ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Security Trend ASEC Report VOL.62 February, 2015

ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2015 년 2 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 악성코드로부터내 PC 지키는방법 02 추가로악성앱설치하는생활밀착형스미싱 03 업데이트파일로위장해 SNS 에서유포되는악성코드 10 13 16 3 악성코드상세분석 ANALYSIS IN-DEPTH 영화 인터뷰 유명세노린악성앱 20 ASEC REPORT 62 Security Trend 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 62 Security Trend

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면 2015 년 2 월한달간탐지된악성코드수는 2,206 만 3,090 건이다. 이는전 월 3,689 만 5,683 건보다 1,483 만 2,593 건감소한수치다. 한편 2 월에수집된악성코드샘플수는 378 만 1,333 건이다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 40,000,000 36,895,683 30,000,000 20,000,000 26,955,828 22,063,090 10,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 6,079,293 3,549,667 3,781,333 탐지건수샘플수집수 12 월 01 월 02 월 [ 그림 1-1] 악성코드추이 (2014 년 12 월 ~ 2015 년 2 월 ) ASEC REPORT 62 Security Trend 4

[ 그림 1-2] 는 2015 년 2 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램 인 PUP(Potentially Unwanted Program) 가 51.35% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 26.72%, 애드웨어 (Adware) 가 8.34% 로그뒤를이었다. 0.44% 3.45% 8.34% 51.35% 9.7% 26.72% PUP Trojan etc Adware Worm Downloader [ 그림 1-2] 2015 년 2 월주요악성코드유형 [ 표 1-1] 은 2 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. PUP/ Win32.MyWebSearch 가총 216 만 4,881 건으로가장많이탐지되었고, PUP/Win32. MicroLab 이 131 만 5,377 건으로그뒤를이었다. [ 표 1-1] 2015년 2월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 PUP/Win32. MyWebSearch 2,164,881 2 PUP/Win32. MicroLab 1,315,377 3 PUP/Win32.BrowseFox 919,471 4 PUP/Win32.Helper 872,996 5 PUP/Win32.IntClient 838,251 6 PUP/Win32.SubShop 702,081 7 PUP/Win32.CrossRider 600,211 8 PUP/Win32.Gen 555,784 9 PUP/Win32.Enumerate 479,385 10 PUP/Win32.Generic 468,093 ASEC REPORT 62 Security Trend 5

보안통계 02 웹통계 Statistics 2015 년 2 월악성코드유포지로악용된도메인은 1,594 개, URL 은 1 만 9,790 개로집계됐다. 또한 2 월의 악성도메인및 URL 차단건수는총 486 만 868 건이다. 악성도메인및 URL 차단건수는 PC 등시스템이 악성코드유포지로악용된웹사이트의접속을차단한수이다. 9,000,000 8,104,699 8,000,000 7,000,000 6,000,000 6,420,752 5,000,000 4,860,868 4,000,000 40,000 30,000 20,000 11,612 24,254 19,790 10,000 1,460 1,917 1,594 악성도메인 /URL 차단건수 악성코드유포도메인수 0 12 월 01 월 02 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2014 년 12 월 ~ 2015 년 2 월 ) ASEC REPORT 62 Security Trend 6

보안통계 03 모바일통계 Statistics 2015 년 2 월한달간탐지된모바일악성코드는 22 만 1,188 건으로집계됐다. 250,000 200,000 150,000 149,806 108,607 221,188 100,000 50,000 0 12 월 01 월 02 월 [ 그림 1-4] 모바일악성코드추이 (2014 년 12 월 ~ 2015 년 2 월 ) ASEC REPORT 62 Security Trend 7

[ 표 1-2] 는 2 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsReg 의접수량이지난달 1 만 7,901 건에서 12 만 616 건으로, 급격하게증가했다. 중국의스마트폰사 용자를대상으로하는 Android-Trojan/AutoSMS 가처음으로순위권에이름을올렸다. [ 표 1-2] 2015 년 1 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SMSReg 120,616 2 Android-PUP/Dowgin 13,375 3 Android-Trojan/FakeInst 10,512 4 Android- PUP/Noico 9,552 5 Android-Trojan/AutoSMS 7,909 6 Android-Trojan/Opfake 4,719 7 Android-PUP/Plankton 2,854 8 Android-PUP/Airpush 2,827 9 Android-Trojan/SMSAgent 2,820 10 Android-PUP/SMSpay 2,368 ASEC REPORT 62 Security Trend 8

2 보안이슈 SECURITY ISSUE 01 악성코드로부터내 PC 지키는방법 02 추가로악성앱설치하는생활밀착형스미싱 03 업데이트파일로위장해 SNS 에서유포되는악성코드 ASEC REPORT 62 Security Trend

보안이슈 01 악성코드로부터내 PC 지키는방법 Security Issue 소잃고외양간고친다 는속담처럼, 악성코드에감염된후에야보안의중요성을실감하는사용자들이많다. 대부분의사용자들이개인정보를 PC, 스마트폰에저장하는경우가많은데이는악성코드제작자의표적이된다. 기기에저장된모든자료들이악성코드제작자의표적인셈이다. 악성코드감염예방법에대해알아보자. 1) 호기심을자극하는이메일의수상한첨부파일 첨부파일을실행하는순간시스템은악성코드에감염된다. 이런방식으로사용자들을낚는피싱메일은 항공 E-ticket, 이력서, 구매확인 등의제목으로사용자들의호기심을자극한다. 수상한메일을수신했을때에는발신자의메일주소를살펴보고, 내용에어색한부분은없는지살펴봐야한다. 또한최근유행하고있는랜섬웨어 (Ransomware) 도메일로유포되고있는만큼사용자는확인되지않은수신메일의첨부파일실행은곧악성코드감염임을명심해야한다. 2) 파일공유사이트로유포되는악성코드 그림 2-1 악성코드가첨부된이메일 [ 그림 2-1] 과같이안나 (Anna) 가보낸 my photo 라는제목의메일에는악성코드가첨부되었다. 해당메일을수신한사용자들은자연스럽게메일의첨부파일을다운로드하고 zip 파일을압축해제한후사진을보려고시도할것이다. 하지만압축을풀기위해 그림 2-2 파일공유사이트에서유포된악성코드 파일공유사이트도주의해야한다. 악성코드제작자는유료콘텐츠를무료로다운로드하려는사용자들 ASEC REPORT 62 Security Trend 10

을대상으로악성코드를유포한다. 영화, TV 프로그램등으로위장한악성코드가파일공유사이트에업로드되면사용자는의심없이콘텐츠를다운로드한다. 이런방식으로악성코드제작자는악성코드를쉽게유포하고있어파일공유사이트에서악성코드가꾸준히발견되고있다. 체크하고, 알려진파일형식의파일확장명숨기기의체크를해제하면된다. 간단한방법으로사용자는.exe,.scr 등의확장자를보고영상콘텐츠로위장한악성코드임을알수있다. 사용자는파일을다운로드했을경우최신버전의백신프로그램으로악성코드감염여부를검사하는것도중요하다. 그림 2-3 영상콘텐츠로위장한악성파일 ( 좌 ) / 악성파일확장자표시 ( 우 ) [ 그림 2-3] 과같이악성코드는동영상콘텐츠의아이콘으로위장했다. 이러한악성파일은 제목.avi 와같은파일명을사용하여영상파일로위장한다. 사용자는 [ 그림 2-4] 와같이폴더옵션수정을통해확장명을확인할수있다. 폴더옵션수정은파일을다운로드하기전설정가능하다. 간혹악성코드제작자는악성코드의속성을숨기기위해파일명을길게하고확장명을속이기도한다. 이경우파일을실행하기전마우스로파일을우클릭해서속성을확인해야한다. 예를들어다운로드파일이동영상프로그램이면확장자가.avi로확인되고그림파일이면.jpg로확인된다. 그렇지않고확장자가.exe 등응용프로그램으로확인되면실행하지않는것이좋다. 3) 운영체제, 소프트웨어업데이트는즉시많은사용자들이 PC 사용중에나타난 업데이트를진행하세요 알림창을무시한다. 하지만업데이트가중요하다는것을인지할필요가있다. 악성코드제작자는사용자들이운영체제, 소프트웨어보안업데이트를지나치는틈을노리고이전버전의취약점을악용하여악성코드를유포한다. 이경우업데이트알림을확인하지않고무시한사용자들은취약점을이용한악성코드의표적이된다. 그림 2-4 폴더옵션수정 [ 그림 2-4] 와같이 [ 폴더옵션 ] [ 보기 ] 탭 [ 고급설 정 ] 에서숨김파일, 폴더및드라이브를표시하도록 [ 그림 2-5] 의악성파일은인터넷익스플로러 (IE) 취약점을악용한 html 파일이다. CVE-2014-6332 취약점을이용한코드가추가되어추가악성코드생성및네트워크연결등악성행위를한다. 취약점이있는 Microsoft 보안업데이트는필수임에도대 ASEC REPORT 62 Security Trend 11

부분의사용자들은중요하게생각하지않는다. 해당악성코드의감염을예방하려면운영체제및자바 (Java), 어도비등의소프트웨어를가장최신버전으로유지하는것이중요하다. 그림 2-6 프로그램설치시설치되는제휴프로그램 [ 그림 2-6] 과같이사용자는프로그램설치시, [ 다음 ] 버튼만클릭할것이아니라설치되는제휴프로그램, 서비스를확인하고체크상자를해제해야한다. 본인이무심코설치한 PUP로인해악성코드를유포하는경로가될수있음을인지해야한다. 그림 2-5 CVE-2014-6332 취약점파일 4) 불필요한프로그램 (PUP) 에포함된악성코드 PUP(Potentially Unwanted Program) 는말그대로사용자가원하지않는불필요한프로그램이다. PUP는인터넷사용시광고가노출되거나, 인터넷홈페이지를특정사이트로변경하기도한다. PUP는설치시사용자에게이용약관을제공하여사용자의동의를구한다는점에서악성코드와는다르다. 문제는사용자의동의를얻는절차에서이용약관의글자를작게하거나, 잘보이지않게하는등사용자가인지하기어렵게하여비정상적으로설치된다는것이다. PUP 제작자의교묘한 PUP 유포에악성코드제작자는숟가락을얹은셈이다. PUP의보안관리가허술한점을이용하여악성코드제작자는 PUP 프로그램을변조하여악성코드와유포한다. PUP를통해유포되는악성코드는온라인게임핵, 뱅키류등으로꾸준히등장하고있다. 이러한악성코드감염을예방하기위해사용자는 PUP를설치하지않도록주의해야한다. 악성코드제작자는새로운악성코드유포방법을찾기위해다양한시도를한다. 악성코드유포방법은이밖에도 USB, 공유폴더등셀수없이다양하다. 조금만주의를기울이면내 PC를안전하게지킬수있음을명심해야한다. V3 제품에서는관련악성코드를다음과같이진단가능하다. <V3 제품군의진단명 > Win-Trojan/MDA.630F094C (2014.10.16.04) Trojan/Win32.MDA (2014.11.14.00) Exploit/CVE-2014-6332 (2015.01.23.05) ASEC REPORT 62 Security Trend 12

보안이슈 02 추가로악성앱설치하는생활밀착형스미싱 Security Issue 안드로이드기반스마트폰사용자를노리는악성코드는 2014년누적수가총 143만 247개로집계됐다. 이는 2013년 125만 1,586개대비 14.2% 증가한수치이며, 2012년 26만 2,699개보다 5.4배증가한수치이다. 악성코드배포자는각종사회적이슈를이용하여악성코드를배포한다. 사회적이슈가없는시기에는주로생활과관련된메시지를보내는경우가많다. 안랩 안전한문자 의트렌드알림기능을보면요즘유행하는스미싱메시지의내용을알수있다. 또한스마트폰악성코드는 2011년 8,290개에서 2012년에는약 26만개로폭발적으로증가했고, 2013년 100만개를돌파한이후지속적으로증가하고있다. 스마트폰악성코드 143만 247개중스미싱악성코드는 2014년한해동안총 1만 777개발견됐다. 이는 2013년 5,206개대비약 2배, 2012년 29개대비 371배증가한수치이며꾸준한증가세를보이고있다. 그림 2-8 안전한문자 앱의스미싱트렌드 생활밀착형메시지들중한종류를보면 [ 표 2-1] 과같다. 표 2-1 생활밀착형스미싱원문 { 생활민원 } 분리수고위반통보해드립니다. 상세한확인 ( 회번호 ) http://me2. do/5xxkgizb 그림 2-7 2012~2014 년스미싱악성코드통계 분리수고위반통보해드립니다. 상세한확인 ( 조회번호 ) a.cleucleu.org/ xx.apk?/app ASEC REPORT 62 Security Trend 13

해당악성앱을설치하여동작과정을확인했다. 악성앱을설치하면 [ 그림 2-9] 에서보이는것처럼 내장메모리컨텐츠수정 / 삭제 와 외장메모리컨텐츠읽기 권한만요구하고있다. 기존에다루었던다른스미싱앱과는달리요구권한이간단하다. 이러한권한만요청할경우추가로설치되는악성앱이존재할가능성이매우높아주의가필요하다. 추가로설치되는앱은 민원24 앱에포함되어있다. 민원24 앱의구조는아래와같으며, assets의 xxxxx.apk 파일을설치한다. 그림 2-11 민원 24 앱의구조 [ 그림 2-12] 와같이추가로설치되는악성앱은 V3 모바일백신으로위장하여사용자의의심을피하려고한다. 그림 2-9 스미싱악성앱 민원 24 실제로 classes.dex 파일을디컴파일하여내부코드를살펴보면 pm install 명령어로추가앱의설치를시도한다. 만약스마트폰이루팅되어있다면사용자에게설치여부를확인하지않고추가앱이설치및실행된다. 그림 2-12 V3 모바일백신으로위장하여추가로설치되는악성앱 악성앱은특정서버와통신하며스마트폰의문자정보들을수집하여전송한다. 그림 2-10 추가악성앱설치코드 그림 2-13 정보수집코드중일부 ASEC REPORT 62 Security Trend 14

[ 스마트폰사용자를위한 3대보안수칙 ] 1. 문자메시지나 SNS(Social Networking Service) 등에포함된 URL 실행을자제한다. 만약의심스러운 URL을실행하고앱을설치했다면모바일전용보안프로그램으로스마트폰을검사한다. 그림 2-14 특정서버전송스트림중일부 또한이악성앱은수신전화를가로채는기능과전화벨을무음으로설정하고통화를종료하는코드가있다. 사용자는안전을위해앱이설치될때권한요청을잘확인하고, 앱을다운로드받을때는공식마켓을이용해야한다. 2. 반드시모바일전용보안앱 (V3 모바일등 ) 이나스미싱탐지앱 ( 안랩안전한문자등 ) 을설치하고자동업데이트등으로항상최신엔진을유지한다. 또한, 보안앱으로주기적으로스마트폰을검사하는것이좋다. 3. 공식마켓이외의앱설치방지를위해 알수없는출처 [ 소스 ] 의허용금지를설정하고, 공식마켓에도악성앱이등록되어있을수있으므로평판정보를반드시확인한다. V3 제품에서는관련악성코드를다음과같이진단가능하다. 그림 2-15 통화종료코드중일부 <V3 제품군의진단명 > Android-Trojan/Narut ASEC REPORT 62 Security Trend 15

보안이슈 03 업데이트파일로위장해 SNS에서유포되는악성코드 Security Issue 세상에있는모든사람들은최대 6단계이내에서서로아는사람으로연결될수있다. 케빈베이컨게임은임의의두사람이최소몇단계만에이어질수있는지계산하는게임이다. - 케빈베이컨의 6단계법칙중에서 소셜네트워크서비스 (SNS) 는 PC나스마트기기를이용하여인터넷상에서친구, 동료등지인과의인맥을강화하거나새로운인맥을형성할수있게해주는관계네트워크로사용자가생성한정보를빠르게유포하거나, 타인의정보를쉽게공유할수있는장점이있다. 사용자가게시물을등록하면, 그와친구로맺어진지인들에게공유되며해당게시물을스크랩하거나 좋아요 또는댓글을다는것만으로도그지인의친구들인제3자에게까지정보가공유된다. 위에언급한 케빈베이컨의법칙 처럼, SNS 내에선 나 와불특정다수는항상연결되어있으며거대한관계네트워크안에서공유되는정보는빠르게확산된다. 최근한 SNS를통해유포된악성코드는 SNS가 가진강력한정보확산기능을이용했다. 유튜브 (YouTube) 를가장한음란물동영상링크가공유된게시물을사용자가클릭하면, 음란물동영상재생을위해가짜플래시플레이어다운을유도한다. 이후사용자가해당파일을다운및설치하는순간악성코드에감염된다. 업데이트파일로위장한악성코드는 <C: Documents and Settings [ 사용자계정 ] Application Data > 경로에 Chromium.exe 를자가복제한다. 복제된악성코드 Chromium.exe는외부 C&C서버와통신하며, 서버에서추가다운로드할파일의해시 (hash) 값을검사한다. 이후 <C: Documents and Settings [ 사용자계정 ] Application Data> 경로에 wget.exe 를이용하여동일경로내에 arsiv.exe 파일을다운받는다. 표 2-2 네트워크모니터정보 프로세스 DestIP 데이터 Chromium.exe 1*8.**6.2**.1*:80 www.f*****r.com/a**/ok.txt Chromium.exe 1*8.**6.2**.1*:80 www.f*****r.com/a**/req. php?type=update_hash Chromium.exe 1*8.**6.2**.1*:80 www.f*****r.com/a**/req. php?type=js ASEC REPORT 62 Security Trend 16

Chromium.exe 1*8.**6.2**.1*:80 www.f*****r.com/a**/req. php?type=key Chromium.exe 1*8.**6.2**.1*:80 www.f*****r.com/a**/req. php?type=update_hash wget.exe 1*8.**6.2**.1*:80 www.f*****r.com/a**/req. php?type=arsiv_link wget.exe 9*.8*.1*.3*:80 P*****an.com:80/app.exe 추가다운로드된 arsiv.exe는 <C: Documents and Settings [ 사용자계정 ] Application Data browser [ 버전정보 ]> 경로내에구글크롬과관련된다수의.pak 압축파일을복사한다. Chromium.exe 는 <C: Documents and Sett 그림 2-17 오토핫키를이용한키보드와마우스후킹 ings [ 사용자계정 ] Local Settings Applica tion Data Google Chrome User Data Default Extensions> 경로내에악성 스크립트를생성한다. 사용자가변조된크롬을실행하면확장프로그램으로삽입된악성스크립트에의해특정주소의접속차단및 C&C 서버로 HTTP GET 요청을한다. 차단되는주소는 [ 그림 2-18] 과같이대부분안티바이러스회사들의사이트주소이며, SNS의일부페이지또한차단하는것을볼수있다. 그림 2-16 크롬확장기능으로삽입된악성스크립트 이후 Chromium.exe는 [ 그림 2-17] 과같이오토핫키 (AutoHotKey) 를이용하여사용자 PC의키보드와마우스를후킹 (Hooking) 한다. 후킹은키보드와마우스의동작을가로채는행위이며, 사용자가인터넷익스플로러 (Internet Explorer) 를실행했을때강제로종료시키고변조된크롬을실행시킨다. 그림 2-18 스크립트에의해차단 (Block) 되는주소목록 또한크롬을실행하는동안특정페이지 (http:// www.f*****r.com/a**/user.php) 로 GET 요청을보내며, 사용자가 SNS에접속하면스크립트에의해악성코드에감염된사용자의 SNS 친구 20명을음란물동영상게시물에태깅한다. ASEC REPORT 62 Security Trend 17

악성코드제작자들은단시간내에자신이만든악성코드를빠르게전파할수있는매개체가필요하다. 이요건을충족시켜주는환경을제공하는것이바로 SNS라는것을사용자들은알아둘필요가있다. 그림 2-19 SNS 사용자의친구를게시글에태그하는스크립트 악성게시물에태그된사용자의친구가음란물동영상의재생을시도하면악성코드에감염되며 SNS 친구들에게도악성코드는급속히퍼져나갈가능성이높다. 해당악성코드는단 2일동안 11만명을감염시켰으며, 해당이슈에대해업체는조치를취한것으로보인다. 재빠르게확산되는정보공유를이용한이번 SNS를통한악성코드유포는비단이업체만의문제는아니다. SNS 사용자가많은만큼이같은사례와동일한방법이거나더지능화된방법으로악성코드유포지로활용될수있기때문이다. 또한, SNS 상에서불명확하거나의심되는링크를직접클릭하지않더라도 SNS를통해악성코드삽입이빈번히이뤄지고있는만큼이러한공격으로부터사용자의 PC, 스마트기기의소프트웨어를상시최신상태로업데이트해야한다. 소프트웨어의업데이트를미루지않고의심되는링크는클릭하지않는다면악성코드의공격에서조금은안전할것이다. V3 제품에서는관련악성코드를다음과같이진단가능하다. <V3 제품군의진단명 > Trojan/Win32.Agent (2015.02.26.00) Trojan/Win32.Asprox (2015.01.28.02) ASEC REPORT 62 Security Trend 18

3 악성코드상세분석 Analysis-In-Depth 영화 인터뷰 유명세노린악성앱 ASEC REPORT 62 Security Trend

악성코드상세분석 Analysis-In-Depth 영화 인터뷰 유명세노린악성앱 지난해말, 북한과김정은암살을다룬미국할리우드블랙코미디영화 인터뷰 (The Interview) 의제작사인소니픽처스엔터테인먼트의해킹사고가알려져이슈가되었다. 이와함께영화자체에대한관심이오히려더욱높아졌다. 이러한가운데국내에서는 인터뷰 가개봉되지않아이영화에대한호기심이불법다운로드로이어졌다. 이러한대중들의관심을노린사회공학기법의악성앱이최근발견됐다. 영화 인터뷰 를사칭한해당악성앱은 V3 모바일 (V3 Mobile) 에서 Android-Trojan/Badaccents 라는명으로진단된다. 1. Android-Trojan/Badaccents의설치및동작영화 인터뷰 무료배포를사칭한악성앱 Android- Trojan/Badaccents는설치된후서버로부터또다른악성코드를다운로드하는기능을수행하며, 해당앱자체로는악의적인기능을수행하지는않는다. 그림 3-2 Android-Trojan/Badaccents 실행화면 해당악성앱설치시요구하는권한은 SD카드접근과인터넷접근으로, [ 그림 3-1] 과같다. 해당앱을실행하면 [ 그림 3-2] 와같이영화의포스터화면이나타난다. 포스터상단의버튼을누르면다운로드를시작하고, 설치가완료되면설치창이팝업으로나타난다. 이와관련된코드는다음과같다. 그림 3-1 Android-Trojan/Badaccents 설치시필요한권한 ASEC REPORT 62 Security Trend 20

만약사용자장치명이 아리랑 이나 삼지연 일경우, 다음과같은메시지를보여주며악성코드를다운로드하지않는다. 아리랑과삼지연은각각북한에서발매한스마트폰과태블릿명이다. " 페이지로딩중... 조회수가많아잠시뒤에접속해주십시오! 감사합니다." 이때다운로드되는악성앱은국내은행을노린것으로보이며, V3 모바일은해당악성앱을 Android- Trojan/Bankun으로진단하고있다. 해당앱의설치시 [ 그림 3-3] 과같이문자, 통화기록, 연락처에대한접근권한등을요구한다. 2. Android-Trojan/Bankun 의상세기능분석앞에서언급한실행과동시에수행되는기능외에이악성앱의다른기능들은정해진시간주기와사용자의특성, 즉사용자가어느은행을이용하는지에따라실행되도록만들어져있다. 상세한기능을알아보기위해 AndroidManifest.xml 파일을통해이앱의명세를살펴보자. 그림 3-3 Android-Trojan/ Bankun 설치시요구하는권한 사용자가이앱을설치하고실행하면 [ 그림 3-4] 와같은화면이나타난다. 이팝업창에서 확인 을누르면사용자모르게기기관리자등록이완료되며, 실행과동시에백그라운드로스마트폰정보와개인공인인증서파일이공격자서버로전송된다. 그림 3-4 Android-Trojan/ Bankun 실행화면 ASEC REPORT 62 Security Trend 21

갖는다. 관련코드는다음과같다. AndroidManifest.xml 만봐도권한과클래스명, 그리고액션을통해어떤기능을하는애플리케이션인지대략적으로파악할수있다. 우선, 해당앱의필요권한을확인해보면송수신 SMS, 연락처정보, 전화통화를사용할수있는권한등이있음을알수있다. 또이앱에서사용되는서비스와리시버들이어떤액션에따라실행되는지확인할수있다. 이러한정보로미루어볼때, 이앱은 SMS와연락처, 통화기록등의개인정보를탈취하며서버와의통신을통해특정기능을수행하고패키지삭제와설치기능이있음을추측할수있다. MainActivity MainActivity MainActivity$1 아이콘숨김 SS, sendsmsservice, CallService, SoftService, autorunservice, UninstallerService 서비스시작 단말정보 (IMEI, 모델명, 휴대전화번호등 ) 서버로전송 SS SS 그림 3-6 SS 클래스구조 SS$1 SS$2 SS$3 Wakelcok 설정 단말정보 ( 모델명, 설치된패키지명령등 ) 서버로전송 사용자단말의모든연락처정보서버로전송 MainActivity에의해실행되며주기능으로사용자의모든연락처정보를서버로전송하는기능이있다. 그리고 Wakelcok 설정을통해단말기가 sleep 상태에빠지는것을방지하고단말기가켜져있는동안애플리케이션이종료되는것을막는다. MainActivity$2 사용자인증서서버로전송 그림 3-5 MainActivity 클래스구조 AndroidManifest.xml에기술된최초실행되는클래스다. [ 그림 3-5] 와같은기능을수행하며 SS, sendsmss, CallS, SoftS, autoruns, UninstallerService 서비스를시작하는기능을 ASEC REPORT 62 Security Trend 22

sendsmsservice sendsmsservice Wakelcok 설정 sendsmsservice$1 서버로부터문자열받아옴 1초마다최상위액티비티를검사해은행애플리케이션일경우, 실행중인진짜은행앱에맞는이미지를세팅한가짜은행액티비티를팝업한다. 팝업된가짜은행액티비티는사용자의계좌번호, 보안카드번호, 인증서비밀번호를입력받아서버로전송한다. sendsmsservice$2 sendsmsservice$1 에서받아온문자열을사용자단말기의모든연락처로전송 그림 3-7 sendsmss 클래스구조 서버로부터문자열을받아와사용자단말기의모든연락처로메시지를전송하는 SMS 에이전트 (Agent) 를수행하는서비스클래스다. sendsmsservice$1 이 TimerTask로등록되어있어 20초간격으로실행된다. UninstallerService UninstallerService 40 초마다 UninstallerService$1 호출 UninstallerService$1 AhnLab V3 Mobile Plus 2.0 삭제창팝업 그림 3-9 UninstallerService 클래스구조 SoftService SoftService SoftService$1 그림 3-8 SoftService 클래스구조 최상위에있는 Activity 를검사해은행앱일경우가짜은행액티비티를팝업 UninstallerService 클래스는 AhnLab V3 Mobile Plus 2.0( 이하 V3 Mobile Plus 2.0) 이설치되어있는지 40초마다확인한다. 만약설치되어있다면삭제를요청하는창을팝업한다. V3 Mobile Plus 2.0은국내의주요은행의앱사용시기본적으로설치해야하는모바일트랜잭션보호용백신 (Anti-Virus, 이하 AV) 앱이다. 이러한 AV를삭제하는기능은국내뱅킹앱정보탈취를노리는악성앱에주로포함되는기능이다. ASEC REPORT 62 Security Trend 23

InstallService InstallService InstallService$1 그림 3-10 InstallService 클래스구조 asset 폴더에있는 test.apk 설치창팝업 test.apk 가설치됐을경우실행 asset 폴더의 test.apk 설치를유도하는애플리케이션이다. 이 apk 파일은 V3 Mobile Plus 2.0과패키지이름 (com.ahnlab.v3mobileplus) 이같고아이콘까지동일한허위악성앱이다. 동일한패키지이름을가진 apk를 2개설치할수없는안드로이드특성에따라이미정상 V3 Mobile Plus 2.0이설치되어있다면허위앱의설치창이나타나지않는다. 그러나만약앞서살펴본 UninstallerService 의악성행위에의해사용자가정상보안앱인 V3 Mobile Plus 2.0을삭제하거나 V3 Mobile Plus 2.0이단말기에설치되어있지않다면이악성앱의 InstallService에의해 test.apk의설치창이팝업된다. 3. test.apk 설치및상세분석지금까지영화 인터뷰 를사칭하는악성앱 Android-Trojan/Badaccents와다운로드되는추가적인악성앱인 Android-Trojan/Bankun 을상세히살펴보았다. 이번에는 Android-Trojan/ Bankun이설치를유도하는허위 V3 Mobile Plus 2.0과관련된 test.apk에대해상세히살펴보자. 앞에서살펴본 Android-Trojan/Bankun에의해 test.apk라는파일명을가진 AhnLah V3 Mobile Plus 2.0 이추가로설치된다. 추가로이앱은허위악성앱으로, 모바일백신 AhnLab V3 Mobile Plus 2.0으로착각하기쉬운매우유사한이름과아이콘을하고있어사용자는정상적인 V3 모바일백신을설치하는것으로착각하기쉽다. 외적인부분외에이허위악성앱에서주목해야할부분은이앱의패키지명이 com.ahnlab. v3mobileplus 로, 실제정상 V3 Mobile Plus ASEC REPORT 62 Security Trend 24

2.0의패키지명과동일하다는점이다. 안드로이드운영체제에서는기존에설치된애플리케이션과동일한패키지명을가진애플리케이션을설치하려할경우업데이트버전을설치하는것으로인식한다. 그러나정상적으로업데이트를하려면인증서도동일해야한다. 즉, 패키지명은동일하지만인증서가다를경우에는설치가진행되지않는다. 해당악성앱은이점을이용하고있다. 그러나악성앱에의해정상 V3 Mobile Plus 2.0 앱이제거되었을경우에는허위악성앱인 AhnLah V3 Mobile Plus 2.0 이설치된다 ([ 그림 3-13], [ 그림 3-14]). Android-Trojan/Bankun은 test.apk를설치하기전에단말기에설치된정상 V3 Mobile Plus 2.0을제거한다. 만일이과정에서정상 V3 Mobile Plus 2.0이제거되지않을경우악성앱이의도한바와달리 test.apk가설치되지않는다 ([ 그림 3-11], [ 그림 3-12]). 그림 3-13 허위악성앱 AhnLah V3 Mobile Plus 2.0 설치 1 그림 3-14 허위악성앱 AhnLah V3 Mobile Plus 2.0 설치 2 그림 3-11 정상 V3 Mobile Plus 2.0이설치된경우의허위악성앱설치과정 1 그림 3-12 정상 V3 Mobile Plus 2.0이설치된경우의허위악성앱설치과정 2 이렇게악성코드제작자가의도한대로정상모바일백신 V3 Mobile Plus 2.0을제거하고가짜 V3 앱을설치하면이후사용자가정상 V3 모바일백신을설치하려해도이미동일한패키지명을가진악성애플리케이션때문에정상앱은설치할수없다. 동일한패키지명을가진애플리케이션이설치되어있으면안드로이드운영체제는이를업데이트로인식한다는점과앱의인증서가동일하지않기때문에설치되지않는점을악용하여모바일백신프로그램이악성앱을탐지하는것을방해하는것이다. ASEC REPORT 62 Security Trend 25

이허위앱이설치되고어떠한작업을하는지살펴보자. AndroidMainfest.xml 파일을먼저살펴보면, com.ahnlab.v3mobileplus 라는패키지명을가지고있으며이는 V3 Mobile Plus 2.0과동일하다는점을알수있다. 또한이악성앱은 SMS 문자, 연락처, 외부저장소, 휴대전화상태정보등개인정보에접근할수있는권한을가지고있다. 애플리케이션이시작하면 WebInterfaceActivity 가가장먼저동작하며리시버 AR 은단말기부팅, 전화, 문자수신, 배터리상태, 사용자제어등매우많은액션에대해최우선순위를가지고동작하게된다. 그림 3-15 주요클래스와기능 가장먼저시작되는 WebInterfacActivity는서비스 SS 를시작하고사용자가설치된앱을확인하지못하도록애플리케이션의아이콘을숨긴다 ([ 그림 3-18]). ASEC REPORT 62 Security Trend 26

WebInterfaceActivity SS 서비스시작 아이콘숨김 기기관리자권한취득 SS SS$1 전화번호또는시리얼번호전송 SS$2 전화번호, 모델명, 버전 설치된뱅킹어플리케이션, 통신사정보 서버로전송 그림 3-16 WebInterfaceActivity 구조 또기기관리자권한을요구하는데, 이때기기관리자권한화면을다른화면으로가려사용자가기기관리자권한을부여하는지알지못하게한다. 그림 3-18 애플리케이션아이콘숨김 WebInterfaceActivity 에의해호출되는 SS 서비스는단말기의기본정보들을공격자서버로전송한다. 기기관리자권한을사용자에게요구할때 My- WindowManager.createSmallWindow를호출해서 최신업데이트를해주세요 라는문자를출력하는화면을나타낸다. 이화면이기기관리자권한을부여하는화면을가리기때문에사용자가기기관리자권한이부여되는것을알지못한채동의를누르도록유도한다 ([ 그림 3-17]). 단말기의전화번호, 모델명, 버전정보를가져오고 MyTools.getBanksInfo를호출하여단말기에제 1은행권및제2은행권등 6개의주요금융기관의뱅킹애플리케이션이존재하는지확인한다. 또한 NetUtil.getProvidersName을통해통신사정보를확인하고위의정보들을모두공격자의서버로전송한다. 이를통해공격자는단말기의기본정보들과사용자가사용하고있는뱅킹애플리케이션이어떤것이있는지에대한정보를얻게되는것이다. 그림 3-17 기기관리자권한요구 기본정보들을서버로전송하고 SS 서비스가종료될 때 com.xxx.gs 인텐트를발신해해당인텐트를수 신하는서비스를시작한다. ASEC REPORT 62 Security Trend 27

com.xxx.gs 인텐트를수신하게되는서비스 는 AhnLah V3 Mobile Plus 2.0 을설치한 Android-Trojan/Bankun 의 SS 서비스이다. Bankun 을설치하여금융관련악성행위를수행한다. 이들두악성앱의흐름을살펴보면, Android- Trojan/Bankun이정상모바일백신 AhnLab V3 Mobile 2.0으로위장한 Ahnlah V3 Mobile Plus 2.0 을설치하고, 이렇게설치된악성앱이필요한작업을수행한뒤 Android-Trojan/Bankun 의특정서비스를호출한다. 이과정에서모바일백신 AhnLab V3 Mobile 2.0으로위장한악성앱을통해모바일백신앱이악성앱을진단하는것을방해한다. Android-Trojan/Bankun의 AndroidManifest. xml 파일을보면 SS 서비스의 intent-filter에 com.xxx.gs 가설정되어있어 com.xxx.gs 인텐트가발생하면 SS 서비스가동작한다는것을알수있다. 4. 결론지금까지살펴본바와같이이번사례는 3개의악성앱들이연계되어동작하는특징을보였다. 사회적으로이슈가되었던영화 인터뷰 에대한대중의호기심을노린 Android-Trojan/Badaccents 를시작으로악성뱅킹애플리케이션 Android-Trojan/ 대부분의악성뱅킹앱은정상적인은행앱이나모바일백신앱의제거를시도한다. 그러나앱을제거하기위해서는사용자의확인이필요하다. 따라서공격자들은기존에설치된앱들의 최신버전업데이트 를사칭해이들정상앱의삭제를유도한다. 일반적으로앱의업데이트를위해현재사용중인앱을제거하는경우는흔치않으므로, 사용자가충분한주의를기울인다면이러한방식의악성앱은충분히예방할수있을것이다. 안전한모바일단말기사용을위해서는평소 V3 모바일백신프로그램을이용해악성앱등에대해꾸준히검사하는것이필요하다. 또한이번사례와같이모바일백신앱제거를유도하는등의심스러운동작에도주의를기울여야한다. ASEC REPORT 62 Security Trend 28

ASEC REPORT vol.62 February, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2015 AhnLab, Inc. All rights reserved.