지속적으로 변종형태가 제작·유포되고 있어 주의해야

[보안뉴스 김태형] ZIP Format Header 조작을 통한 암호화 방식을 도입한 악성앱 파일이 발견되어 이용자들의 주의가 필요하다.
잉카인터넷 대응팀은 지난 1일 오후 5시 58분 경부터 국내 불특정 다수의 안드로이드 스마트폰 이용자를 겨냥한 스미싱 기법의 악성문자가 전파되는 정황을 포착했다고 밝혔다.

잉카인터넷 측은 “이 스미싱을 통해서 설치되는 악성앱(APK)파일은 기존의 스미싱용 악성앱 형태와 다르게 APK 앱 파일 자체가 암호화 기능으로 설정되어 있었다. 안드로이드의 APK 파일은 압축 포맷인 ZIP 형태를 가지고 있어 압축 프로그램을 통해서 쉽게 압축을 해제하고 분석할 수 있으나, 이번과 같이 암호화 기능이 설정된 경우 내부에 존재하는 ‘classes.dex’ 파일에 쉽게 접근하기 어려워 분석 방해 등의 어려움을 겪을 수 있다”라고 설명했다.

이 암호화 방식의 기법은 지난 3월 25일 해외에서 이슈가 공개되었던 내용으로, ZIP 파일 포맷의 Header값을 조작하여 마치 암호화된 것처럼 보이도록 만든 기법이다.

그런데 안드로이드 ‘APK Manager’에서는 ZIP 포맷의 ‘Encrypted File Flag Bit’값을 무시하고 설치를 시도하기 때문에 안드로이드 운영체제의 단말기에서 악성앱이 정상적으로 설치되는 것이고 얼마든지 악용 가능한 일종의 보안 취약점으로 남용될 위험성이 존재한다는 것이다.

잉카인터넷 측은 “이와 같은 악성앱 설치를 위한 스미싱 문자 메시지는 단 시간에 다량으로 뿌려졌고 이를 발견 즉시 한국인터넷진흥원(KISA)과 스미싱 정보공유 협력을 운영 중인 SKT 등의 이동통신사에 신속하게 정보공유와 함께 차단조치가 이뤄졌다”라고 덧붙였다.

또한 “이번 스미싱 문자메시지 앱은 잉카인터넷의 스미싱 전용 원천 차단 솔루션인 ‘뭐야 이 문자’ 이용자를 통해서도 다수의 차단신고가 동시다발적으로 접수되었고 별도의 추가 업데이트 없이 사전탐지가 이루어졌다”라고 밝혔다.

잉카인터넷 측은 “계속해서 변종형태가 제작되어 유포되고 있는 상황이므로, 안드로이드 스마트폰 이용자들은 구글 플레이 마켓에서 ‘뭐야 이 문자’를 검색해서 설치해 두면 유사한 스미싱 문자를 예방할 수 있다”라고 강조했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>