카테고리: Android

Android

포켓몬 잡으려다 악성코드도 걸린다? 포켓몬 Go 앱으로 위장한 악성 앱 주의

빨리 해보고 싶은 사람의 심리를 이용한 악성앱 유포

전문가는 “정식으로 오픈되기 전까지 출처를 알 수 없는 곳에서 다운로드를 자제해야 한다” 고 당부

 

Pokemon Go Malware
Pokemon Go Malware

 

전 세계가 포켓몬 Go로 돌풍을 치고 있다. 증강현실에 포켓몬을 합해 닌텐도의 수작이라 평가될 정도로 엄청난 인기가 커지고 있다.

 

하지만 이 인기를 역으로 이용하려는 경우가 잦아졌는데, 그 중 하나는 바로 악성 애플리케이션 유포다.

 

최근 정상 포켓몬 Go 앱을 위장한 악성 애플리케이션이 유포되고 있어 이용자들의 주의를 요하고 있다.

 

정상 포켓몬 Go 애플리케이션과 악성 포켓몬 Go 애플리케이션의 차이가 무엇이고, 주의해야 될점등을 알아보자.

 

 

 

포켓몬 Go 로 위장한 악성 애플리케이션

 

포켓몬 Go 라는 증강현실 게임은 많은 게이머들이 해당 지역에서 정식 서비스가 되기 전부터 이미 수많은 써드파티(Third-Party) 앱 다운로드 사이트로 부터 apk 파일을 내려 받았다.

 

현재(18일)도 그렇지만 아직까지 전 세계적으로 배포된 앱이 아닌 일부 지역만 배포된 앱이기 때문에 사용자들이 써드파티를 통해 다운로드 받았을 가능성이 높다고 보고 악성 앱 역시 이때를 노리기가 매우 좋을것이라고 판단하고 있다.

 

통상적으로 써드파티 앱은 “출처를 알 수 없는 앱” 에대해서 허용을 해서 설치를 해야 된다고 얘기할 정도로 보안을 취약하게 만드는 주범중 하나가 되었다.

 

사이버 보안 업체 프루프포인트(Proofpoint)는 최근 유행하고 있는 포켓몬 Go 의 악성 앱이 7월 7일 배포되는것을 확인하고 해당 애플리케이션을 분석했다.

 

Proofpoint 가 확인한 정상 앱과 악성앱을 비교하였다.

 

pokemongo official.png

먼저 위 사진은 포켓몬 Go 의 정상 앱 권한 창이다.

해석을 하면 이렇다.

  • 사진과 동영상 찍기
  • 대략적인 위치(네트워크 기반)
  • 정확한 위치(GPS 및 네트워크 기반)
  • SD카드 저장소의 콘텐츠 수정 또는 삭제
  • SD카드 저장소의 콘텐츠 읽기
  • 기기에서 계정검색
  • 기기에서 계정 사용

 

  • 모든 인터넷 기능을 사용할 수 있습니다.
  • 네트워크 연결 보기
  • 블루투스 설정에 엑세스
  • 블루투스 기기와 페어링
  • 진동 제어
  • 폰이 절전 모드로 전환되지 않도록 설정

 

이는 정상적인 앱이며 해당 앱의 SHA256은

8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67

이다.

 

 

하지만 악성앱의 권한은 아래와 같다.

pokemongo malware-1.png pokemongo malware-2.png

포켓몬 Go의 악성 앱 권한 창이다.

빨간 네모 박스가 악성 앱이 추가로 요구하는 권한이다.

해석을 하면 이렇다.

  • 바로 전화를 겁니다
  • (비용이 부과될 수 있습니다.)
  • 디바이스 상태 및 ID 읽기

 

  • 내 문자 메시지 수정 (SMS 또는 MMS)
  • 내 문자 메시지를 읽기 (SMS 또는 MMS)
  • 문자 메시지 받기 (SMS)
  • SMS 전송
  • (비용이 부과될 수 있습니다.)

 

  • 사진과 동영상 찍기 [정상]

 

  • 오디오 녹음

 

  • 대략적인 위치(네트워크 기반) [정상]
  • 정확한 위치(GPS 및 네트워크 기반) [정상]

 

  • 연락처 데이터 수정
  • 통화기록 읽기
  • 연락처를 확인합니다
  • 통화기록 쓰기

 

  • 인터넷 기록 및 북마크 읽기

 

  • SD카드 저장소의 콘텐츠 수정 또는 삭제 [정상]
  • SD카드 저장소의 콘텐츠 읽기 [정상]
  • 기기에서 계정검색 [정상]
  • 기기에서 계정 사용 [정상]

 

  • 네트워크 연결 상태를 확인하세요.
  • Wi-Fi 연결 및 연결 해제
  • 모든 인터넷 기능을 사용할 수 있습니다.  [정상]
  • 네트워크 연결 보기 [정상]
  • Wi-Fi 연결 상태를 확인하세요.

 

  • 블루투스 설정에 엑세스[정상]
  • 블루투스 기기와 페어링[정상]

 

  • 실행 중인 애플리케이션을 가져옵니다.
  • 시작할 때 실행

 

  • 진동 제어[정상]
  • 폰이 절전 모드로 전환되지 않도록 설정[정상]

 

즉, 기존의 앱보다 더 많은 권한을 요구하고 있으며, 일반적으로 앱을 실행해도 똑같은 포켓몬 Go를 만나볼 수 있는 것이다.

 

악성 앱의 SHA256 값은

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

이다.

 

빨간 네모 박스 안에 있는 내용은 악성 앱이 추가로 요구하는 내용이기 때문에 기존 앱보다 더 많은 권한을 요구하는 것 이다.

 

다만, 악성 앱은 악의적인 목적으로 일하기 때문에 정상적으로 가동되긴 하지만 백그라운드로 악의적인 작업을 수행할 수 있음을 유의해야 된다.

 

 

 

어떤 악성 애플리케이션 인가?

 

 

이 악성 애플리케이션의 기능은 DroidJack(혹은 SandroRAT) 이라고도 불리는 악성 RAT 기능을 포함하고 있다.

 

이 DroidJack 은 공격자가 감염된 앱을 원격으로 제어할 수 있게 만드는 기능이다.

 

공격자가 어떤 용도로 악성 앱을 배포한 건지 모르겠지만, 사용자의 심리를 이용하여 빠른 시간내로 배포되는 앱에 악성 앱을 함께 기워넣어 정상 앱처럼 혼동할 수 있는 것을 보아 앞으로 더 유사한 공격이 이루워질 것으로 전망하고 있다.

 

 

 

이런 악성앱 설치를 막는 방법은?

조금만 더 생각해보면 악성 앱이 당신의 스마트폰을 감염시키는 것을 막을 수 있다.

 

  1. “출처를 알 수 없는 앱” 을 허용하지 않는다.
  2. 구글링이나 네이버 검색등 검색 엔진을 통해 검색된 블로그나 홈페이지에 있는 출처를 알 수 없는 앱을 함부로 다운로드 받지 않는다.
  3. 애플리케이션은 Google Play Store 같은 공인된 홈페이지나 공식 배포 사이트에서 다운로드 받는다.
  4. 백신 애플리케이션을 설치하여 혹시모를 감염에 대비한다.
  5. 앱이 생각보다 엄청나게 많은 권한을 요구할 때에는 한번쯤 확인하고 설치를 한다.

 

 

스마트폰도 악성코드에 안전하지 않다. 이 점을 가장 모르고 또한 대한민국은 아직 포켓몬 Go 를 할 수 없기에(18일 기준) 인터넷에서 배포되는 포켓몬 Go 중 악성 앱일 수 있는 앱이 적지 않아 있을 것 이다.

 

또한 대한민국 이용자들의 대부분은 앱 자체를 사지 않고 인터넷 검색을 통해 불법적으로 앱을 다운로드 받거나, 임의로 수정된 불법 앱(결제 크랙 / 게임 머니 수정등)을 다운로드 받아서 추가적으로 악성 앱 설치가 되는 경우가 잦았다.

 

따라서 가장 중요한것은 앱을 다운로드 받을 때 한번 더 생각해서 과연 안심할 수 있는가를 생각해 보는것도 좋다고 본다.

 

 

참고

proofpoint : (링크) – 영문

알약 블로그 : (링크)

전 세계가 들끓는다! 포켓몬 Go 열풍! : (링크)

안드로이드 스마트폰 허위광고들

허위광고에 신나게 낚인다.

안드로이드 스마트폰을 사용하다 보면 가끔씩 홈페이지가 뜨면서 바이러스 감염이니, 배터리 파손이니 하는등의 내용이 가끔 뜬다. 스마트폰을 잘 모르는 사람들은 정말 바이러스 인줄 알고 해당 홈페이지에서 뜨는 애플리케이션을 설치하는데 아주 잘 낚인 것 이다.

 

100% 허위광고임을 알고 있어야 한다.

 

이런 허위광고들은 Google Adsense 광고가 아닌 타 광고 플랫폼을 이용하는 경우에 자주 발생하였는데, 대부분이 성인사이트, 불법프로그램 공유사이트에 접속했을 때 해당 광고들이 자주 반겨줬다.

 

척 보면 척이다.

 

 

어떤 허위광고들이 있길래?

사실 내가 수집해온 허위광고 사진만해도 20개가 넘지만 비슷비슷하게 되어있다.

 

Google 로고 그려놓고 배터리 파손이니 바이러스 감염이니 어쩌구저쩌구 하고, 어색한 한국어 문법 발휘하시는걸 보면 웃음만 나온다.

아래 사진들을 보고 유사한 광고들을 보았는지 한번 확인해보자.

 

Screenshot_2016-04-19-15-01-25.png Screenshot_2016-04-19-15-01-37.png Screenshot_2016-04-19-15-02-13.png Screenshot_2016-05-19-13-48-12.png Screenshot_2016-05-24-12-06-40.png Screenshot_2016-06-02-10-45-29.png Screenshot_2016-06-02-10-59-24.png Screenshot_2016-06-02-11-04-40.png Screenshot_2016-06-02-11-05-14.png Screenshot_2016-06-02-11-08-56.png Screenshot_2016-06-02-11-10-29.png Screenshot_2016-06-02-11-10-36.png Screenshot_2016-06-02-11-14-29.png Screenshot_2016-06-02-11-14-58.png Screenshot_2016-06-02-11-15-18.png Screenshot_2016-06-02-11-15-39.png Screenshot_2016-06-02-11-15-47.png Screenshot_2016-06-02-11-15-56.png Screenshot_2016-06-02-11-18-27.png Screenshot_2016-06-02-11-19-29.png Screenshot_2016-06-02-11-20-18.png Screenshot_2016-06-02-11-20-50.png img_xl.jpg img_xl_(1).jpg img_xl_(2).jpg img_xl_(3).jpg img_xl_(4).jpg img_xl_(5).jpg img_xl_(6).jpg img_xl_(7).jpg

이외에도 많은 허위광고들이 있지만 아직 파악 안된것들이 많아서 확인하기가 어렵다.

왜 속는건가? 그리고 진짜 감염된거 아니야?

사실 스마트폰을 이용하는 사람들이 제일 흔하게 낚이는 것중 하나이다.

 

솔직히 말해서 대부분의 Android 스마트폰 사용자들이 백신 미설치, 불법 애플리케이션만 찾는지라 이 점을 중요시 해야된다.

 

성인 사이트 방문도 마찬가지 이다. 광고임을 안다면 뭐 무시해도 되겠다만, 그것에 현혹이 되어서 신나게 눌러주면 본인은 낚인 사람이 되기 마련이다.

 

그리고, 진동도 웹에서 울려주니 진짜 감염되었나 하고 놀랄 수 있는데 사실 진동 일으키는 자바스크립트(Javascript)가 안에 숨어있기 때문이다.

 

 

 

그러나 대부분 사용자들은 그것이 뭔지도 모르니 당연히 속을 수 밖에 없다.

 

 

 

 

이런 허위광고, 안사라지는가?

사실 사라지게 했으면 좋겠는데 쉽게 사라지지 않는거 보면 저 광고 방법이 매우 잘 먹힌다는걸 알 수 있다.

 

당연히 돈 잘벌리는데 Google Adsense 를 제외한 다른 광고 플랫폼은 저런 형태의 광고를 당연히 선호하기 때문이다.

 

사실 안사라지는게 더 맞을 듯 하다. 아쉽지만 예방이라기 보다는 허위광고임을 숙지하고, 그런 유사 메시지가 뜨더라도 속지말고 안전한 Android 스마트폰을 사용하도록 하자.