 특징이 있다.
 
대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있어 주의해야 한다.  
 
잉카인터넷 대응팀 관계자는 “점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 스마트폰 보안 관리 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이다”라고 주의를 당부했다.
 
<스마트폰 보안 관리 수칙>
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com