최근 모바일 청첩장으로 위장한 문자 메시지의 첨부된 링크를 통해 악성 앱이 유포되어 사용자들의 주의가 요구된다. 이러한 스미싱 문자는 사용자가 관심을 가질 수 있는 다양한 내용으로 유포되고 있기 때문에 악성 앱에 쉽게 감염될 수 있다.

다음은 사용자에게 수신된 모바일 청첩장을 위장한 스미싱 메시지 화면이다. 문자 메시지의 단축 URL을 연결할 경우 특정 APK 파일(http://126.***.***.217/danal.apk)이 다운로드 된다.

[그림 1] 모바일 청첩장을 위장한 스미싱 문자

 

악성 앱이 설치되면 다음과 같이 소액결제를 유발하는 악성 앱을 확인 할 수 있다.

[그림 2] 악성 앱 아이콘

해당 앱은 휴대전화 상태, SMS 정보, 네트워크 통신, 내장 메모리를 접근하는 수행 권한을 사용한다.

 

[그림 3] 수행 권한 정보

 

디컴파일 코드를 분석해 보면 휴대전화 상태 정보를 접근하는 코드가 확인된다.

[그림 4] 디컴파일 코드

 

악성 앱을 통해 수집된 정보는 아래와 같은 형식으로 특정 웹 서버(126.***.***.217)로 전송된다.

[그림 5] 디컴파일 코드


분석 당시 악성 앱을 유포하고 있는 서버로 연결되는 것을 확인 할 수 있었다.

[그림 6] 서버 연결 정보

 

해당 악성코드는 V3 Mobile 제품을 통해 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/SMSstealer



신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 '체스트' (Android-Trojan/Chest)로 인한 사용자의 피해가 끊이지 않고 있으며, 변종이 끊임없이 유포되고 있다.

최근 유포되고 있는 악성 앱에 대하여 살펴보고, 추가된 코드는 무엇인지 확인 해 보겠다.

 

'체스트' 악성 앱은 사용자의 SMS 문자 메시지를 감시하고, 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인하여 소액결제 인증번호가 유출되고, 그 인증번호를 이용하여 금전적 이득을 취하고 있다.

그동안 꾸준히 발견되고 있는 '체스트' 악성 앱과 배포 방식은 동일하지만, 소스 코드가 일부 추가/변경되어 유포되고 있다.

 

 

악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타겟을 관리하고 모니터링 하고 있다.

 

 

[그림 1] 악성 앱 설치 유도 메시지 발송을 위한 타겟 리스트

 

 

 

 

타겟이 정해지면, 아래와 같은 문자메시지를 통하여 스마트폰 사용자에게 악성 앱 설치를 유도 한다.

 

[그림 2] 악성 앱 설치 유도 문자 메시지

 

단축 URL로 연결하여 앱을 설치하면, 아래와 같은 유명한 커피 전문점 "**** 쿠폰" 아이콘이 생성되며, 서비스에 등록된다.

[그림 3] 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)

 

악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다.

 

[그림 4] 악성 앱이 요구하는 권한 정보

 

악성 앱을 실행하면 아래와 같이 시스템 과부화로 잠시 후 다시 이용할 것을 권하고 있다. 소액결제 인증번호를 수집하기 위한 시간을 벌기 위하여, 즉 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.

 

[그림 5] 의도된 오류 메시지 팝업

 

 

악성 앱이 실행되면, 아래 코드에 의하여 스마트폰의 전화번호가 악성코드 제작자에게 전송된다.

감염된 스마트폰의 전화번호를 수집함으로써, 소액결제를 위한 인증번호 발송 작업을 진행하게 된다.

[그림 6] 특정번호로 수신된 SMS 감시/수집 코드

 

위 코드가 실행되면 "mobile=전화번호" 의 형태로 스마트폰의 전화번호가 전송 된다.

 

이 후, 악성코드 제작자는 아래와 같은 코드를 이용하여 특정번호(송신자)를 포함하는 SMS를 감시하고 있다.

if ((!this.numberchk3.equals("01")) || (this.numberchk1.equals("15")) || (this.numberchk1.equals("16")) || (this.numberchk2.equals("01015")) || (this.numberchk2.equals("01016")) || (this.numberchk3.equals("15")) || (this.numberchk3.equals("16")) || (this.numberchk4.equals("01015")) || (this.numberchk4.equals("01016")) || (this.numberchk1.equals("11")) || (this.numberchk3.equals("11")))

 

[그림 7] 특정번호로 수신된 SMS 감시/수집 코드

 

위와 같이 미리 정의된 번호로 발송된 SMS 는 아래와 같은 코드를 이용하여, 스마트폰 전화번호와 함께 특정서버로 전송된다.

 

[그림 8] 전화번호와 SMS 를 특정서버로 전송하는 코드

 

위 코드가 실행되면 "mobile=전화번호&revsms=SMS내용" 의 형태로 전화번호와 문자메시지가 전송 된다.

 

악성코드 제작자는 "대리운전"과 관련된 다량의 SMS 때문에 아래와 같은 코드를 추가한 것으로 보인다.

아래의 코드는 SMS 감시하면서 "대리운전" 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 "대리운전" 메시지를 전달한다.

 

제작자는 더 이상 "앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요"는 받지 않을 것이다.

 

[그림 9] 대리운전 SMS 필터링

 

 

악성 앱에 감염된 사용자의 리스트를 관리하며, 수집한 SMS 에서 "소액결제 인증번호"가 존재하는지 모니터링 하고 있다.

 

 

[그림 10] 감염자로부터 전송된 SMS 내역

 

악성코드 제작자는 이러한 과정을 통하여 금전적 이득을 취하고 있다.

악성 앱에 감염되고, 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

스마트폰 소액결제 악성코드 주의!!

 

통신사 정보, 전화번호, 인증 SMS 탈취해 소액결제 피해 지속 발생

외식, 영화 등의 유명 브랜드 무료쿠폰을 가장한 SMS로 악성 애플리케이션 설치 유도

인증번호 문자메시지를 사용자가 볼 수 없어 피해 확대

 

스마트폰 소액결제를 노린 안드로이드 악성코드 '체스트(chest)'에 의한 피해가 지속적으로 발생하고 있어 사용자의 주의가 요구된다.

 

지난 11월 국내 첫 금전 피해 사례를 발생시켰던 안드로이드 악성코드 '체스트(chest)'가 발견된 이후, 동일 악성코드 및 변종에 의한 소액결제 피해가 지속적으로 발생하고 있다. 지금까지 발견된 유사 악성코드는 10여 개에 이르며 변종 악성코드가 계속 발견되고 있다.

 

기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다. 하지만 '체스트(chest)'는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격대상을 정한다는 점에서 기존 악성코드보다 진보된 형태라 할 수 있다.

 

특히, 소액결제 시 반드시 필요한 인증번호 문자메시지가 직접 악성코드 제작자에게 전달되고, 사용자는 청구서가 나온 후에야 피해를 확인할 수 있다는 점, 대부분의 사용자가 핸드폰 사용 내역서를 꼼꼼히 살펴보지 않는다는 점에서 이후 유사한 피해가 추가 발생할 우려가 높다.

 

악성코드 제작자는 미리 확보한 개인정보 중 전화번호 리스트를 대상으로, 외식 영화 및 기타 유명 브랜드 무료쿠폰 등을 가장해 특정 URL이 포함된 문자메시지(SMS)를 발송한다. 문자메시지의 내용은 제작자의 의도에 따라 변경될 수 있다. 사용자가 URL로 접속하면 악성코드가 포함된 악성 애플리케이션의 설치를 유도한다. '체스트'가 사용자의 단말기에 설치되면 먼저 통신사 정보와 감염자 전화번호가 해외에 위치한 서버로 전송된다.

 

악성코드 제작자는 '체스트(chest)'가 전달한 정보로 감염자의 단말기를 식별하고, 이미 보유하고 있는 주민번호와 매칭해 소액결제를 시도한다. 이 때, 결제에 필요한 인증번호가 포함된 문자메시지가 사용자의 단말기로 전송되는 경우, 그 내용은 사용자 모르게 악성코드 제작자에게 직접 전달되어 결제에 사용된다. 악성코드 제작자는 게임 사이트 등에서 사이버머니를 구매해 되팔아 현금화하는 것으로 추정된다.

 

사용자는 정보가 외부 서버로 유출되는 것을 바로 알기 어렵기 때문에 청구서가 나온 후에야 피해 사실을 알 수 있다. 국내 휴대폰 소액결제 서비스 한도 금액이 매월 30만원으로 제한되어 있긴 하지만 현재 시장 규모가 2조8000억 원에 이르는 것을 감안하면 전체 피해액은 매우 클 수 있다.

 

이번 악성코드는 대량으로 유출된 개인정보와 결합해 지속적으로 스마트폰 사용자에게 실제 금전적인 피해를 입히고 있다. 사용자는 우선 수상한 문자메시지로 받은 URL을 실행할 때 주의하는 것이 필수적이다. URL을 실행했을 때 애플리케이션의 설치를 유도하면 설치하지 않는 것이 좋다. 또한, 서드파티 마켓은 물론 구글 공식 마켓이라도 안심하지 말고 다른 사용자의 평판을 읽어본 후 설치하는 등 신중함이 필요하다. 아울러 수시로 V3 모바일과 같은 스마트폰 전용 백신으로 점검을 해보는 습관이 필요하다.

 

 

  • 사용자에게 애플리케이션을 설치하도록 유도하는 문자메시지

 



  • 소액결제에 악용된 애플리케이션

 


  • 악성 애플리케이션 '체스트' 동작 개요

순서

동작설명

전달 정보

1

공격자는 사전에 입수한 개인정보를 목록에 있는 공격대상에게 Chest설치를 유도하는 SMS를 발송한다.

 

2

일부 사용자는 SMS에 링크형식으로 포함된 악성코드를 설치한다.

 

3

스마트폰이 감염되면 전화번호와 통신사 정보를 공격자에게 전달하고 좀비 스마트폰 상태가 된다.

전화번호, 통신사정보

4

공격자는 확보한 개인정보 중 주민번호와 감염된 스마트폰 사용자의 전화 번호를 이용해 결제 사이트에 입력한다.

전화번화, 통신사정보, 주민번호

5

소액결제사이트는 인증번호를 감염된 스마트폰으로 전달한다.

소액결제에 필요한 인증번호

6

감염된 스마트폰은 SMS가 수신되면 결제사이트의 발신번호인 경우 사용자에게 SMS를 보여주지 않고 공격자에게 다시 전달한다.

소액결제에 필요한 인증번호

7

공격자는 전달받은 인증번호를 입력한다.

소액결제에 필요한 인증번호

8

소액결제가 가능한 사이트에서 정상적인 결제 절차를 완료하고 공격자는 현금화가 가능한 물품 구매를 완료한다.

 

 

- 악성 애플리케이션의 분석정보는 아래에서 확인 가능하다.

http://asec.ahnlab.com/885

http://asec.ahnlab.com/886



- 관련 기사

http://news.search.naver.com/search.naver?where=news&sm=tab_jum&ie=utf8&query=%EC%95%88%EB%9E%A9+%EC%8A%A4%EB%A7%88%ED%8A%B8%ED%8F%B0+%EC%86%8C%EC%95%A1%EA%B2%B0%EC%A0%9C


 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@