세월호 참사로 294명이 목숨을 잃고, 아직까지 10명은 시신조차 수습하지 못하고 있다. 이런 와중에 정부는 세월호 참사를 유병언 이슈로 몰고 가며 자신들의 책임을 회피하려 하고 있다. 이런 개탄스러운 현실에도 악성앱 공격자들은 끊임없이 자신들의 임무수행에 열을 올리고 있다.
 
유명 보안블로그 ‘울지않는 벌새’는 블로그(hummingbird.tistory.com/5493)를 통해 “유병언 이슈를 이용한 악성앱 유포가 트위터를 중심으로 이루어지고 있다”며 주의를 당부했다. 25일, 경찰청 사이버안전국에서도 ‘유병언 비밀금고 유서’ 등을 사칭한 트위터 스미싱에 주의를 당부한바 있다.

 
블로그에 따르면, 확인된 트위터 계정은 KBS 기자 또는 유병언 비서라는 닉네임으로 활동하고 있으며, 다음과 같은 다양한 트윗을 통해 단축 URL 링크를 게시하고 있다.
 
『[유병언] 비밀장부를 공개합니다 다운받어보세요
[유병언 비밀금고 공개 ] 비공개영상입니다 다운받어보세요
[유병언 금고 ] 비공개영상입니다 다운받어보세요
유병언 암살 유병언에 관한 모든 것 영상으로 담아봣어요』
 
트윗에 공개된 단축 URL 주소(h**p://is.gd/****PG)는 실제 또 다른 단축 URL 주소(h**p://t.co/cyf**kIV5x)로 연결되며, 해당 주소는 다시 트윗상에 노출된 주소를 경유하여 일본(Japan)에 등록된 특정 IP 주소에서 Googleplay.apk 파일<SHA-1 : 1e9b2ef5726117bfa3c512e83e32288abcc0ce52 - AhnLab V3 : Android-Malicious/SMSstealer (VT : 29/53)>을 다운로드하는 구조다.

 
다운로드된 Googleplay.apk 파일을 실행하면 구글 플레이(Google Play) 앱을 설치하도록 제작되어 있으며, 권한을 살펴보면 SMS 메시지 수신/읽기/발신, 연락처 읽기/쓰기, 경고창 생성, SD 카드 읽기/쓰기 등의 기능을 포함하고 있다.
 
구글 플레이 악성앱이 설치된 직후에는 바탕 화면에 바로가기 아이콘이 생성되며, 사용자가 실행을 통해 기기 관리자 활성화를 진행한 경우에는 바로가기 아이콘이 제거되어 백그라운드 방식으로 동작한다.
 
울지않는 벌새는 “상당수의 악성앱은 설치 완료 후 실행시 기기 관리자 활성화를 요구해 사용자가 설치된 애플리케이션을 삭제하지 못하게 하며, 화면 상에 표시하지 않도록 표시되지 않도록 동작하기 때문에 함부로 활성화하지 않도록 주의해야 한다”고 경고했다.
 
감염된 안드로이드 스마트폰 환경에서는 정상적인 구글 플레이 서비스와 구글 플레이 악성앱을 쉽게 구분할 수 없다는 점을 이용해 이름을 등록하고 있다.
 
설치된 구글 플레이 악성앱은 기본적으로 2개의 서비스(EmailService, MainService)와 1개의 프로세스(com.dfoe.dfodf)로 동작한다.
 
구글 플레이 악성앱에 감염된 경우 사용자 스마트폰에 설치되어 있는 5개 금융앱<농협(nh.smart), 신한은행(com.shinhan.sbanking), 우리은행(com.webcash.wooribank), 국민은행(com.kbstar.kbbank), 하나은행(com.hanabank.ebk.channel.android.hananbank)>을 체크해 경고창을 생성해 추가적인 악성앱을 일본에 위치한 "126.76.107.121" C&C 서버로부터 다운로드를 통해 바꿔치기를 시도할 수 있다.
 
또한 스마트폰에 저장된 공인인증서(/mnt/sdcard/NPKI)를 체크해 존재시 ZIP 압축 파일로 저장하여 G메일(smtp.gmail.com) 계정<haohaoganhuo21@gmail.com, rkdls100@gmail.com, rlaxogud1001@gmail.com, zhongguokorean1@gmail.com, hudakj82@gmail.com, wlstb100@gmail.com, rkdls100@gmail.com, zhongguokorean2@gmail.com>으로 유출할 수 있다.
 
그 외에 대검찰청, 홈택스, 삼성카드, 삼성생명, 신용보증기금, 저축은행, 대출(대부) 업체 등 1,209개 전화번호를 모니터링해 추가적인 악의적 기능을 수행할 수 있다.
 
울지않는 벌새는 “추가적인 조사 과정에서 해당 유포 조직은 보이스피싱을 통한 금전적 피해를 유발할 수 있는 부분도 발견했다”며 “차후 관련 정보도 공개하도록 하겠다”고 밝혔다.
 
구글 플레이 악성앱이 설치된 경우 사용자가 애플리케이션을 중지 및 삭제할 수 없도록 비활성화 처리되어 있으므로, 다음과 같은 방식으로 기능을 중지해 삭제해야 한다.
 
먼저 ‘기기 관리자’ 메뉴에 등록된 구글 플레이 항목을 찾아 기기 관리자 권한을 비활성화해야 한다.
 
그 후 애플리케이션 메뉴에 등록된 구글 플레이 애플리케이션 항목을 선택해 ‘사용 안 함’ 버튼을 클릭한 후 기기를 재부팅해 활성화된 ‘제거’ 버튼을 클릭해 삭제할 수 있다.
 
특히 금융앱이 설치되어 있던 스마트폰 기기인 경우에는 추가적으로 모바일 백신을 이용해 정밀 검사를 통해 추가적으로 다운로드 된 악성앱이 존재한지 확인할 필요가 있다.  
 
울지않는 벌새는 “이번 악성앱 유포 사례와 같이 사회적 이슈를 이용한 스미싱, SNS 게시글, 이메일 등 다양한 경로를 통해 안드로이드 스마트폰 기기의 감염을 노리는 공격이 지속적으로 발생할 수 있다”며 “개인정보 유출 및 금전적 피해를 당하지 않도록 각별히 주의하길 바란다”고 당부했다.
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com