회원가입 유도하며 개인정보 탈취 및 악성코드 프로세스 설치

송수신되는 SMS 탈취·변조 등 안드로이드 폰 좀비화

[보안뉴스 민세아] 최근 중국에서 SMS 문자를 통해 급속도로 유포되는 ‘Heart App’이라는 악성 앱이 발견됐다고 글로벌 보안업체인 Sophos 연구소가 전했다.

중국어로는 ‘XX神器(XX신기, XXshenqi)’, 영어로는 ‘Heart App’ 이라는 이름의 이 악성 앱은 안드로이드 폰의 주소록을 이용해 SMS를 통하여 유포된다. ‘Heart App’은 지인 번호의 SMS를 통해 유포되기 때문에 안드로이드 폰 사용자들이 쉽게 안심하고 설치하게 된다.

중국 안드로이드폰 사용자들은 정부 정책으로 인해 ‘구글 플레이’를 공식적으로 사용할 수 없어 비공식 안드로이드 마켓이 대중적으로 쓰이기 때문에 ‘알 수 없는 출처’의 앱을 설치할 수 있도록 설정해 놓은 경우가 많아 악성 앱 유포가 용이하다.

이 악성앱을 설치 후 실행하면 하트모양의 시작화면과 함께 인연을 소개시켜 주는 것처럼 위장하면서, 설치된 안드로이드 폰의 주소록에 있는 최초 99개의 지인번호로 악성앱 설치를 유도하는 URL이 포함된 SMS를 전송한다.

‘Heart App’은 회원가입을 유도하면서 개인정보를 탈취하며, 또 다른 악성코드 프로세스를 설치해 폰에서 송수신되는 SMS를 훔치거나 변조하는 등 안드로이드 폰을 좀비화 한다.

앱 실행 후 시작화면이 끝나면 로그인 화면과 함께 회원가입을 유도하며 회원 가입시 작성한 ID카드의 번호(주민등록번호에 해당)를 포함해 안드로이드 폰 내 모든 개인 정보가 해커에게 SMS 문자로 전송된다.

또한, 로그인 및 회원가입 화면에서 Resource pack을 추가로 설치하라는 팝업이 생성되고 설치를 승인하면 Trogoogle과 com.android.Trogoogle이라는 트로이얀 악성코드 프로세스가 백그라운드로 실행되면서 해커가 SMS를 통해 전송하는 명령에 의해 좀비화된다.

이와 관련한 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래의 출처를 참고하면 된다.

[출처]

1. Android "Heart App" virus spreads quickly, author arrested within 17 hourshttp://nakedsecurity.sophos.com/2014/08/11/android-heart-app-virus-spreads-quickly-author-arrested-within-17-hours/

2. Backdoor.AndroidOS.Trogle.a http://android-security.lofter.com/

3. Android XXshenqi SMS senderhttp://contagiominidump.blogspot.kr/2014/08/android-xxshenqi-sms-sender.html

[용어설명]

com.android.Trogoogle : ‘Heart App’에 감염된 안드로이드 폰에 저장 또는 송수신되는 SMS를 탈취하는 트로이얀 악성코드로서 아래와 같은 명령을 받아 그에 따른 악성행위를 수행한다.

- readmessage : SMS 메시지함에 있는 SMS를 탈취

- sendmessage : 폰에서 임의의 SMS를 전송

- test : 테스트용 SMS 전송하며 악성코드 프로세스를 재부팅

- makemessage : SMS 메시지함에 저장되어 있는 SMS를 변조

- sendlink : 안드로이드 폰 주소록에 있는 연락처를 탈취

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>