멜론 크랙버전(Melon Crack)을 사칭한 악성코드 유포중!
최근 지속적으로 멜론 크랙버전을 사칭한 악성코드가 유포되고 있습니다.
마치 멜론 크랙버전을 사용하면 별도의 로그인 없이도 자유롭게 멜론에서 제공하는 음원 서비스를 무료로 이용할 수 있는 것처럼 사용자들을 속이는 형태로 유포되고 있기 때문에 각별히 주의해야 합니다.
멜론 크랙앱을 사칭한 악성앱 설치 전 화면
지난 주말에 발견된 멜론 크랙버전은 안드로이드앱 형태였으며, 카카오스토리, 디씨인사이드, 블로그, 카페 등을 통해 유포되었습니다. 특히 방문자들이 매우 많은 네이버 대표 카페(주로 게임관련 카페)등을 통해 다수 유포된 것으로 확인되었습니다.
가장 문제가 되는 것은 해당앱이 실행된 상태에서 다른 앱으로의 전환을 방해하기 때문에, 사실상 스마트폰을 거의 동작불능 상태로 이르게 합니다.
멜론 크랙으로 위장한 악성앱에 감염되었을 경우, 나타나는 증상은 다음과 같습니다.
1. 화면제어
해당 앱이 실행되면 “goaaaaaa~aadgoaaa~”등의 아무 의미 없는 문자로 가득 채운 내용을 전체 화면 사이즈로 반복 실행시킵니다. 이런 상태에서 다른 앱을 실행시키거나 앱을 삭제하는 것은 거의 불가능에 가깝습니다.
2. 소음발생
해당 앱 실행 후 반복적으로 소음을 발생시킵니다. 악성앱에서 볼륨을 최대치로 설정하며, 코드의 반복적인 실행으로 볼륨을 조절하여도 다시 최대치로 설정되기 때문에 소음을 줄이는 것이 불가능합니다.
3. 기기 재부팅시에도 자동실행
부팅 리시버를 등록하여 기기를 재부팅해도 해당 악성앱이 동작하도록 설정되어 있습니다.
악성코드의 동작을 간단하게 순서도로 표시하면 다음과 같습니다.
멜론 크랙앱 동작 순서도
멜론 크랙앱은 위와 같은 순서로 동작하며, 특정 스트링을 노출하는 윈도우를 생성하는 코드를 계속해서 반복적으로 실행합니다.
멜론 크랙앱이 유포된 것은 이번이 처음이 아니라, 최근 들어 지속적으로 발생하고 있습니다.
멜론 크랙 PC버전으로 위장한 악성코드의 경우 주로 네이버 블로그나 카페 게시판등을 통해 유포되고 있으며, 특정 프로그램으로 위장하는 경우가 대부분입니다. 이러한 멜론 크랙을 가장한 악성코드들은 일단 설치되면 공격자가 설정한 C&C서버와 주기적으로 통신하면서 사용자 몰래 추가로 파일을 다운로드 받으며, 추가설치되는 파일들의 경우 사용자가 입력하는 키보드 입력값을 수집하는 키로거 악성코드등이 포함되어 있습니다.
PC버전과 달리 이번에 발견된 멜론 크랙앱(안드로이드 버전)은 사용자 스마트폰 사용을 불편하는 것 외에 특별한 악성행위는 발견되지 않았습니다. 그러나 향후 유사한 형태로 사용자 스마트폰을 노리는 시도가 계속될 것으로 예상됩니다.
멜론 크랙앱을 사칭한 악성앱 설치 시 나타나는 경고 문구
일단 멜론 크랙앱이 설치되면, 사용자에게 상당한 불편을 초래하는 악성앱이기 때문에 백신이 설치되어 있지 않은 사용자가 수동으로 제거하기에 다소 까다로운 편입니다. 따라서 해당 악성앱이 실행된 이후에는 백신을 구동시킬 수 조차 없으므로, 백신의 DB를 항상 최신으로 유지해야 합니다. 또한 구글플레이 또는 구글에서 인증받은 정식마켓을 통해서 앱을 다운로드하고 설치해야 합니다.
스마트폰 앱뿐만 아니라, PC에서 사용하는 프로그램도 반드시 제작사의 공식홈페이지 또는 믿을 수 있는 자료실을 통해 다운로드 받아서 사용해야 안전합니다.
'멜론 크랙'에 대한 사용자 불편글 검색 결과
해당앱을 설치하여 불편을 겪는 사용자분들이 이를 수동으로 제거해야 할 경우, 기기를 재부팅하면서 안전모드로 진입한 후 어플리케이션 관리메뉴를 통하여 설치된 앱 항목을 찾아 제거해야 합니다. 기기별로 안전모드로 진입하는 방법은 조금씩 다르므로, 휴대폰 제조사에서 제공하는 매뉴얼을 확인하시는 것이 좋습니다.
알약 안드로이드에서는 해당 악성앱을 Misc.Android.Joke로 탐지하고 있으며, 유사한 형태의 악성앱이 유포되는 것에 대한 모니터링을 진행하고 있습니다.
IP를 10진수로 표기하여 백신 우회 시도하는 호스트파일 변조 악성코드 발견 (4) | 2014.06.11 |
---|---|
[알약 악성코드 분석리포트] Trojan.Android.KRBanker (0) | 2014.06.02 |
자동입력방지 기능까지 추가한 가짜 대법원 악성앱 주의 (8) | 2014.05.16 |
[알약 악성코드 분석리포트] Exploit.HWP.Agent (2) | 2014.05.07 |
변조된 다수 사이트에서 드라이브 바이 다운로드 방식 이용, 호스트파일 변조 악성코드 발견! (2) | 2014.02.21 |
댓글 영역