[긴급]중국 안드로이드 모바일 공격, 한국 상륙 시도!

1. 악성 문자메시지 무차별 공격 대비 필요

잉카인터넷 대응팀은 국내 특정 금융권의 자동이체일과 잔액부족, 신용카드 결제일, 성인동영상과 관련된 내용 등으로 위장된 문자메시지가 안드로이드 악성앱 유포에 악용되고, 국내에 다수 전파 중인 정황을 포착하였다. 공격자는 매우 다양한 내용으로 문자메시지를 발송하였는데 ▶보안서비스 휴대폰 안전을 위해 안전설치 바로가기 ▶이벤트☆야동 7일무료 ▶고객님 계좌번호비밀번호 변경완료되었습니다. ▶고객님![**카드]자동이체일은 25일입니다. 통장잔액 확인 ▶[**은행] 자동이체통장 확인해주세요 잔액이부족합니다 (-480,000) 등의 내용을 사칭하였다. 악성앱을 유포했던 사이트는 중국에서 도메인이 등록되었으며, 현재는 국내에서 접속이 차단된 상태이다.

해당 중국 도메인에서는 이미 스파이앱 관련 악성 안드로이드 앱을 유포했던 이력을 가지고 있으며, 국내 스마트폰 이용자들의 안드로이드 스마트폰을 감염시켜, 문자메시지를 무단 탈취하여 불법적인 소액결제사기에 악용하거나 개인정보 유출 시도를 위한 목적으로 공격을 수행한 것으로 추정된다.

2. 중국산 안드로이드 악성앱 안전지대 아니다!

[긴급]누군가 내 스마트폰을 통해 일거수일투족을 몰래 훔쳐본다?
☞ http://erteam.nprotect.com/395

[긴급]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
☞ http://erteam.nprotect.com/394

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
☞ http://erteam.nprotect.com/389

[긴급] 안드로이드전용 모바일 보안업데이트로 위장한 DDoS 악성 앱
☞ http://erteam.nprotect.com/393

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/378

2월 중순부터 중국의 특정 도메인으로 부터 "hgz.apk" 라는 이름의 악성파일이 국내에 다수 전파된 것이 확인되었고, 변종도 존재하는 것으로 파악되었다.

잉카인터넷 대응팀이 파악한바에 의하면 다양한 형태로 조작되어 국내 이용자들에게 유포되었고, 보통 25일이 기업의 급여일이라는 점 등을 교묘히 악용하여 자동이체나 통장잔액 부족이라는 문구를 사용하여 수신자들을 현혹시켰다. 실제 유포에 사용된 문자메시 내용은 아래와 같다.

보안서비스
휴대폰안전을위해
안전설치바로가기
www.*****.com/hgz.apk

┏★━━━━━┓
┃이벤트☆야동┃
┗━━━━♡━┛
7일무료.
www.*****.com/hgz.apk

고객님
계좌번호비밀번호 변경완료되었습니다.2013/02/21
www.*****.com/hgz.apk[**]

고객님![**카드]자동이체일은 25일입니다. 통장잔액 확인www.*****.com/hgz.apk

[**은행] 자동이체통장 확인해주세요 잔액이부족합니다 (-480,000)
www.*****.com/hgz.apk

"hgz.apk" 악성앱은 설치가 진행될 경우 다음과 같은 권한을 보여주게 된다.
 

사용자가 [설치] 버튼을 클릭하여 설치가 완료되면 스마트폰에 다음과 같이 "Android SMS Core" 라는 이름의 아이콘이 생성된다. 그 이후에 조건에 따라 자신을 숨기기 위한 명령을 통해서 실행아이콘 런처를 숨기게 되어 아이콘 자체가 보여지지 않은 상태로 작동될 수 있다.

해당 악성앱은 2개의 리시버와 1개의 서비스로 등록하여 작동하는데, "MyStartupReceiver" 는 재부팅시 "SmsService"를 실행하는 역할을 수행한다.

"MySmsReceiver" 리시버는 사용자 스마트폰에 수신되는 문자메시지(SMS) 내용을 감시하며, 문자메시지 발신번호가 +86(중국), +82(한국) 여부를 체크하여 국가번호를 제외한 번호를 저장한 후 발신번호의 시작이 "01"이 아닐 경우 "01333662220" 번호로 발신번호와 문자메시지의 본문내용을 담아 유출시도한다. 더불어 "sendTextMessage()" API 함수를 통해서 감염된 스마트폰 이용자의 전호번호가 함께 유출될 수 있다.

또한, 메인 액티비티가 실행되면 "安装是否成功" 라는 한자 내용을 "18889918537" 전화번호로 문자메시지를 무단발송한다. 해당 한자인 "안장시부성공" 이라는 내용은 [설치에 성공했습니까?] 라는 의미를 가지고 있고, 공격자로 하여금 감염현황을 확인하기 위한 용도로 사용된다.

잉카인터넷 대응팀이 해당 악성앱을 추적해 본 결과 이미 2012년부터 중국내에서 마치 스마트폰 보안프로그램처럼 위장한 변종이 다수 전파된 이력을 확인한 상태이고, 중국의 모바일 보안위협이 한국으로 점차 번져가고 있다는 것을 예상해 볼 수 있다. 이번 악성앱은 소액결제 승인용 문자내역을 훔쳐가거나 사용자에게 수신되는 각종 문자메시지 내역을 편취하여 악용할 소지가 있다.

3. 안드로이드 악성앱 감염 예방법

소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고, 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요해 보인다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRSpyBot.A
- Trojan/Android.KRSpyBot.B
- Trojan/Android.KRSpyBot.C
- Trojan/Android.KRSpyBot.D
- Trojan/Android.KRSpyBot.E
- Trojan/Android.KRSpyBot.F
- Trojan/Android.KRSpyBot.G
- Trojan/Android.KRSpyBot.H
- Trojan/Android.KRSpyBot.I
- Trojan/Android.KRSpyBot.J
- Trojan/Android.KRSpyBot.K
- Trojan/Android.KRSpyBot.L 외 변종 계속 추가 중

◈ nProtect Mobile for Android 다운로드 URL
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect