본문 바로가기
AhnLab 보안in

구글 안드로이드마켓에서 악성코드 위장 앱 퇴출!

by 보안세상 2020. 4. 11.

2011.05.19

 

최근 구글 안드로이드 마켓에 zsone으로 등록된 앱 일부가 몰래 SMS를 전송하는 것으로 밝혀져 퇴출되었습니다. V3 모바일 최신엔진에 반영되었지만, 주의를 요합니다. 국내외 악성코드와 보안위협에 실시간 대응하는 안연구소 ASEC대응팀에 포스팅 된 글입니다.

최근 트로이목마성 어플리케이션으로 밝혀지면서, 구글 안드로이드마켓에서 퇴출당한 'zsone' 악성코드가 알려지게 되었습니다.

안드로이드 플랫폼에서의 보안위협에 계속 노출되고 있는 사용자들은 이제 더이상 구글이 운영하는 안드로이드 마켓조차 믿고 이용할 수 없다는 국제적 여론도 형성되고 있는 상황입니다.

진화하는 모바일 보안위협에 대응하고자 발견된 악성코드에 대해 분석 및 정리해 보겠습니다.


What is the "zsone"?

zsone이란 별칭을 갖게된 이유는 안드로이드마켓에 해당 악성앱을 등록한 개발자 ID가 zsone 이였기 때문입니다.

구글 안드로이드마켓에 zsone 으로 등록되어있는 앱은 총 13개이고, 그 중 10개의 앱에 악성행위를 하는 코드(사용자 몰래 특정번호로 SMS전송)가 담겨있습니다. 
현재는 등록된 13개의 앱이 모두 마켓에서 Ban된 상태라 더이상 다운로드가 불가능합니다.

악성앱의 이름목록은 아래와 같고, 이중 분석에 사용된 앱은 "iCalender"입니다.

  •  
iMatch
3D Cube horror terrible
ShakeBanger
Shake Break
Sea Ball
iMine
iCalendar
LoveBaby
iCartoon
iBook

 

[그림1] zsone에 의해 등록된 앱(출처 appbrain)

 


악성코드앱, 너를 분석해주겠다!!

'iCalender' 앱은 외형적으론 일반적인 달력앱으로 보이지만, 백그라운드로 악성행위를 합니다.

 

[그림2] iCalender

 

[그림3] main 화면


 

 

아래와 같이 'iCalender' 앱이 실행되고, showImg() 가 5번 호출되면 sensSms()가 호출되면서 SMS를 보내게 됩니다.


 

 

[그림4] showImg()


이때 sensSms()는 getStateVal()을 이용하여 sharedPreferences 에 저장된 string 을 읽어오게 되는데, 이때 기록되는 값은 일종의 flag로서 sendSms()가 호출되면 반드시 'Y' 를 기록합니다.
따라서 두번이상 같은 문자를 보내지 않으려는 의도의 코드로 해석할 수 있습니다.

 

 


[그림5] sendSms()

뒤이어 sensTextMessage() 를 이용하여 '1066185829' 번호로 '921X1' 이란 내용의 SMS를 보냅니다.

위 문자의 의미는 정확히 밝혀지진 않았지만, 중국에서 premium call 로서 활용되는 번호로서 특정 서비스의 과금을 목적으로 하는 번호로 알려져있습니다. 우리나라에선 해당 번호로 추가요금이 발생하지 않으므로 국내에선 피해가 적을 것입니다.

마지막의 save()함수는 위에 설명했듯이 flag로서 'Y' 값을 저장합니다.
  

 


[그림6] save()

또한 해당 앱은 별도의 smsReceiver를 설치하여, 특정 전화번호로 온 sms을 숨기는 기능도 갖고 있습니다.

 

 

 

[그림7] smsReceive()


'zsone' 악성코드는 V3모바일제품군에 아래와 같이 반영되었습니다.
 

 

                                진단명                          엔진버전 
               Android-Trojan/SmsSend.F
               Android-Trojan/SmsSend.G
               Android-Trojan/SmsSend.H
               Android-Trojan/SmsSend.I
               Android-Trojan/SmsSend.J
                            2011.05.17.00

 


V3 모바일, 내 폰을 지켜줘!

만일 V3모바일을 사용하지 않을 경우에는 위에 열거한 리스트를 참조하여 어플리케이션 목록에서 수동으로 삭제하면 됩니다.

                                                         스마트폰 안전수칙

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지
2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제
3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장