포스팅 내용

악성코드 분석 리포트

멜론 크랙버전(Melon Crack)을 사칭한 악성코드 유포중!

멜론 크랙버전(Melon Crack)을 사칭한 악성코드 유포중!


최근 지속적으로 멜론 크랙버전을 사칭한 악성코드가 유포되고 있습니다. 

마치 멜론 크랙버전을 사용하면 별도의 로그인 없이도 자유롭게 멜론에서 제공하는 음원 서비스를 무료로 이용할 수 있는 것처럼 사용자들을 속이는 형태로 유포되고 있기 때문에 각별히 주의해야 합니다.


멜론 크랙앱을 사칭한 악성앱 설치 전 화면


지난 주말에 발견된 멜론 크랙버전은 안드로이드앱 형태였으며, 카카오스토리, 디씨인사이드, 블로그, 카페 등을 통해 유포되었습니다. 특히 방문자들이 매우 많은 네이버 대표 카페(주로 게임관련 카페)등을 통해 다수 유포된 것으로 확인되었습니다.

 

가장 문제가 되는 것은 해당앱이 실행된 상태에서 다른 앱으로의 전환을 방해하기 때문에, 사실상 스마트폰을 거의 동작불능 상태로 이르게 합니다.


멜론 크랙으로 위장한 악성앱에 감염되었을 경우, 나타나는 증상은 다음과 같습니다.



1. 화면제어

 


해당 앱이 실행되면 “goaaaaaa~aadgoaaa~”등의 아무 의미 없는 문자로 가득 채운 내용을 전체 화면 사이즈로 반복 실행시킵니다. 이런 상태에서 다른 앱을 실행시키거나 앱을 삭제하는 것은 거의 불가능에 가깝습니다.



2. 소음발생

해당 앱 실행 후 반복적으로 소음을 발생시킵니다. 악성앱에서 볼륨을 최대치로 설정하며, 코드의 반복적인 실행으로 볼륨을 조절하여도 다시 최대치로 설정되기 때문에 소음을 줄이는 것이 불가능합니다.



3. 기기 재부팅시에도 자동실행

부팅 리시버를 등록하여 기기를 재부팅해도 해당 악성앱이 동작하도록 설정되어 있습니다.



악성코드의 동작을 간단하게 순서도로 표시하면 다음과 같습니다.



멜론 크랙앱 동작 순서도


멜론 크랙앱은 위와 같은 순서로 동작하며, 특정 스트링을 노출하는 윈도우를 생성하는 코드를 계속해서 반복적으로 실행합니다.



멜론 크랙앱이 유포된 것은 이번이 처음이 아니라, 최근 들어 지속적으로 발생하고 있습니다. 

멜론 크랙 PC버전으로 위장한 악성코드의 경우 주로 네이버 블로그나 카페 게시판등을 통해 유포되고 있으며, 특정 프로그램으로 위장하는 경우가 대부분입니다. 이러한 멜론 크랙을 가장한 악성코드들은 일단 설치되면 공격자가 설정한 C&C서버와 주기적으로 통신하면서 사용자 몰래 추가로 파일을 다운로드 받으며, 추가설치되는 파일들의 경우 사용자가 입력하는 키보드 입력값을 수집하는 키로거 악성코드등이 포함되어 있습니다. 


PC버전과 달리 이번에 발견된 멜론 크랙앱(안드로이드 버전)은 사용자 스마트폰 사용을 불편하는 것 외에 특별한 악성행위는 발견되지 않았습니다. 그러나 향후 유사한 형태로 사용자 스마트폰을 노리는 시도가 계속될 것으로 예상됩니다.


멜론 크랙앱을 사칭한 악성앱 설치 시 나타나는 경고 문구


일단 멜론 크랙앱이 설치되면, 사용자에게 상당한 불편을 초래하는 악성앱이기 때문에 백신이 설치되어 있지 않은 사용자가 수동으로 제거하기에 다소 까다로운 편입니다. 따라서 해당 악성앱이 실행된 이후에는 백신을 구동시킬 수 조차 없으므로, 백신의 DB를 항상 최신으로 유지해야 합니다. 또한 구글플레이 또는 구글에서 인증받은 정식마켓을 통해서 앱을 다운로드하고 설치해야 합니다.

 

스마트폰 앱뿐만 아니라, PC에서 사용하는 프로그램도 반드시 제작사의 공식홈페이지 또는 믿을 수 있는 자료실을 통해 다운로드 받아서 사용해야 안전합니다.

 

'멜론 크랙'에 대한 사용자 불편글 검색 결과


해당앱을 설치하여 불편을 겪는 사용자분들이 이를 수동으로 제거해야 할 경우, 기기를 재부팅하면서 안전모드로 진입한 후 어플리케이션 관리메뉴를 통하여 설치된 앱 항목을 찾아 제거해야 합니다. 기기별로 안전모드로 진입하는 방법은 조금씩 다르므로, 휴대폰 제조사에서 제공하는 매뉴얼을 확인하시는 것이 좋습니다.


알약 안드로이드에서는 해당 악성앱을 Misc.Android.Joke로 탐지하고 있으며, 유사한 형태의 악성앱이 유포되는 것에 대한 모니터링을 진행하고 있습니다.


※ 해당 이슈와 관련하여, 멜론 크랙앱 외에도 '롤(LOL) 런처 및 롤 관전앱' 등으로 위장, 유포되고 있다는 소식이 추가 접수되었습니다. 리그 오브 레전드 유저분들께서도 각별한 주의 부탁 드립니다.


  1. 임영준 2014.04.28 11:33  수정/삭제  댓글쓰기

    ㅋㅋㅋㅋㅋㅋㅋㅋ제가어제 이거 걸려서 폰초기화함 ㅜㅜ

    • 알약(Alyac) 2014.04.28 13:01 신고  수정/삭제

      폰초기화까지... 당황하셨겠네요. 스마트폰 사용중 악성앱이나 조크앱 감염 예방 차원에서 모바일 백신 설치를 권해드립니다.

  2. 임영준 2014.04.28 11:33  수정/삭제  댓글쓰기

    ㅋㅋㅋㅋㅋㅋㅋㅋ제가어제 이거 걸려서 폰초기화함 ㅜㅜ

  3. 윤준 2014.06.01 02:02  수정/삭제  댓글쓰기

    그리고 카카오스토리에 GTA IV그런걸로도돼고.. 친구가당했네여 ㅠㅠ 배포한사람이한두명이아니구여 막 걸리명요 잘됐네 하면서 댓굴올려요 ㅠㅠ

    • 알약(Alyac) 2014.06.02 13:32 신고  수정/삭제

      다양한 형태로 위장한 악성앱의 확산이 커지고 있네요. ㅠㅠ 출처가 의심되는 앱은 다운로드 받거나 설치하지 않는 것을 권장합니다. 또한 악성앱으로 인한 피해를 예방하기 위해 모바일 백신도 꼭! 설치해주세요!

  4. 김태인 2014.06.24 18:17  수정/삭제  댓글쓰기

    앱관리갈수있으면
    강제종료하고 삭제하세옷

  5. 베이 2014.11.01 13:01  수정/삭제  댓글쓰기

    이거 제작자가 또수정해가지고 야한소리 나오게해났는데 ㄷㄷ..

  6. 앙기무더 2016.10.22 21:39  수정/삭제  댓글쓰기

    이거 배터리뺏다가 다시키고 빨리 삭제하면 됨 일체형은못하지ㅋㅋㅋ

    • 알약(Alyac) 2016.10.24 09:47 신고  수정/삭제

      안녕하세요. 해당 악성앱은 스마트폰 안전모드에서 삭제 가능합니다. ^^ 이 점 확인 부탁 드리겠습니다. 감사합니다.

  7. forest 2017.07.15 00:01  수정/삭제  댓글쓰기

    이거 나도 걸려서 핸드폰 버림ㅋㅋㅋㅋㅋㅋ
    결국 내 폰만....

    • 알약(Alyac) 2017.07.17 09:14 신고  수정/삭제

      악성앱 때문에 많이 곤란하셨겠습니다. ㅠㅠ 지금부터라도 모바일 보안 수칙을 꼭 준수해주시고, 스마트폰을 안전하게 사용해주시길 당부 드릴게요! 감사합니다.

티스토리 방명록 작성
name password homepage