정식 등록된 마켓도 주의... 모바일 보안 제품으로 점검해야

[보안뉴스 김태형] 최근 국내 스마트폰 사용자를 타깃으로 제작된 안드로이드 악성 앱이 발견되고 있다. 지난 10월에는 방통위를 사칭한 악성 앱이 발견되기도 했다.

안랩 시큐리티대응센터(이하 ASEC)는 지난번 발견된 악성 앱의 동일 제작자에 의해 만들어졌을 것으로 추정되는 악성 앱이 최근 추가로 발견되었다고 밝혔다.

사용자들의 편의를 위해 각 통신사들은 명세서, 청구서 앱을 제공하는데 이를 위장해 유포되는 악성 앱이 발견된 것. 이 앱은 위의 그림과 같이 단축 URL을 사용해 유포되고 있었다.

해당 앱을 설치해 확인해보면 좌측의 그림과 같이 Google Play에서 배포되는 정상 앱과 구분이 어렵다. 왼쪽이 정상 앱의 아이콘이고 오른쪽이 악성앱의 아이콘이다.

아래의 퍼미션 정보를 확인해 보면, 정상 앱과 다른 것을 확인할 수 있다.

               
                ▲ 퍼미션 정보

이 앱을 실행하면 아래의 그림과 같이 오류 메시지를 띄우고 ‘확인’ 버튼을 누르면 앱은 종료되지만 사용자들은 일시적인 서버 오류로 생각하고 해당 앱을 지우지 않을 가능성이 크다.

실제 앱의 코드를 살펴보면 아래의 코드는 이 앱의 처음 시작 코드이며 지면 상 위의 변수들까지 보이진 않지만 코드에서 보면 ‘a’라는 변수는 Boolean 변수로 값은 ‘true’이다.

이 코드의 의미는(그림 중간 부분에) if(!a) 조건문에서 알 수 있듯이 항상 거짓으로 ‘else’ 구문에 있는 메시지 박스를 띄우는 것으로 볼 수 있다.

그러나 이 메시지 박스가 팝업되기 전에 그 위에 코드가 실행되는데 해당 코드를 보면 Ejifndv 클래스를 브로드 캐스트 하고 미리 정의된 번로호 수신된 SMS를 수집해 특정 서버로 전송하는 코드이다.

       ▲ 앱의 시작 코드(onCreate)

클래스들의 코드를 따라가 보면 전송하는 IP의 정보도 알 수 있다. 또 사용자 정보를 전송하는 코드 외에 Ejifndv 클래스에서 또 다른 코드를 볼 수 있는데 그 코드는 미리 정의된 번호로 수신된 SMS를 전송하는 코드이다. 이 역시 IP 정보를 알 수 있고 해당 IP의 지역은 홍콩인 것으로 확인된다.

ASEC는 "최근 방통위 사칭 앱 뿐만 아니라 대다수의 사용자들이 이용하는 스마트 청구서라는 앱으로 위장한 것으로 보아 악성코드 제작자들이 국내 사용자들을 타깃으로 해 유포시키고 있는 것으로 볼 수 있다"고 밝혔다.

또한 "유포방식도 SMS를 이용해 사용자들이 앱을 설치하도록 유도한다. 이에 사용자들은 Google Play, 등 정식으로 등록된 마켓도 주의할 필요가 있으며 다른 경로로 설치되는 앱은 사용하지 않도록 해야 한다"고 덧붙였다.

이에 수시로 V3 mobile 제품으로 점검을 해보는 습관이 필요하다. V3 제품군의 진단명은 ‘Android-Trojan/Chest’이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>