안드로이드 주소록을 이용해 급속히 유포되는 중국 악성 앱 "Heart App"

• 글로벌 보안 업체인 Sophos 연구소에 따르면 최근 중국에서 안드로이드 주소록과 연동하여 SMS를 통해 
  급속도로 유포되는 악성 앱을 발견

 

주요내용

• 최근 중국에서 SMS 문자를 통해 급속도로 유포되는 "Heart App"이라는 악성 앱이 발견됨
   - 중국어로는 "XX神器(XX신기, XXshenqi)", 영어로는 "Heart App" 이라는 이름의 이 악성 앱은 안드로이드
     폰의 주소록을 이용하여 SMS를 통해 유포
• “Heart App”은 지인 번호의 SMS를 통해 유포되기 때문에 안드로이드 폰 사용자들이 쉽게 안심하고 설치하게 됨
   - 중국 안드로이드 폰 사용자들은 정부 정책으로 인해 "구글 플레이"를 공식적으로 사용할 수 없으며, 비공식
     안드로이드 마켓이 대중적으로 쓰이기 때문에 "알 수 없는 출처"의 앱을 설치할 수 있도록 설정해 놓은 경우가
     많아서 악성 앱 유포가 용이
   - 이 악성 앱을 설치 후 실행하면 하트모양의 시작화면과 함께 인연을 소개시켜 주는 것처럼 위장하면서, 설치
     된 안드로이드 폰의 주소록에 있는 최초 99개의 지인번호로 악성 앱 설치를 유도하는 URL이 포함된 SMS를
     전송

< 중국 악성앱 Heart App의 시작화면 >

• "Heart App"은 회원가입을 유도하면서 개인정보를 탈취하며, 또다른 악성코드 프로세스를 설치하여 폰에서 
  송수신되는 SMS를 훔치거나 변조하는 등 안드로이드 폰을 좀비화 함
   - 앱 실행 후 시작화면이 끝나면 로그인 화면과 함께 회원가입을 유도하며 회원 가입시 작성한 ID카드의 번호
     (주민등록번호에 해당)를 포함하여 안드로이드 폰 내 모든 개인 정보가 해커에게 SMS 문자로 전송됨
   - 또한, 로그인 및 회원가입 화면에서 Resource pack을 추가로 설치하라는 팝업이 생성되고 설치를 승인하면
     Trogoogle과 com.android.Trogoogle이라는 트로이얀 악성코드 프로세스가 백그라운드로 실행되면서 해커가
     SMS를 통해 전송하는 명령에 의해 좀비화 됨
      ※ com.android.Trogoogle : "Heart App"에 감염된 안드로이드 폰에 저장 또는 송수신되는 SMS를 탈취 
          하는 트로이얀 악성코드로서 아래와 같은 명령을 받아 그에 따른 악성행위를 수행함- readmessage:
          SMS 메시지함에 있는 SMS를 탈취- sendmessage: 폰에서 임의의 SMS를 전송- test: 테스트용 SMS
          전송하며 악성코드 프로세스를 재부팅- makemessage: SMS 메시지함에 저장되어 있는 SMS를 변조- 
          sendlink: 안드로이드 폰 주소록에 있는 연락처를 탈취

< 로그인 및 회원가입 화면 >

< 회원가입시 ID번호 입력 화면 >

< 추가 Resource pack 설치 요청 화면 >

< resource pack 설치시 실행되는 Trogoogle >

 

[출처]
1. Android "Heart App" virus spreads quickly, author arrested within 17 hourshttp://nakedsecurity.sophos.com/2014/08/11/android-heart-app-virus-spreads-quickly-author-arrested-within-17-hours/
2. Backdoor.AndroidOS.Trogle.a http://android-security.lofter.com/
3. Android XXshenqi SMS senderhttp://contagiominidump.blogspot.kr/2014/08/android-xxshenqi-sms-sender.html