“2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요"라는 내용과 악성앱이 설치되는 단축 URL 주소를 포함해 사용자에게 스마트폰 소액결제사기용 악성앱이 설치되도록 시도한 정황이 포착됐다.
 
이 내용은 "[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요"라는 문구로도 유포에 악용되었다. 복지로는 이전에도 "[복지로]복지알림이 모바일어플 설치하시고 실시간 복지정책 체크하세요"라는 유사한 내용으로 전파된 바 있다.
 
또한 소액결제사기용 뿐만 아니라 모바일 디도스(Mobile DDoS)공격용, 이용자의 문자메시지 등을 탈취시도하는 스파이(Spy) 기능용 변종도 지속적으로 발견되고 있어 안드로이드 기반 스마트폰 이용자들의 각별한 주의가 요망된다.
 
잉카인터넷 관계자는 “특히, 국내 이용자를 노리고, 사생활침해 우려가 존재하는 새로운 스파이앱 형태의 악성 안드로이드 악성파일은 수신자의 이름을 문자메시지 상에서 거론하는 등 특정 표적자를 직접적으로 지목해서 악성파일을 설치하도록 유도했다는 점에서 공격행태가 매우 과감해지고 있다는 점을 입증하고 있다”고 밝혔다.
 
또 “국내인을 대상으로 한 맞춤형 안드로이드 보안위협이 급속도로 증가하고, 기능적으로도 빠르게 진화하고 있다는 점을 직시해 스마트 기기를 이용하는 개인과 관련기업들은 다양하고 입체적인 모바일 보안대책을 논의하고 수립해야 할 시기로 보여진다”고 경고했다.
 
◇초미의 관심사! 사이버 흥신소 성업 중?
2013년 초중고 교육비 지원 신청 원클릭용 앱설치 문자로 위장한 악성앱은 다음과 같은 형태의 메시지로 전파되었으며, ‘원클릭’이라는 문구 대신에 [복지로]라는 문구로 사용된 경우도 발견된 상태이다.

 
(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요 taoul.es/***
[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요! http://taourl.es/***
 
이용자가 단축 URL 주소를 클릭하면 해외의 DropBox 파일 공유 서비스를 통해서 "smartbilling.apk" 라는 악성 안드로이드앱이 다운로드되고, 이용자가 다운로드된 APK 파일을 실행하여 설치하면 사이버 범죄자들에 의해서 최대 30만원 상당의 소액결제 피해를 입을 수 있게 된다. 이렇다보니 사이버 범죄자들은 금전적 이득을 취하기 위해서 소액결제사기용 안드로이드 악성앱의 변종을 끊임없이 양산하여 변칙적인 사이버 범죄 행위을 멈추지 않고 있다.
 
또한 사용자의 안드로이드 기반 스마트폰에 수신되는 문자메시지(SMS)를 감시하고, 이용자의 동의 없이 외부로 불법적으로 유출될 수 있는 스파이앱(SpyApp) 형태의 안드로이드 악성파일 변종도 계속 보고되고 있다.
 
한국인터넷진흥원(KISA)을 통해서 확인된 새로운 종류는 특정인의 이름을 직접적으로 문자에 포함하는 등 표적형 공격형태로 진화하고 있다는 점에서 상황의 심각성을 더해주고 있으며, 잉카인터넷 대응팀은 관련 정보를 추적하던 중 다양한 변종이 추가로 존재하는 것을 발견해 nProtect Mobile for Android 제품에 긴급 업데이트를 완료한 상태이다.
 
*** 나야 전화가 안되서 이걸로 나랑 대화해 많이 급하다www.k****protect.com/kids.apk
*** 나야 지금 전화가 안돼 이걸로 하자 급해 www.a****-protect.com/adult.apk
 
위와 같이 특정인을 표적화하여 "kids.apk", "adult.apk" 파일을 설치하게 유도했으며, 이용자의 문자메시지는 외부의 특정 서버로 몰래 유출될 수 있다. 현재는 해당 서버의 접속이 한국인터넷진흥원(KISA)의 신속한 대응으로 차단조치된 상태이기 때문에 정보유출 가능성은 낮다.
 
잉카인터넷 관계자는 “이러한 형태의 스파이앱 변종이 꾸준히 제작되고, 발견되고 있다는 점은 안드로이드 보안위협 측면에서 시사하는 바가 크다”며 “특히 특정인의 일거수일투족을 실시간으로 엿보거나, 사이버 흥신소라는 비즈니스 모델(?)이 스마트기기의 다양한 취약점을 통해 급격히 증가할 수 있다는 것에 주목해야 한다”고 주의를 당부했다.
 
또 “사이버 범죄자들이 음지에서 은밀히 활동하고 점조직으로 수사기관의 추적을 피해 운영되고 있는 고유한 특수성 때문에 활동자체가 외부에 쉽게 노출되지 않을 수 있고 그로인해 예상하지 못할 정도로 다양한 보안위협이 스마트환경을 통해 가속화될 수 있다는 가능성을 열어두고 있다”고 덧붙였다.
 
잉카인터넷 대응팀이 파악한 바에 따르면, 앞서 언급한 스파이앱은 가입제로 운영이 되고 있으며, 변종을 유포했던 이력과 정황을 포착한 상태이다. 해당 서버는 접근권한을 가진 멤버가 보유하고 있는 계정과 암호를 통해서만 접근할 수 있다.
 
해당 서버의 내부에는 관리자가 여러가지 설정 및 등록을 할 수 있도록 구성되어 있고, 악성앱에 감염된 이용자의 문자메시지 현황을 모니터링 할 수 있도록 제작되어 있다.
 
◇"adult.apk" 악성앱 상세 분석정보
"adult.apk"와 "kids.apk" 파일은 클래스명만 다르고 대부분의 기능은 동일하기 때문에 대표적으로 "adult.apk" 악성앱에 대한 내용만 공개하면 다음과 같다.
 
a. "adult.apk" 악성 앱은 1개의 서비스(adult_svr)와 1개의 리시버(boot_adult)를 등록하고 있다.
 
b. 악성 앱이 실행되면 메인 액티비티 상에 특별히 변화되는 내용은 없으며, 최초 화면 그대로 출력된 상태를 유지하게 된다. 또한, 메인 액티비티에서는 내부적으로 등록된 서비스(adult_svr)를 실행하며, 악성앱의 일반적인 생명주기는 이것으로 종료된다.
 
c. 실행된 서비스(adult_svr)는 감염된 스마트폰의 전화번호를 수집하며 스레드를 생성한다. 생성된 스레드는 특정 DB파일(adultProDb156666.db)을 생성하며, 내부에 두개의 테이블을 생성(Send_Msg, Base_Set)후 정보를 갱신한 다음 갱신된 정보와 수집된 전화번호 정보에 대한 외부 유출 및 추가적인 악성 기능 수행을 위해 외부 특정 사이트에 접속(http://a*****protect.com/app/app_sms.asp)을 시도한다. 다만, 현재는 해당 서버가 차단되어 있어 정상적인 작동을 수행하지는 못한다.
 
d. 모든 문자메시지(SMS) 정보에 대한 탈취를 위해 일반적인 SMS 목록 쿼리, 단말기 제조사 2곳에 따른 메시지함 접근 및 쿼리(삼성, LG) 등의 방법으로 SMS 관련 정보(발신번호, 본문내용 등)를 수집하여 외부 특정 사이트(http://a*****protect.com/app/app_sms.asp)로 유출을 시도하게 된다.
 
e. 마지막으로 해당 악성앱에 등록되어 있는 리시버(boot_adult)는 스마트폰이 재부팅되면, 마찬가지로 등록된 서비스(adult_svr)를 재실행해 주는 동작을 하게된다.
 
잉카인터넷 관계자는 “소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다”며 “이용자들은 모바일 보안에 각별히 신경을 쓰고 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요하다”고 권고했다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com