분석 정보/모바일 분석 정보

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장 - Update #130703-03

TACHYON & ISARC 2013. 7. 3. 10:04
1. 카카오톡 보안플러그인 위장 문자과금 및 이통사망 과부하 우려

2013년 06월 28일 경 부터 all msgs 라는 문자메시지(SMS)가 안드로이드 스마트폰 단말기 이용자 주소록에 포함된 지인들에게 무작위로 발송되는 SMS BOMB 공격 정황이 모바일 보안관제 중 포착되었다. 이용자 단말기에 지속적으로 악성앱 설치화면이 나오면서 이용자에게는 큰 불편을 끼치며, 설치할 경우 주소록의 연락처로 시간차 문자공격을 수행한다. 이 때문에 감염자와 함께 지인들에게 동시다발적인 모바일 공격과 피해가 함께 유발된다. 이는 금전적 이득목적의 스미싱 범죄와는 차원이 다른 새로운 모바일 공격 기법으로 안드로이드 악성앱을 이용한 "Mass SMS Attack" 이라 정의할 수 있다.

잉카인터넷 대응팀은 휴일 비상 긴급대응 체계를 가동하고 있으며, 기존의 스미싱(Smishing)기법처럼 악성 URL을 배포하는 수법이 아니다. 잉카인터넷 대응팀은 국내 보안업체 중 유포지와 악성앱(Trojan/Android.FakeKaKao) 샘플을 최초 공식확인하여 긴급분석을 진행 중에 있고 유관기관에 신속히 정보를 공유한 상태이다. 더불어 현재 모바일 보안제품 중 nProtect Mobile for Android 제품만이 4종의 악성앱 변종에 대한 완벽한 치료가 가능한 상태이다. 

또한, 현재까지 확인된 바에 의하면 공격자는 이미 전체 이용자가 약 30,000명 ~ 150,000 정도의 이용자가 존재하는 다양한 앱의 업데이트를 활용했고, 구글플레이 마켓을 통해서 공식으로 배포한 상태이다. 악성앱이 국내 불특정 다수의 이용자들에게 전파되기 시작한 시점은 2013년 06월 28일로 확인이 완료된 상태이다.


악성앱은 구글 플레이 마켓에 등록되어 있는 특정 정상앱이 무단변조되어 다량 전파된 것으로 보이며, 기존에 이용자가 최소 1만명 이상 확보되어 있는 3가지 앱이 동시다발적으로 유포에 동원되었다. 개발자는 총 4개의 앱을 구글플레이에 등록해 두었지만, 이용자가 적은 1개의 앱은 악성기능이 존재하지 않고, 이용자가 많은 3가지 앱을 통해서만 악성기능이 전파되었다.



구글플레이에서 해당 앱을 사용하던 전체 이용자는 구글집계 기준으로 최소 3만명에서 최대 15만명 정도로 예상되며, 이들이 6월 28일에 업데이트를 했다면 악성파일에 노출되도록 구성되어 있다. 악성앱 기능이 포함된 채 전파된 앱을 실행하면 아래와 같은 화면이 보여진다.


악성앱은 기존에 설치된 이용자들에게는 업데이트 기능을 통해서 배포되고, 4회이상 잠금화면을 반복해서 해제하면 본격적으로 좀비 스마트폰 행동을 개시한다. 그리고 아래와 같이 카카오톡 플러그인 설치화면을 지속적으로 보여주게 된다.


악성앱이 만들어진 과정을 타임라인(Time Line)을 통해서 프로파일링 하면 다음과 같다.

2013년 06월 28일 오후 12시 55분 카카오톡 보안 플러그인으로 위장한 악성앱이 처음으로 제작된다. 같은 날 약 2시간 30분정도 지난 후 오후 3시 36분 경 구글 플레이에 등록될 첫번째 악성앱 제작 -> 오후 4시 49분 두번째 악성앱 제작 -> 오후 4시 58분 세번째 악성앱이 제작되었다. 이 앱들은 모두 구글 플레이에 6월 28일 오후에 등록된다. 

카카오톡 보안 플러그인으로 위장한 악성앱은 가장 빨리 제작되었지만, 다른 전파 매개체 및 숙주앱들에 의해서 설치되고 최종적으로 실행되게 된다.


만약 구글 플레이의 개발자가 직접 악성앱을 등록한 것이 아니라면, 개발자의 컴퓨터나 서버가 해킹을 받아 외부의 공격자에 의해서 강제로 업데이트 되었을 가능성도 배제하기어렵다. 만약 그렇다면 이는 윈도우 기반의 컴퓨터에서 발생했던 과거 2009년 7.7 DDoS 공격때와 가장 최근의 6.25 사이버전(Cyber War) 사례와 흡사한 방식일 수 있다.


[긴급]6.25 사이버전, 국내와 북한 주요 사이트 사이버공격
http://erteam.nprotect.com/427

[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
http://erteam.nprotect.com/425

정리하면 2013년 06월 28일 경 전후부터 30일 새벽까지 아래와 같은 화면이 계속 불특정 주기로 나타나서 악성앱 설치를 유도하고 있다. 악성앱 설치 화면이 어떻게 발생하고 있는지는 잉카인터넷 대응팀에 의해서 사실확인 및 그 원인이 규명되었고, 악성앱을 설치하게 되면 주소록에 있는 지인들에게 all msgs 라는 문구의 문자메시지를 이용자 몰래 무작위로 발송한다. 시간에 비례하여 문자메시지 데이터 소모가 급격히 증가하여 이용자에게는 원치 않는 ▶과금 요금이 발생할 수 있고, ▶이동통신사망에도 과부하가 발생할 수 있다.

감염되는 대상은 SKT와 KT, LGT 등 이통사와는 관계없이 모두 감염될 수 있고, 안드로이드용 악성앱이기 때문에 안드로이드 기반의 단말기에만 감염된다. 다만, 감염된 안드로이드 이용자의 주소록을 통해서 아이폰 이용자들에게도 문자메시지는 발송될 수 있다.



2. 카카오팀 긴급 안내
 
카카오팀에서도 문자메시지와 SNS 등을 통해서 해당 정보를 긴급하게 공지하고 있는 상태이다. 카카오팀에는 스미싱형태로 전파된 것으로 의심하여 이상한 문자로의 접근을 자제하도록 당부하고 있다. 그러나 해당 악성앱은 구글 플레이 공식마켓을 통해서 전파된 것이 잉카인터넷 대응팀을 통해서 최초 공식확인됐다.

 


3. 악성앱 정보 및 수동조치법

2013년 06월 30일 새벽 4시 22분 악성앱 샘플이 확보되어 긴급확인 작업 중에 있으며, 악성앱은 2013년 06월 28일 오후 12시 55분에 제작된 것으로 확인됐고, "armeabi" 하위폴더에는 "libEglsv1.so" ELF 기반의 리눅스용 악성파일이 포함되어 있다.

해당 악성앱은 유관기관 및 보안업체에 신속하게 공유되어 합동 대응이 진행 중에 있다.


악성앱은 "com.kakao.talk.plus_1.0.apk" 라는 파일명을 보유하고 있으며, 우선 악성앱은 카카오톡 플러스 1.0 앱처럼 위장하고 있으며, 아이콘도 사칭하고 있다.


악성앱은 앞서 공개한 바와 같이 설치할 때는 다음과 같은 권한을 요구하게 되는데, 이처럼 문자메시지와 전화번호 연락처로 접근하는 경우는 설치전에 각별한 주의가 필요하다.


악성앱 설치가 완료되면 다음과 같이 [KakaoTalk의 보안]이라는 앱으로 마치 카카오톡 앱처럼 보이도록 아이콘을 정교하게 사칭하고 있다.


카카오톡 보안앱처럼 위장한 해당 앱을 실행하면 "KakaoTalk의 보안 플러그인" 이라는 타이틀과 함께 내용에는 "이 플러그인은 안전하므로 삭제하지 마세요" 라고 표기하였다. 이용자로 하여금 삭제하지 않도록 유도하고 있다.


안드로이드 악성앱이 설치되면 감염된 단말기의 주소록에 접근하고 연락처에 있는 가나다순의 전화번호로 "all msgs" 문구가 포함된 문자메시지를 약 30분 간격으로 무작위로 발송하게 된다. 참고로 아이폰의 경우는 악성앱에 감염되지는 않고, 문자메시지는 다수 수신할 수 있다.

이 과정에서 안드로이드 악성앱 감염자의 문자메시지와 3G/LTE 데이터가 초과할 수 있고, 그로인해 발송한 데이터 만큼의 과금이 부과되는 피해를 입을 수 있다. 악성앱 설치화면을 취소할 경우라도 지속적으로 설치하라는 화면 때문에 정신적 피해를 입을 수 있고, 감염된 사용자의 지인들은 지속적으로 악성 문자에 시달리게 된다.

더불어 감염자가 증가할 경우 해당 이동통신사 망에도 예기치 못한 트래픽이 증가할 수 있어 각별한 주의가 필요하다. 



우선 문자메시지가 발송되는 것을 차단하기 위해서는 안드로이드 단말기의 전원을 끄거나, SIM카드 제거 등의 조치가 가능하고 또는, 환경설정에서 "비행모드" 등으로 설정하는 것도 좋다. 그런 후에 다음과 같은 절차를 통해서 악성앱을 수동으로 삭제할 수 있다. 물론 설치된 위치에서 단말기에 조건에 따라 바로 삭제기능을 통해서도 쉽게 제거가 가능하다.

환경설정 -> 애플리케이션 -> 전체 -> KakaoTalk의 보안 플러그인


KakaoTalk의 보안 플러그인을 선택하면 강제중지 -> 삭제를 통해서 악성앱 제거가 가능하다. 다만, 이 악성앱은 숙주파일을 제거해야만 완벽한 처리가 가능하기 때문에 nProtect Mobile for Android 제품을 설치하고 최신버전으로 업데이트하면 완벽하게 치료가 가능한 상태이다.


악성앱 내부에 포함되어 있는 일부 코드 중에는 다음과 같은 코드가 포함되어 있다.

 


4. 완벽 치료 방법

카카오톡 플러그인으로 위장한 악성앱만 삭제한다고 하더라도, 지속적으로 설치화면이 발생하게 된다. 숨겨져 있는 숙주 악성파일을 제거해야만 깨끗하게 제거가 가능하다. 잉카인터넷 대응팀은 국내 보안업체 최초로 모든 악성앱에 대한 완벽한 치료기능을 제공하고 있다.

아래에서 nProtect Mobile for Android 제품을 설치하고 업데이트 후에 전체검사를 수행하면 된다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect




2013년 06월 28일 경 제작되어 구글플레이를 통해서 업데이트되었던 악성앱 숙주는 안드로이드 개발자의 계정 등이 도용되어 누군가에 의해서 몰래 업데이트 된 것으로 공식 확인되었다.

또한, 카카오톡 보안 플러그인으로 위장했던 악성앱 역시 특정 기업의 안드로이드 서명파일이 탈취 및 도용된 것이 확인된 상태이다. 잉카인터넷 대응팀은 해당 기업 담당자에게 보안점검 및 계정 및 암호 변경에 대한 긴급협조를 요청하고 자문을 지원하고 있다.

 

 

 

 

 
2013년 07월 02일 오후 3시경 카카오톡 플러그인 위장 악성앱이 또 다시 설치되기 시작했고, 특정 사이트로 패킷을 발송하는 것이 확인됐다. 그러나 all msgs 문자메시지를 발송하는 공격기능도 감지된 상태이다.
 


악성앱은 해외의 특정 C&C 주소로 접근하여 명령을 수신하여 작동하며, 2.apk 이름의 카카오톡 보안 플러그인으로 위장한 악성앱을 추가로 설치시도한다.

http://update.gogogogoogle.com:5588/



filter.json 과 filter.json3 파일은 2013년 06월 29일에 등록되어 있는 것을 확인해 볼 수 있고, 내부에는 다음과 같이 문자메시지 공격 내용이 포함된 것을 확인할 수 있다. 또한, 문자메시지 내용으로 발송되었던 all msgs 라는 문자가 포함되어 있고, 한글이 일부 포함되어 있다.