2024-04-18 13:05 (목)
[주의] 구글 코리아 신규서비스 사칭 DDoS 악성앱 증가!
상태바
[주의] 구글 코리아 신규서비스 사칭 DDoS 악성앱 증가!
  • 길민권
  • 승인 2013.01.14 21:26
이 기사를 공유합니다
폰키퍼 보안앱 사칭 안드로이드 악성앱의 변종으로 파악돼
구글(Google) 코리아의 신규 검색엔진 서비스 내용으로 사칭한 안드로이드 악성앱 변형 2종이 발견돼 주의가 요구된다. 이 악성앱은 오늘(14일) 한국인터넷진흥원(KISA)에서 주의보를 발령한 폰키퍼 보안앱 사칭 안드로이드 악성앱의 변종으로 파악된 상태다. 해당 안드로이드 악성앱들은 국내 이용자들을 정조준해 제작되었다는 점에서 심각한 보안위협으로 우려가 되고 있는 상황이다.
 
이번 악성앱 주의보를 발령한 잉카인터넷 대응팀은 “이 악성 안드로이드 앱은 한글문구와 함께 구글 단축URL 서비스를 통해서 불특정 다수에게 배포된 것으로 추정된다”며 “이 공격방식은 국내 이용자들을 직접적으로 겨냥해서 배포했다는 점에서 매우 의도적인 공격형태로 분류할 수 있다”고 설명했다.

 
또 “국내 스마트폰 이용자들에게 배포된 실제 악성 안드로이드 앱 설치 유도 문자메시지 내용”이라며 “마치 구글 코리아에서 배포한 신규앱처럼 위장하고 있다. 해당 안드로이드 악성파일들에 대한 자세한 정보는 한국인터넷진흥원에 신속하게 공유된 상태”라고 주의를 당부했다.
 
구글 단축URL 서비스를 클릭하게 되면 해외의 특정 웹 사이트로 연결되고, 악성 안드로이드 앱이 설치된다. 해당 내용은 2012년 12월 10일부터 구글코리아 트위터를 통해서도 주의 안내가 제공되고 있다.

2012년 12월 12일에는 한국인터넷진흥원을 통해서 폰키퍼 사칭 악성앱 변종도 추가로 발견된 상태이다.
 
◇악성 애플리케이션 정보
잉카인터넷 분석 결과에 따르면, 해당 악성 애플리케이션은 KISA에서 배포중인 폰키퍼 애플리케이션에 특정 악성 코드를 포함하여 재패키징한 형태이며, 설치 시 정상과 악성 애플리케이션간 권한 요구 사항에 차이가 있다.
 
자세히 살펴보면 악성 기능 수행을 위해 SMS와 관련된 권한이 두가지 추가되어 있는 정황을 확인할 수 있다.
 
<악성 애플리케이션에 추가된 권한>
- andorid.permission.RECEIVE_SMS
- android.permission.SEND_SMS
 
또한, 해당 악성 애플리케이션은 정상 애플리케이션에 한 개의 추가적인 악성 패키지가 추가되어 있음이 확인되었다.
 
해당 악성 애플리케이션은 정상 애플리케이션에 제작자가 원하는 악의적인 패키지를 추가한 재패키징 형태이기 때문에 전체적인 기능과 실행 화면 등에서 정상 애플리케이션과의 차이점을 찾기에는 무리가 있을 수 있으며, 재패키징 결과 수행 가능한 전체적인 악성 기능은 아래과 같다.
 
<전체 악성 기능>
- 수신되는 SMS에 대한 감시
- SMS 수집
- 특정 번호로 SMS 무단 발송
- Bot 기능 수행
- DDoS 공격 수행
 
전체 적인 악성 기능은 위와 같다. 해당 악성 애플리케이션과 같이 재패키징 형태의 경우 리시버 등록을 통한 추가적인 악성 기능 동작 행위가 대부분이다. 해당 악성 애플리케이션의 경우도 마찬가지로 아래와 같이 악성 리시버 및 서비스가 추가 등록되어 있다.
 
전체적으로 보면, SMS 감시와 무단적인 SMS 발송은 기존의 악성 애플리케이션과 차별성이 없으나, 해당 악성 애플리케이션의 경우 DDoS 기능 수행, 이를 위한 Bot기능 수행(수신된 SMS의 감시 및 비교 작업 등 포함) 등이 주목할만하다고 할 수 있다.
 
일단, 해당 악성 애플리케이션은 DDoS 기능 수행을 위해 특정 명령 문자가 포함된 SMS에 대한 감시 및 수신이 필요하며, 모든 SMS의 수신 시 시간에 대한 계산 등 연산을 통해 해당 악성 기능 동작(SMS 수집)에 대한 여부를 결정하게 된다. 조건이 모두 충족되면, 악성 애플리케이션은 조건에 해당하는 SMS를 모두 수집하는 등의 악성 동작을 수행하며, 아래와 같이 특정 명령 문자로 SMS가 시작되는 경우 그에 따른 추가적인 악성 동작을 수행하게 된다.
 
<명령 문자별 수행 기능>
- #m : 해당 문자열로 시작할 시 특정 번호로 SMS 무단 발송
- #b : 시간 확인 및 변수 할당
- #u : 특정 사이트를 공격 목표로 DDoS 기능 수행
- #e : 스레드 실행 여부 확인 및 지연
- #t : 감염된 스마트폰의 전화번호 확인
 
위에서 주목할만한 특징은 특정 사이트를 공격 시도하는 DDoS 기능의 수행이다. 해당 기능은 지금까지 모바일 상에서 실제적으로 구체적인 사례나 악성 애플리케이션을 찾아보기 어려웠다. 아래의 코드는 해당 악성 애플리케이션의 실제 DDoS 공격 수행 코드중 일부이다.
 
해당 코드에는 상세하게 포함되지 않았지만, 해당 악성 애플리케이션은 공격자로부터 특정 명령(DDoS 수행 명령 등) 및 공격 타깃 URL이 포함된 SMS를 수신받아 DDoS 공격을 수행하는 것으로 확인되고 있다.
 
잉카인터넷 대응팀 관계자는 “대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다”며 “또한 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다”고 주의를 당부했다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권
길민권 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트