삼성전자·롯데시네마 위장해 SMS 감시·수집, 한국형 스파이 앱 탄생

[보아뉴스 김태형] 안드로이드 기반의 스마트폰에 수신된 문자메시지를 감시하고 수집하며 이를 외부로 유출시키려는 문자메시지 및 개인정보 탈취 기능을 수행하는 악성 앱이 발견되어 이용자들의 주의가 필요하다.

잉카인터넷 대응팀은 “2월 15일 마치 삼성전자(1588-3366)에서 발송한 문자메시지(SMS)처럼 발신자를 사칭하고 애플리케이션 실행속도 관련 최신 업그레이드 내용과 같은 문구로 사용자를 현혹한 후 악성 앱(Androicall.apk)을 설치 시도한 형태가 보고됐다”고 밝혔다.

또한 “이와 별개로 롯데시네마의 요금 인상 전 무료 영화권 쿠폰발급 내용처럼 위장된 악성 앱(LotteCinema.apk)도 추가 보고되었는데 두 가지 악성 앱 모두 공통적으로 안드로이드 기반 스마트폰에 수신된 문자메시지(SMS)를 감시하고 수집하며 외부로 무단 유출을 시도하는 사생활 침해 및 개인정보 탈취 기능을 수행하고 있는 것으로 파악되었다”고 설명했다.

잉카인터넷 대응팀은 해당 악성 앱에 대한 탐지 및 치료 기능을 nProtect Mobile for Android 제품에 ‘Trojan/Android.KRSbot’ 대표 진단명으로 긴급 업데이트했다고 밝혔다.

기존 국내 이용자를 겨냥한 맞춤형 안드로이드 기반의 악성 앱은 크게 3가지 형태로 분류할 수 있는데 △소액결제 승인문자를 은폐시키고 갈취하는 소액결제사기형태, △모바일 디도스 기능을 수행할 수 있는 좀비 스마트폰용 사이버 공격형태, △스마트뱅킹 앱으로 위장한 금융 피싱사기 형태 등이다.

이번에 보고된 형태는 민감할 수 있는 문자메시지의 개인정보를 몰래 훔쳐갈 수 있다는 점에서 개인정보 유출 및 사생활 침해 형태로 분류할 수 있고 점차 한국 맞춤형 안드로이드 사이버 보안위협이 다양한 범죄형태로 진화하고 있다는 것을 증명하고 있다.



내 스마트폰에 수신된 문자메시지, 누군가 훔쳐가고 있다?
국내 안드로이드 기반의 스마트폰 이용자가 폭발적으로 증가하고 있고 비례적으로 다양한 보안위협도 꾸준히 늘어나고 있는 추세이다. 사회적인 문제로 대두되고 있는 소액결제 승인문자 갈취를 통한 악성 앱(Trojan/Android.KRSpammer)은 거의 매일 변종이 유포되고 있는 실정이다.

그런 가운데 이번에 발견된 형태는 감염된 스마트폰에 수신되는 문자메시지를 훔쳐가는 기능을 수행하고 있어 각별한 주의가 필요할 것으로 보인다.

<삼성전자 발신번호 위장 사례>
다음은 삼성전자의 발신번호로 위장하고 마치 안드로이드 운영체제의 최신 업그레이드 내용처럼 조작하여 스마트폰 이용자가 문자메시지에 포함된 단축 URL 주소를 클릭하도록 유도한 내용이다.
                     
 
애플리케이션 실행 속도관련 최신 업그레이드가 필요합니다 http://goo.gl/*****

이 문자메시지에 포함된 구글 단축URL 주소는 ‘Androicall.apk’ 파일을 국내의 웹 호스팅 서버에서 다운로드하게 된다. 만약 사용자가 다운로드된 앱을 클릭하면 ‘Snoopy’ 라는 앱의 설치과정이 보인다. 해당 웹 호스팅 서버는 현재 제거된 상태이고 도메인에 사용된 영문자를 한글로 변경하면 ‘문도박사’라는 내용으로 바뀌게 된다.

해당 악성 앱은 문자메시지 수신 권한, 인터넷 사용권한, 휴대폰 상태 읽기 권한 등의 개인정보 탈취기능을 수행하게 된다.


해당 악성 앱에 감염이 되면 ‘State’ 서비스에서 외부 특정 서버(http://aptotocaw.net/state.php?Identity=[inactive/active])와 통신을 수행한다. 또한 통신상태 및 통신시간 등에 대한 설정을 수행하며 시간체크 등 특정조건을 통해서 ‘Change’ 서비스를 실행한다.

‘Change’ 서비스에서는 외부 특정 서버(http://aptotocaw.net/state.php?Identity=inactive[inactive/active]&change=[inactive/active])에 대한 변경을 수행하며 변경된 서버와 통신 기능을 진행한다.

만약 감염된 스마트폰에 문자메시지(SMS)가 수신될 경우 ‘Message’ 리시버가 동작하여 수신된 문자메시지를 감시하고 수집하는 동작을 한다. 그리고 수집된 문자메시지를 외부로 유출시키기 위해서 ‘Send’ 서비스를 실행한다.

‘Send’ 서비스는 ‘Message’ 리시버에서 리턴된 값들을 외부 특정 서버(http://aptotocaw.net/send.php?Identity=[inactive/active]&Address=[발신번호]&Message=[SMS내용])로 유출을 시도하게 된다. 이를 통해서 특정 발신번호와 문자메시지가 외부로 탈취된다.



<롯데시네마 무료영화권 및 콤보세트 쿠폰 발급 사례>
롯데시네마의 요금인상 전 무료 영화권 2매와 콤보세트 1개 등의 쿠폰발급 앱처럼 위장한 형태도 발견되었다. 이것도 동일하게 수신자가 현혹될만한 내용과 악성 앱이 설치되는 구글 단축 URL 주소를 포함하고 있다.
                     
[롯데시네마]*요금인상전*무료영화권2매,콤보세트1개(쿠폰발급)http://goo.gl/*****

연결되어 있는 웹 사이트에는 ‘LotteCinema.apk’ 파일이 연결되어 있고 사용자가 링크를 클릭하면 다운로드가 진행된다. 다운로드된 APK 파일을 추가 클릭해 설치를 진행하게 되면 설치권한 화면이 나온다.

악성 앱은 실제 롯데시네마 아이콘으로 교묘하게 위장하고 있으며 다양한 권한을 보유하고 있다. 또한, 설치되면 실제 롯데시네마 새해 고객 감사 이벤트와 같이 위장된 화면과 쿠폰 발급 이벤트라고 나온다.

이용자가 [쿠폰 발급 하기] 메뉴를 클릭하면 사용자 하여금 실제 정상적인 쿠폰이 발급되는 것처럼 보이도록 하기 위해서 내부에 포함되어 있던  ‘2.apk’ 파일을 추가로 설치하게 되고 앱 이름도  ‘쿠폰 발급 관리’ 라고 지정되어 있다.
 
이 악성 앱은 ‘LotteCinema.apk’라는 숙주형 악성 앱에 의해서 설치되고 쿠폰 발급 관리라는 명목으로 내부에 포함되어 있는 ‘2.apk’ 악성앱이 추가 설치되는 과정을 거치게 되는 것이다.

숙주 역할을 수행하게 되는 ‘LotteCinema.apk’ 앱은 메인 액티비티를 출력하여 이용자가 특정 버튼을 클릭 시 감염된 스마트폰의 전화번호를 수집하고 외부 특정 서버(http://27.125.204.46:8080/smshidden/index.php)로 유출을 시도한다.

그리고 [쿠폰 발급 하기] 부분을 클릭하게 되면 내부에 포함시켜 두었던 ‘2.apk’ 악성파일을 설치하게 되고 ‘SMSReceiver’ 와 ‘WhoAmI’ 리시버를 등록해 수신되는 문자메시지(SMS)와 네트워크 상태 변경 등을 확인하면서 작동하게 된다.

악성 앱에 감염된 상태에서 문자메시지(SMS)가 수신되면 감염된 스마트폰의 전화번호와 모든 문자 메시지에 대한 수집을 진행하며 특정 외부 서버(http://27.125.204.46:8080/smshidden/smsnotify.php?phonenum=[감염된 스마트폰의 번호])에 접속을 시도한다.

그 후, 접속한 사이트의 정보를 확인해 정규식 ‘*check.*’ 조건과 같이 ‘check.’ 문자열을 포함하는 부분이 확인되면 감염된 스마트폰의 번호와 수집된 문자 메시지 정보를 특정 서버(http://27.125.204.46:8080/smshidden/receive.php)로 유출을 시도한다.

‘WhoAmI’ 리시버는 네트워크 상태 변경 등을 체크하여 동작을 수행하며 특정 서버(http://27.125.204.46:8080/smshidden/index.php)로 감염된 스마트폰의 번호유출을 시도하게 된다.

잉카인터넷 대응팀 문종현 팀장은 “이처럼 소액결제 사기 형태와 모바일 디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요하다”고 강조했다.

또한  “점차적으로 유포 및 감염에 있어 지능화 되어가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 어렵기 때문에 안전한 스마트폰 사용을 위해서는 ‘스마트폰 보안 관리 수칙’을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법”이라고 덧붙였다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>