2024-03-29 14:05 (금)
‘Android.Titan.1’ 악성앱, 모든 정보 빼내 제2 표적공격도 가능
상태바
‘Android.Titan.1’ 악성앱, 모든 정보 빼내 제2 표적공격도 가능
  • 길민권
  • 승인 2015.03.24 04:27
이 기사를 공유합니다

감염시, SMS 및 통화 모니터링, 통화 녹음, 특정 프로세스 종료, 주소록 유출 피해
최근 러시아 보안 업체 닥터웹(Dr.Web)을 통해 국내에서 유포되는 ‘Android.Titan.1’ 진단명을 가진 안드로이드 악성앱이 다양한 악의적 기능을 통해 정보 유출이 가능해 이용자들의 각별한 주의가 요구된다.
 
특히 모바일뱅킹을 표적으로 한 악성앱과는 다르게 수집된 정보를 통해 제2의 표적 공격도 가능할 수 있어 더욱 주의해야 한다.
 
보안블로그 ‘울지않는 벌새’는 “악성앱 유포 방식은 2015년 3월 10일 전후로 불특정 다수에게 택배 관련 스미싱(Smishing) 문자를 발송해 특정 URL 주소를 통해 아마존(Amazon) 서버에 등록된 rec25.apk 파일을 다운로드하도록 유도하고 있다”고 설명했다.
 
또 “다운로드된 악성 APK 파일은 SmartcardService 애플리케이션 이름으로 설치가 이루어지며, 주요 권한 중에서는 SMS 문자 및 통화 모니터링, 오디오 녹음, 특정 프로세스 종료, 주소록 접근 등의 의심스러운 행위가 가능하다”고 덧붙였다.
 
특히 해당 악성앱은 모바일 백신 진단을 우회할 목적으로 libTitaniumCore.so 라이브러리 파일을 통해 핵심적인 악의적 기능을 수행하도록 구성되어 있다고 전했다.

 
성공적으로 감염이 이루어진 환경에서는 최초 SmartcardService 바로가기 아이콘이 생성되며 사용자가 해당 악성앱을 실행할 경우 자동으로 바로가기 아이콘이 삭제되어 자신의 존재를 숨긴다.  
 
이를 통해 스마트폰 부팅과 함께 자동 실행된 SmartcardService 악성앱은 감염된 스마트폰 하드웨어 및 소프트웨어 정보(모바일 운영 체제 종류, 사용자 전화번호, 네트워크 연결 정보, MAC Address, IMEI, IMSI)를 유출하며 C&C 서버로부터 악의적인 명령을 받아 수행할 수 있다.
 
악성앱에 감염되면 △카카오톡 애플리케이션(com.kakao.talk)을 검색해 관련 프로세스 종료 △주소록에 등록된 전화번호 도용 △스마트폰 볼륨 및 키패드 모드 변경 및 사용자 몰래 전화 걸기 △특정 번호로 SMS 문자 발송 △주소록에 저장된 정보를 특정 서버로 전송 △특정 텍스트 및 이미지를 알림 표시줄에 표시(허위 메시지 창 생성) 등의 피해를 당할 수 있다.
 
특히 감염된 스마트폰이 장시간 대기 모드인 상태인 경우 사용자 몰래 전화 걸기를 수행하며, 이 과정에서 화면 상에서는 잠금 상태로 전환해 사용자가 인지할 수 없도록 한다.
 
또한 전화 통화시에는 amr 파일로 녹음해 C&C 서버로 파일을 전송해 엿들을 수 있으며, 특정 전화번호에 대해서는 착신/발신을 차단하는 기능이 포함되어 있다.
 
스마트폰에 수신 및 발신된 SMS 문자 메시지는 인터넷이 연결되지 않는 경우 기기 내부에 저장을 해 두었다가 인터넷 연결시 외부 서버로 전송하며, 통화 기록을 통해 의심스러운 행위를 사용자가 인지하지 못하도록 삭제할 수도 있다.
 
울지않는 벌새는 “Android.Titan.1 악성앱은 감염된 스마트폰을 통한 문자 메시지와 통화 정보를 저장 및 녹음을 통해 외부에서 관련 정보를 수집해 해당 스마트폰 대상자에게 제2의 표적 공격이 가능할 수 있다는 점에서 단순히 1회성 공격으로 끝나지 않을 가능성이 높다”며 “스마트폰에 SmartcardService(버전 4.98) 악성앱이 설치되어 있는지 모바일 백신 또는 수동으로 확인해 삭제해야 한다. 이용자들은 스미싱 문자를 통해 수신되는 문자에 포함된 URL 주소를 클릭해 자동으로 다운로드되는 APK 파일을 호기심 또는 실수로 클릭해 민감한 개인 정보가 외부로 유출되지 않도록 주의하길 바란다”고 당부했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★