안드로이드(Android), 연말정산 환급금 SMS로 유인하는 악성 어플리케이션 "Trojan.Android.SMS.Stech" 주의!!


현재 스마트 폰 가입자의 비율은 급증하고 있는 추세다. 

이동통신 3사는 하루 평균 1만~1만5천여명의 스마트 폰 가입자가 증가하고 있다고 밝혔다. 


스마트 폰 3천만 시대가 열리면서 인터넷 없는 세상은 상상도 못하게 됐다.
그렇듯 소비자들의 모바일기기 이용이 일상, 다양화되는 가운데 피해 또한 빈번히 발생하고 있다.


이번 발생한 소액결제 악성코드는 외식상품의 무료쿠폰을 사용자에게 발송해 사용자가 무심코 문자에 포함되어 있다.
단축 URL주소를 클릭하고, 안드로이드 앱을 설치할 경우 감염되어 소액결제 피해를 입게 된다.

(한동안 안드로이드에 대해서 포스팅 하지 않았는데, 너무 이슈가 되다 보니 요즘 조금씩 조금씩 쓰려고 노력중^^;)


암튼, 최근 안드로이드 관련하여 국내 스마트폰 사용자를 타겟으로 한 악성어플리케이션이 많이 발견되고 있다.

이 중에서 지난 2012년 11월부터 꾸준하게 나오고 있는 어플리케이션을 간략하게 분석해본다.


이번 악성 어플리케이션은 일명 SmartBill, SmartBilling 이라 불리우는 어플리케이션으로 "패스트푸드, 커피전문점,
패밀리 레스토랑, 보안 프로그램 업데이트, 유명 프로그램 업데이트
"의 할인 쿠폰 SMS로 발송되어 사용자가 해당
SMS의 단축 URL 클릭으로 인해 실행 시 해당 단말기의 SMS를 감시하고 특정한 SMS 확인 시 제작자의 C&C 서버로 발송하게 된다.

해당 관련 된 보안업체의 탐지명은 아래와 같다.
(꼭 해당 탐지명으로만 탐지되는 것은 아니니, 참고만 하시길^^) 

안랩 모바일 탐지명 : Android-Trojan/Chest

nProtect 모바일 탐지명 : Trojan-SMS/Android.KRSpammer

Hauri 모바일 탐지명 : Android/Trojan-SMS.FakeInst

알약 모바일 탐지명 : Trojan.Android.SMS.Stech


해당 악성 어플리케이션 정보

- Package name : com.cn.smsclient


- Main activity : MainActivity


- Receiver name : CVXAW.class, OEWRUvcz.class


- User permission

android.permission.RECEIVE_SMS 

android.permission.RECEIVE_MMS 

android.permission.ACCESS_NETWORK_STATE 

android.permission.INTERNET 

android.permission.WRITE_EXTERNAL_STORAGE 

android.permission.RECEIVE_BOOT_COMPLETED 

android.permission.READ_PHONE_STATE 

android.permission.WAKE_LOCK 


간략하게 분석을 시작하면, 위에 설명했듯이 패스트푸드, 커피전문점, 패밀리 레스토랑, 보안 프로그램 업데이트,
유명 프로그램 업데이트"의 할인 쿠폰 SMS로 사용자들에게 유포 된며, 단축 URL로 악성 어플리케이션을 다운로드 받게 된다.




다운로드 된 어플리케이션은 아래와 같이 실행 된다.



 

※ 해당 어플리케이션의 리소스 아이콘을 살펴보면, 어떠한 것으로도 변환되어 유포 할 수 있음을 뜻한다.

Ahnlab, BBQ, 롯데리아, 파리바게트, 도미노피자, 커비베네, 베스킨라빈스, 피자헛, 빕스, 복지알리미, 아웃백, 네네치킨, 인터파크,
한국 납세자연맹, 다빈치 커피 등 다양한 아이콘들이 존재한다.

 


그럼 해당 어플리케이션의 코드를 살펴보자.
 

우선 어플리케이션이 실행되면, 안드로이드 구조상 백그라운드 진입 시 절전모드로 Wifi와 CPU가 동작을 멈추게 되는데
해당 어플리케이션에서는 V3Mobile 이라는 이름으로 Wifi유지와 Power를 지속적으로 동작하게 만든다.

 


그리고 새로운 스레드를 생성하여, 감염여부를 알리기 위해 특정서버로(61.198.212.226) 폰번호, 망사업자, IMEI 번호를 번송하게 된다.

이후 일부러 서버와 문제가 생긴것으로 보이게 오류창을 생성하여 보여준다.



 
 

이후 단말기에서 SMS나 MMS 수신시 리시버(CVXAW.class, OEWRUvcz.class)를 통해 특정 SMS 내용을 서버로 전달한다.
(옥션,모빌리언스,11번가,다날,G마켓,옥션,11번가,G마켓,모빌리언스,다날,모빌리언스,다날,LG텔레콤,11번가 도서,다날,문자통,
피망,한게임,아이템 베이,인포 허브,인포 허브,아이템 베이,피망,다날,한게임,모빌리언스,모빌리언스,서울 신용 평가 정보,
서울 신용 평가 정보,다날,엔씨소프트,나이스 신용 평가 정보,꾸민새 네트워크,중앙일보,다우페이,뿌리오 고객센터,국민은행,
아이엠페이,넷마블 등등)

 


현재 알약에서는 해당 어플리케이션을 "Trojan.Android.SMS.Stech.Gen" 으로 탐지하고 있다.



댓글(16)

  • CANT Community
    2013.03.02 18:29

    저 아이피주소가 있는 class 파일 이름이 뭐죠..?

  • 이희영
    2013.07.26 09:54

    모르고 스미싱 문자의 주소를 클릭했어요..설치가 뜨길래 취소 누르고 여기저기 검색하다 알약으로 검사를 해봤더니 "Trojan.Android.SMS.Stech" 이게 뜨네요ㅠㅠ 삭제 하면 되는건가요? 해결 방법 좀 알려주세요ㅠ 우선 고객 센터에는 전화 해두었는데..

    • 2013.07.26 09:57 신고

      넵 우선 삭제하시구요^^ 이동통신사 고객센터에 전화하셔서 소액결제가 이루어진 부분이 있는지 확인하세요~!!

  • 이희영
    2013.07.26 10:04

    악성코드 삭제했어요. 주소누르고 아차 싶어서 바로 고객센터 전화해서 확인하고 소액결제 신청했어요ㅠㅠ 이렇게만 하면 안전한걸까요? 불안해서 일이 손에 안잡히네요ㅠㅠ

    • 2013.07.26 10:36 신고

      넵, 앱을 삭제하면 더이상 할 수 있는게 없습니다^^ 제작자 입장에서~ 소액결제도 모두 차단하시던가, 최소금액으로 해두시면 됩니다.

  • 질문드려요
    2013.08.18 01:17

    자다가 일어나서 얼떨결에 주소클릭해서 설치해버렸어요. 알약으로 악성코드 치료했는데, 그전에 급한마음에 올레고객센터에서 인증번호까지 받고, 로그인도 해버렸는데, 이미 개인정보가 유출되었다면 그것에대해서는 대책이 없는건가요?

    • 2013.08.18 11:23 신고

      악성코드를 치료(삭제)후에 이루어진 행동이라면 괜찮습니다.
      다만 치료하기 전에 했다면 방법은 없습니다 ㅠㅠ

    • 질문드려요
      2013.08.18 13:17

      답변감사합니다.ㅋ 역시그렇군요~~ㅠ.ㅠ

      이제 좀 정신이 드네요~ 이제부터라도 보안에 더 신경써야 겠습니다.

    • 2013.08.19 10:06 신고

      넵^^ 모바일 보안은 더 신경을 쓰셔야 합니다.

  • 박수범
    2014.01.13 20:02

    저 처리님 이악성코드찾아보니까 주민번호하고전화번호유출자를대상으로벌인 악성코드라하던데요 저는 주민번호유출도안된사람인데 9월달에 이악성코드가 담긴문자를받았아요 ㅠㅠ 어떻게된건가요? 전미성년자입니다 ㅠ

    • 2014.01.14 09:11 신고

      꼭 개인정보가 유출되어서 문자가 온건 아닐겁니다.
      박수범님의 핸드폰전화번호가 저장 된 단말기(친구, 가족 등등)가 악성코드에 감염되어 이용되었을 수도 있습니다^^

    • 박수범
      2014.01.14 14:22

      근데 그전화번호로전화해보니 이상한사람이받았습니다 어떻게해야되나요

    • 2014.01.14 14:31 신고

      그 전화번호도 다른 누군가의 전화번호일겁니다^^
      제작자가 바보같이 자기의 전화번호를 노출 시킬일은 없죠 ㅎㅎ

  • 박수범
    2014.01.14 18:24

    이악성코드는불특정다수를상대로문자발송하나요? 아니면 특정인물에게 문자를발송하나요?

Designed by JB FACTORY