2024-03-29 07:00 (금)
데이터 용량 초과 요금 청구서 확인 스미싱 문자 주의
상태바
데이터 용량 초과 요금 청구서 확인 스미싱 문자 주의
  • 길민권
  • 승인 2014.10.05 17:05
이 기사를 공유합니다

애플리케이션 설치시 슈퍼유저 권한 요청하는 앱 주의해야
최근 불특정 다수에게 ‘데이터 용량 초과 요금 청구서 확인’ 스미싱 문자를 전파해 링크를 통해 다운로드되는 안드로이드 스마트폰을 표적으로 한 악성앱 설치가 확인돼 이용자들의 각별한 주의가 요구된다.
 
보안블로그 울지않는 벌새는 “실제 확인된 메시지 내용은 데이터 용초과요금청구서확인: {www.955.cc/a7A**}" 문구로 되어 있었으며, 문자 내용에 포함된 링크를 클릭할 경우 파일 다운로드가 자동으로 진행돼 악성행위가 실행된다”고 주의를 당부했다.

 
해당 블로그에 따르면, 링크를 통해 연결된 일본에 위치한 60.148.120.16 IP 주소에서는 "downloading after 3 second ..." 메시지와 함께 자동으로 악성 APK 파일이 다운로드되었으며, 특이한 점은 다운로드 링크에 "apk?=m.naver.com" 문자열이 포함되어 있다고 밝혔다.
 
다운로드된 악성 APK 파일을 실행할 경우 알약 아이콘 모양의 "SlientInstall" 애플리케이션 설치를 시도하며, 요구하는 권한 중에서는 파일 시스템 마운트 및 마운트 해제 권한이 포함되어 있는 것이 특징이다.
 
설치가 완료된 "SlientInstall" 악성앱을 실행할 경우 첫 화면에서는 "슈퍼유저 권한 요청" 창이 생성되어 권한을 획득할 경우 다양한 명령에 따라 기능을 수행할 수 있으며, 이번 사례의 경우 대표적으로 추가적인 악성앱을 사용자 동의없이 자동 설치할 수 있다.
 
그러므로 애플리케이션 설치시 슈퍼유저 권한을 요청하는 앱의 경우 일반적인 앱에서는 권한을 요청하는 일이 거의 없으므로 함부로 허용하지 않도록 주의해야 한다고 울지않는 벌새측은 강조한다.

 
◇슈퍼유저 권한 요청 허용시
슈퍼유저 권한을 획득한 경우, com.android.sinstall 패키지명을 가진 SlientInstall 악성앱은 루트 권한을 통해 Upload__hideIcon_2014.09.30.apk 악성앱 내부에 포함되어 있던 xxxxx.apk 악성앱(SHA-1 : 756ac368eccee2d694753d5cadc9af15823fad67 - AhnLab V3 Mobile : Android-Malicious/Narut, 알약 모바일 : Trojan.Android.SMS.Stech)을 사용자 몰래 자동 설치 및 실행한다.
 
실제 코드를 살펴보면 파일 시스템 마운트 권한을 통해 SlientInstall 악성앱은 "/mnt/sdcard/apks/xxxxx.apk" 파일을 생성해 앱 설치를 수행하도록 되어 있으며, 해당 동작은 화면상으로는 표시되지 않는다.
 
사용자 몰래 추가적으로 자동 설치된 악성앱은 "Tel_SD" 이름을 가진 애플리케이션으로 설치시 기기 관리자 권한까지 자동으로 획득할 수 있다.
 
◇슈퍼유저 권한 요청 거부시
만약 사용자가 다운로드된 악성 APK 파일을 실행해 SlientInstall 악성앱에서 요구하는 슈퍼유저 권한 요청을 거부할 경우에는 알약 모양을 한 SlientInstall 악성앱을 1차적으로 설치한다.
 
SlientInstall 악성앱 설치와 함께 자동으로 "/mnt/sdcard/apks/xxxxx.apk" 악성 파일을 생성한다. 슈퍼유저 권한 요청을 허용할 경우에는 xxxxx.apk 악성 파일 생성 후 사용자 몰래 자동 실행 및 설치가 이루어지며 이를 통해 "Tel_SD" 악성앱이 설치된다.
 
이후 사용자가 알약 모양을 한 SlientInstall 악성앱을 직접 실행시 Tel_SD 악성앱 설치를 유도할 수 있다.
 
Tel_SD 악성 애플리케이션이 요구하는 권한을 확인해보면 SMS 문자 메시지 읽기/수신/발신, 연락처 읽기, 자동 실행 등의 핵심적 권한을 확인할 수 있다.
 
또한 설치된 Tel_SD 악성앱은 기기 관리자 활성화를 요구하여 화면 잠금 기능을 제어하려고 한다.
 
◇xxxxx.apk 악성앱(Tel_SD) 정보
스미싱 문자를 통해 다운로드된 Upload__hideIcon_2014.09.30.apk 악성앱을 살펴보면 내부에 xxxxx.apk 악성 파일이 포함되어 있으며, 해당 파일은 "gjaoun" 키값을 통해 복호화를 해야 실제 기능을 확인할 수 있는 암호화되어 있다.
 
DES 암호화를 이용한 FakeApp 방식은 2014년 6월경에 이미 확인된 유포 사례가 있으며 DES 복호화를 한 후에는 정상적으로 내부 코드를 확인할 수 있다.
 
사용자 몰래 설치된 Tel_SD 악성앱은 중국에 위치한 "smswatch.duapp.com" C&C 서버에 감염된 스마트폰의 SMS 문자 메시지 내용 전송 기능과 연락처 정보를 유출하는 기능이 포함되어 있다.
 
이를 통해 SMS 문자를 통해 수신한 OTP를 비롯한 인증 번호, 민감한 개인 사생활 정보 등이 외부로 유출될 수 있으며, 수집된 내용을 악용해 유사한 스미싱 문자 전송을 통해 피해 유발 및 금전적 피해를 유발할 수 있다.
 
특히 해당 서버는 기존부터 다양한 스미싱 문자를 통해 설치되는 악성앱과 통신을 했던 사례도 확인할 수 있다.
 
울지않는 벌새 운영자는 “기본적으로 Tel_SD 악성앱을 지속적으로 설치 유도할 수 있는 SlientInstall 악성앱은 알약 아이콘 모양을 하고 있으므로, 설치된 애플리케이션 목록에서 해당 앱을 찾아 "강제 종료 → 제거" 순서로 삭제를 진행하기 바란다”며 “사용자 몰래 설치되어 SMS 문자 메시지 정보를 탈취할 수 있는 Tel_SD 악성앱은 기기 관리자 권한으로 실행되므로 애플리케이션 목록에서 제거 버튼이 비활성화된 상태로 유지된다. 그러므로 "기기 관리자" 메뉴에서 Tel_SD 항목의 체크를 해제한 후 설치된 애플리케이션 목록에서 Tel_SD 악성앱을 찾아 "강제 종료 → 제거" 순서로 삭제를 진행하면 된다”고 설명했다.
 
더불어 “스미싱 문자 메시지를 통해 악성앱 설치가 진행되는 안드로이드 스마트폰 사용자가 많다는 점에서 문자 메시지를 통해 APK 파일 다운로드 및 설치를 유도할 경우에는 무턱대고 실행하는 일이 없도록 해야 하며 특히 감염된 스마트폰을 통해 스미싱 문자가 발송된다는 점에서 가까운 가족 및 친구들로부터 전송되는 링크가 포함된 문자 메시지는 더욱 주의해야 한다”고 당부했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★