안드로이드 주소록 통해 유포되는 중국 악성앱 ‘Heart App’

회원가입 유도하며 개인정보 탈취 및 악성코드 프로세스 설치

송수신되는 SMS 탈취·변조 등 안드로이드 폰 좀비화

[보안뉴스 민세아] 최근 중국에서 SMS 문자를 통해 급속도로 유포되는 ‘Heart App’이라는 악성 앱이 발견됐다고 글로벌 보안업체인 Sophos 연구소가 전했다.

중국어로는 ‘XX神器(XX신기, XXshenqi)’, 영어로는 ‘Heart App’ 이라는 이름의 이 악성 앱은 안드로이드 폰의 주소록을 이용해 SMS를 통하여 유포된다. ‘Heart App’은 지인 번호의 SMS를 통해 유포되기 때문에 안드로이드 폰 사용자들이 쉽게 안심하고 설치하게 된다.

중국 안드로이드폰 사용자들은 정부 정책으로 인해 ‘구글 플레이’를 공식적으로 사용할 수 없어 비공식 안드로이드 마켓이 대중적으로 쓰이기 때문에 ‘알 수 없는 출처’의 앱을 설치할 수 있도록 설정해 놓은 경우가 많아 악성 앱 유포가 용이하다.

이 악성앱을 설치 후 실행하면 하트모양의 시작화면과 함께 인연을 소개시켜 주는 것처럼 위장하면서, 설치된 안드로이드 폰의 주소록에 있는 최초 99개의 지인번호로 악성앱 설치를 유도하는 URL이 포함된 SMS를 전송한다.

▲중국 악성앱 Heart App의 시작화면

‘Heart App’은 회원가입을 유도하면서 개인정보를 탈취하며, 또 다른 악성코드 프로세스를 설치해 폰에서 송수신되는 SMS를 훔치거나 변조하는 등 안드로이드 폰을 좀비화 한다.

앱 실행 후 시작화면이 끝나면 로그인 화면과 함께 회원가입을 유도하며 회원 가입시 작성한 ID카드의 번호(주민등록번호에 해당)를 포함해 안드로이드 폰 내 모든 개인 정보가 해커에게 SMS 문자로 전송된다.

또한, 로그인 및 회원가입 화면에서 Resource pack을 추가로 설치하라는 팝업이 생성되고 설치를 승인하면 Trogoogle과 com.android.Trogoogle이라는 트로이얀 악성코드 프로세스가 백그라운드로 실행되면서 해커가 SMS를 통해 전송하는 명령에 의해 좀비화된다.

▲로그인 및 회원가입 화면

▲회원가입시 ID번호 입력 화면

▲추가 Resource pack 설치 요청 화면

▲resource pack 설치시 실행되는 Trogoogle

이와 관련한 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래의 출처를 참고하면 된다.

[출처]

1. Android "Heart App" virus spreads quickly, author arrested within 17 hourshttp://nakedsecurity.sophos.com/2014/08/11/android-heart-app-virus-spreads-quickly-author-arrested-within-17-hours/

2. Backdoor.AndroidOS.Trogle.a http://android-security.lofter.com/

3. Android XXshenqi SMS senderhttp://contagiominidump.blogspot.kr/2014/08/android-xxshenqi-sms-sender.html

[용어설명]

com.android.Trogoogle : ‘Heart App’에 감염된 안드로이드 폰에 저장 또는 송수신되는 SMS를 탈취하는 트로이얀 악성코드로서 아래와 같은 명령을 받아 그에 따른 악성행위를 수행한다.

- readmessage : SMS 메시지함에 있는 SMS를 탈취

- sendmessage : 폰에서 임의의 SMS를 전송

- test : 테스트용 SMS 전송하며 악성코드 프로세스를 재부팅

- makemessage : SMS 메시지함에 저장되어 있는 SMS를 변조

- sendlink : 안드로이드 폰 주소록에 있는 연락처를 탈취

[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)