태그: SandroRAT

포켓몬 잡으려다 악성코드도 걸린다? 포켓몬 Go 앱으로 위장한 악성 앱 주의

빨리 해보고 싶은 사람의 심리를 이용한 악성앱 유포

전문가는 “정식으로 오픈되기 전까지 출처를 알 수 없는 곳에서 다운로드를 자제해야 한다” 고 당부

 

Pokemon Go Malware
Pokemon Go Malware

 

전 세계가 포켓몬 Go로 돌풍을 치고 있다. 증강현실에 포켓몬을 합해 닌텐도의 수작이라 평가될 정도로 엄청난 인기가 커지고 있다.

 

하지만 이 인기를 역으로 이용하려는 경우가 잦아졌는데, 그 중 하나는 바로 악성 애플리케이션 유포다.

 

최근 정상 포켓몬 Go 앱을 위장한 악성 애플리케이션이 유포되고 있어 이용자들의 주의를 요하고 있다.

 

정상 포켓몬 Go 애플리케이션과 악성 포켓몬 Go 애플리케이션의 차이가 무엇이고, 주의해야 될점등을 알아보자.

 

 

 

포켓몬 Go 로 위장한 악성 애플리케이션

 

포켓몬 Go 라는 증강현실 게임은 많은 게이머들이 해당 지역에서 정식 서비스가 되기 전부터 이미 수많은 써드파티(Third-Party) 앱 다운로드 사이트로 부터 apk 파일을 내려 받았다.

 

현재(18일)도 그렇지만 아직까지 전 세계적으로 배포된 앱이 아닌 일부 지역만 배포된 앱이기 때문에 사용자들이 써드파티를 통해 다운로드 받았을 가능성이 높다고 보고 악성 앱 역시 이때를 노리기가 매우 좋을것이라고 판단하고 있다.

 

통상적으로 써드파티 앱은 “출처를 알 수 없는 앱” 에대해서 허용을 해서 설치를 해야 된다고 얘기할 정도로 보안을 취약하게 만드는 주범중 하나가 되었다.

 

사이버 보안 업체 프루프포인트(Proofpoint)는 최근 유행하고 있는 포켓몬 Go 의 악성 앱이 7월 7일 배포되는것을 확인하고 해당 애플리케이션을 분석했다.

 

Proofpoint 가 확인한 정상 앱과 악성앱을 비교하였다.

 

pokemongo official.png

먼저 위 사진은 포켓몬 Go 의 정상 앱 권한 창이다.

해석을 하면 이렇다.

  • 사진과 동영상 찍기
  • 대략적인 위치(네트워크 기반)
  • 정확한 위치(GPS 및 네트워크 기반)
  • SD카드 저장소의 콘텐츠 수정 또는 삭제
  • SD카드 저장소의 콘텐츠 읽기
  • 기기에서 계정검색
  • 기기에서 계정 사용

 

  • 모든 인터넷 기능을 사용할 수 있습니다.
  • 네트워크 연결 보기
  • 블루투스 설정에 엑세스
  • 블루투스 기기와 페어링
  • 진동 제어
  • 폰이 절전 모드로 전환되지 않도록 설정

 

이는 정상적인 앱이며 해당 앱의 SHA256은

8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67

이다.

 

 

하지만 악성앱의 권한은 아래와 같다.

pokemongo malware-1.png pokemongo malware-2.png

포켓몬 Go의 악성 앱 권한 창이다.

빨간 네모 박스가 악성 앱이 추가로 요구하는 권한이다.

해석을 하면 이렇다.

  • 바로 전화를 겁니다
  • (비용이 부과될 수 있습니다.)
  • 디바이스 상태 및 ID 읽기

 

  • 내 문자 메시지 수정 (SMS 또는 MMS)
  • 내 문자 메시지를 읽기 (SMS 또는 MMS)
  • 문자 메시지 받기 (SMS)
  • SMS 전송
  • (비용이 부과될 수 있습니다.)

 

  • 사진과 동영상 찍기 [정상]

 

  • 오디오 녹음

 

  • 대략적인 위치(네트워크 기반) [정상]
  • 정확한 위치(GPS 및 네트워크 기반) [정상]

 

  • 연락처 데이터 수정
  • 통화기록 읽기
  • 연락처를 확인합니다
  • 통화기록 쓰기

 

  • 인터넷 기록 및 북마크 읽기

 

  • SD카드 저장소의 콘텐츠 수정 또는 삭제 [정상]
  • SD카드 저장소의 콘텐츠 읽기 [정상]
  • 기기에서 계정검색 [정상]
  • 기기에서 계정 사용 [정상]

 

  • 네트워크 연결 상태를 확인하세요.
  • Wi-Fi 연결 및 연결 해제
  • 모든 인터넷 기능을 사용할 수 있습니다.  [정상]
  • 네트워크 연결 보기 [정상]
  • Wi-Fi 연결 상태를 확인하세요.

 

  • 블루투스 설정에 엑세스[정상]
  • 블루투스 기기와 페어링[정상]

 

  • 실행 중인 애플리케이션을 가져옵니다.
  • 시작할 때 실행

 

  • 진동 제어[정상]
  • 폰이 절전 모드로 전환되지 않도록 설정[정상]

 

즉, 기존의 앱보다 더 많은 권한을 요구하고 있으며, 일반적으로 앱을 실행해도 똑같은 포켓몬 Go를 만나볼 수 있는 것이다.

 

악성 앱의 SHA256 값은

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

이다.

 

빨간 네모 박스 안에 있는 내용은 악성 앱이 추가로 요구하는 내용이기 때문에 기존 앱보다 더 많은 권한을 요구하는 것 이다.

 

다만, 악성 앱은 악의적인 목적으로 일하기 때문에 정상적으로 가동되긴 하지만 백그라운드로 악의적인 작업을 수행할 수 있음을 유의해야 된다.

 

 

 

어떤 악성 애플리케이션 인가?

 

 

이 악성 애플리케이션의 기능은 DroidJack(혹은 SandroRAT) 이라고도 불리는 악성 RAT 기능을 포함하고 있다.

 

이 DroidJack 은 공격자가 감염된 앱을 원격으로 제어할 수 있게 만드는 기능이다.

 

공격자가 어떤 용도로 악성 앱을 배포한 건지 모르겠지만, 사용자의 심리를 이용하여 빠른 시간내로 배포되는 앱에 악성 앱을 함께 기워넣어 정상 앱처럼 혼동할 수 있는 것을 보아 앞으로 더 유사한 공격이 이루워질 것으로 전망하고 있다.

 

 

 

이런 악성앱 설치를 막는 방법은?

조금만 더 생각해보면 악성 앱이 당신의 스마트폰을 감염시키는 것을 막을 수 있다.

 

  1. “출처를 알 수 없는 앱” 을 허용하지 않는다.
  2. 구글링이나 네이버 검색등 검색 엔진을 통해 검색된 블로그나 홈페이지에 있는 출처를 알 수 없는 앱을 함부로 다운로드 받지 않는다.
  3. 애플리케이션은 Google Play Store 같은 공인된 홈페이지나 공식 배포 사이트에서 다운로드 받는다.
  4. 백신 애플리케이션을 설치하여 혹시모를 감염에 대비한다.
  5. 앱이 생각보다 엄청나게 많은 권한을 요구할 때에는 한번쯤 확인하고 설치를 한다.

 

 

스마트폰도 악성코드에 안전하지 않다. 이 점을 가장 모르고 또한 대한민국은 아직 포켓몬 Go 를 할 수 없기에(18일 기준) 인터넷에서 배포되는 포켓몬 Go 중 악성 앱일 수 있는 앱이 적지 않아 있을 것 이다.

 

또한 대한민국 이용자들의 대부분은 앱 자체를 사지 않고 인터넷 검색을 통해 불법적으로 앱을 다운로드 받거나, 임의로 수정된 불법 앱(결제 크랙 / 게임 머니 수정등)을 다운로드 받아서 추가적으로 악성 앱 설치가 되는 경우가 잦았다.

 

따라서 가장 중요한것은 앱을 다운로드 받을 때 한번 더 생각해서 과연 안심할 수 있는가를 생각해 보는것도 좋다고 본다.

 

 

참고

proofpoint : (링크) – 영문

알약 블로그 : (링크)

전 세계가 들끓는다! 포켓몬 Go 열풍! : (링크)