2. -김종혁
안녕하십니까 보안 컨설턴트 모의해킹 전문가가 꿈인 안성고 3학년 김종혁입니다.
스마트 폰은 진화했고 점점 더 발전해 가고 있습니다. 하지만 더욱 더 발전해 가는 것 또한 있었으니 그건 바로 악성코드입니다.
멀웨어/트로이같은 바이러스나 메타스플로잇 같은 수많은 해킹 기법 또한 발전되었으며 정보화 시대에서 우리의 생활을 위협하는 존재가
되었습니다. 이 글은 한 악성코드 어플을 보고하는 글입니다.
난생 처음으로 쓰는 글이니 오타/주관적인 발언/이해안가는 부분 혹은 기타 등등 눈살이 찌푸려지는 글은 이해해주시길 바랍니다.
이 글을 통해 도움이 되길 바라고 이런 피해사례가 더 이상은 없길 바랍니다.
1) 악성 어플리케이션 소개
2) 감염 경로
3) 삭제하는 방법
4) 어플리케이션의 소스코드
5) 앞으로 조심해야할 것
3. 1) 악성 어플리케이션 소개 - 1
먼저 이 어플리케이션은 안드로이드의 기본 어플리케이션이자 Google 개발사의 웹브라우저인 Chrome으로 위장을 했습니다.
그렇기 때문에 밑의 사진과 같이 안드로이드 기기 내에서 본 상태일 경우 아이콘 모양이 Chrome과 동일합니다.
◀ 안드로이드 기기 내의 파일관리자/ASTRO 같은 탐색 어플리케이션을 이용하여
볼 경우 Chrome의 아이콘 모양과 같습니다.
이러한 생각을 했다니 놀랍습니다.
프로세스 또한 동일하게 돌아갑니다.
이런 것을 이용하여 분명 다른 기본 어플리케이션으로 위장한 또 다른 악성코드
어플리케이션으로 피해자의 개인정보를 탈취해 갈 것입니다.
하지만 어플리케이션의 이름은 Chrome이 아니고 다릅니다. 그렇기 때문에 눈에 띄기 쉽습니다.
이 어플리케이션은 다운로드 될시 자동으로 설치가 됩니다.
어플리케이션 설치 파일의 크기는 393KB입니다.
4. 1) 악성 어플리케이션 소개 - 2
이제 이 어플리케이션이 설치가 되면 문제점이 시작됩니다. 밑의 사진은 그 문제점 중 하나입니다.
◀ 사진과 보이는 것처럼 웹 브라우저를 사용할 경우 “새로운 Chrome이 출시되었으니 업데이트
후 사용하길 바랍니다.” 라는 알림 창이 뜹니다.
하지만 여기서 확인을 누를 경우 홈 화면으로 나가집니다.
그 후 악성코드 설치 파일이 계속 다운로드 됩니다.
◀ 다른 문제점은 연락처에 등록된 전화번호에 문자 메시지로 악성 URL에 접속을 유도합니다.
이 URL로 접속시 악성코드 어플리케이션이 자동으로 다운로드 되고 이 후에 자동 설치까지
됩니다.
스크린샷은 없지만 또 다른 문제점이 있습니다.
5. 1) 악성 어플리케이션 소개 - 3
▲ 수동 설치시 화면이다. (초록색 박스는 문제점이 상당히 크다.)
어플리케이션의 특징이 나옵니다. 여기서 문제점이 검출된다. 주소록 읽기로 주소록을 인식하고 SMS 메시지 보내기를 통해 위에
설명한 악성URL을 유포합니다. 또한 wi-fi의 연결을 해제시켜 데이터가 소모되게 만듭니다. 그리고 화면 잠금 사용 중지로 배터리
소모가 심해지며 다른 앱 종료 기능때문에 삭제 또한 불가능합니다.
6. 1) 악성 어플리케이션 소개 – 4
◀ 설치 시 이렇게 백신이 기기 내에 설치되어 있는 경우 검출됩니다. 하지만 삭제를 하려고 할
경우 설정-보안-휴대폰 관리자로 이동되어야 하지만 이 악성코드 어플리케이션의 기능 중
하나였던 다른 앱 종료로 인해 바탕화면으로 이동되어지고 삭제가 완료되지 않습니다.
추가 증상
※ 무음시 벨소리로 바뀌는 증상도 보였다.
※ USB 포트로 PC와 연결시 연결되었다 끊겼다를 반복하는 이상증세도 발견되었다.
※ 절전 모드가 선택되지 않는다.
※ 이전 버전인 2.3에서는 사용중지와 제거가 바로 가능했지만 현 버전은 업그레이드가 되어 2.3.3 버전이며 삭제가 불가능해졌다.
※ 매우 화가 나고 짜증난다.
여기까지가 직접 알아본 증상입니다.
또 다른 추가 증상이 있을 수 있습니다. 다른 증상이 나타날 경우 dydrltk345@naver.com 으로 메일을 보내주시길 바랍니다.
7. 2) 감염 경로
감염 경로로 추정되는 것은 첫 번째 피싱 사이트 접속시 두 번째 암호가 걸려있지 않은 wi-fi 연결시 세 번째는 알려지지 않은 파일을
다운로드시에 감염된 것으로 추정됩니다.
먼저 첫 번째 피싱 사이트 접속시의 경우에는 해당 악성코드가 감염되어 발송된 문자 메시지의 악성 URL이나 검증되지 않은 사이트를
접속시에 설치 파일이 다운로드되어 감염된 것으로 추정됩니다.
두 번째는 암호가 걸려있지 않은 wi-fi 연결시의 경우에는 이 어플은 공유기에도 감염됩니다. 물론 공유기는 초기화를 시키면 되지만
스마트폰의 경우는 초기화 시 저장된 데이터도 아까울 뿐 아니라 초기화도 복잡합니다. 그렇기 때문에 감염된 공유기의 암호가 없는 wi-fi를
사용시 무선 네트워크를 통해 스마트폰 기기내에 침투되어 감염이 된 것으로도 추정할 수 있습니다.
마지막 세 번째는 알려지지 않은 파일을 다운로드시의 경우도 있습니다. 이 말은 인터넷을 서핑하면서 이런저런 파일을 다운받았다는 가정하에
만약 압축된 파일이나 토렌트 같은 파일의 경우 압축을 풀거나 토렌트를 열었을 때 이 어플리케이션이 같이 딸려있어 다운되어 설치되었기
때문에 감염이 된 것으로도 추정할 수 있습니다.
악성 URL에 나온 링크의 아이피 주소는 174.139.55.218입니다. 이 주소 추적결과 미국의 캘리포니아로 추정됩니다.
8. 3) 삭제 방법 – 1
이제 지워보는 방법을 설명하겠습니다. 꽤 복잡합니다.
◀ 1. 먼저 설정-앱 에 들어갑니다.
이때 실행중 탭에 들어가면 Chrome은 한 개로 프로세스가 돌아가고 있습니다.
9. 3) 삭제 방법 – 2
◀ 설정-앱에서 실행중에 Chrome이 실행 중인 것을 확인하면 전체 탭으로 들어갑니다.
그러면 여기서는 Chrome이 두 개인 것으로 나오는 데 이때 설치된 날짜를 사용하면
한 Chrome은 최근 날짜에 설치가 되었습니다. 또한 용량도 1.08MB 밖에 되지않습니다.
10. 3) 삭제 방법 – 3
◀ 옆의 사진을 보시는 것과 같이 최근에 설치된 Chrome은 사용중지/제거가 비활성화
되어있습니다. 활성화는 임시파일 삭제 밖에 되지 않습니다.
위에서 증상에서 설명했듯이 버전은 2.3.3 버전입니다.
11. 3) 삭제 방법 – 4
◀ 이제 다시 전체 탭으로 가서 메뉴바를 터치 후 앱 사용 환경 재설정을 터치해줍니다.
13. 3) 삭제 방법 – 6
◀ 이제 설정 – 보안 – 휴대폰 관리자에 들어가면 Chrome이 체크가 되있습니다.
여기서 그냥 체크를 해제하려고 할 시에 홈 화면으로 나가지게 됩니다.
위에 이 어플리케이션의 특성에서 다른 앱 종료의 기능 때문인 것으로 추정됩니다.
◀ 중요한 것은 홈화면이 두 개 이상일 경우에는 이러한 알림창이 뜹니다.
그러니 ‘카카오홈’ 이나 다른 홈 화면으로 나가질 수 있게 설정이 되어있어야 합니다.
저러한 알림창이 나오게 되면 알림창 밖의 빈 공간을 터치 후 해제를 해주시면 됩니다.
14. 3) 삭제 방법 – 7
◀ 그 후 다시 설정 – 앱 – 전체 – Chrome 중 제일 용량이 작고 최근에 설치되었던 2.3.3 버전을
들어가게 되면 강제 종료와 제거가 활성화 되어 있습니다.
이제 제거를 누르시면 핸드폰 기기 내에서 삭제가 완료됩니다.
매우 복잡하니 천천히 따라 해보시길 바랍니다.
※ apk파일도 꼭 지워야합니다.
15. 4) 어플리케이션의 소스코드
◀ 이 어플리케이션을 디컴파일 했을 때의 소스 코드입니다.
이 어플의 특성에서 설명했던 내용이 전부 영어로 번역되어
있습니다.
16. 5) 앞으로 조심해야할 것
이 어플은 위에서 나온 것처럼 백신에 검출은 되지만 삭제는 불가능합니다.
이렇게 위장한 어플이 얼마 전에 하나 더 나온 것을 확인했습니다.
이름은 Smart touch이고 증상은 이와 같습니다.
이렇게 날이 갈수록 악성코드 또한 진화하고 있습니다. 이유는 시대의 발전이 빠르기 때문이죠.
그렇기 때문에 앞으로 조심해야할 것들 또한 많아질 것입니다.
먼저 이 어플리케이션에 감염되지 않게 조심해야할 것은 공개된 wi-fi를 함부로 사용하지 않고 검증되지 않은 사이트에 접속하지 않는
것입니다. 또한 잘 알려지지 않은 파일 같은 것을 다운로드 할 시에는 먼저 댓글 같은 것을 확인 해 본후 다운 받을 것을 권장드립니다.
많이 부족하지만 나름 열심히 작성하였습니다.
제가 이 보고서를 작성한 이유는 해당 어플을 삭제하는 법은 자세히 나와 있지 않았기 때문입니다.
이 글을 보고 많은 도움이 되었길 바랍니다.
이상 안성고 3학년 김종혁이었습니다.
