1. 개요


잉카인터넷 대응팀은 이미 여러차례 안드로이드 기반의 악성파일이 해외에서 급격하게 증가하고 있다는 정보를 다수 공개한 바 있다. 또한 2012년 01월 06일에는 국내 유명 자료실을 통해서 안드로이드용 악성파일이 실제 국내 이용자에게도 배포된 사례를 공식적으로 발표했었다. 그러나 아직까지 안드로이드 스마트폰을 사용하는 국내 이용자들은 이러한 악성파일이 어떠한 과정을 통해서 배포되고 있는지 알기가 어렵기 때문에 "잉카인터넷 대응팀은 현재 이 시간 실제 유포 중인 악성파일의 전 과정을 최초로 공개"하게 되었으며, 이를 통해서 안드로이드 악성파일에 대한 보안경각심이 한층 제고되길 기대해 본다.



안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
http://erteam.nprotect.com/237

2. 실제 유포 과정 공개

중국 및 러시아 등에는 안드로이드기반의 설치 파일(APK)을 자유롭게 공유하고 다운로드할 수 있는 커뮤니티형 웹 사이트들이 다양하게 존재하며, 매우 다양한 안드로이드 애플리케이션(앱)이 불특정 다수에게 공개되고 있다. 그렇다보니 정상적인 파일들 사이에 은밀하고 조용히 악성파일들이 몰래 숨겨져 있는 경우가 증가하고 있다.

잉카인터넷 대응팀은 2011년도에 안드로이드 기반 악성 앱 자동 탐지 및 분석 시스템을 자체 개발하여 운용 중에 있으며, 이를 통해서 다양한 안드로이드 악성파일 유포 현황을 실시간 모니터링하고, 새롭게 발견된 안드로이드 악성파일을 신속하게 nProtect Mobile for ANDROID 제품에 치료 기능을 수시로 업데이트하고 있다. 

▣ 실제 사례

다음은 실제 중국에서 운영중인 안드로이드 마켓의 일부 화면이며, 사용자들에게 인기가 많은 다양한 애플리케이션이 공개된 것을 확인할 수 있다. (악성파일의 직간접적인 유포지 공개를 엄격하게 제한하기 위해서 부분적으로 모자이크 처리를 하였다.)

 

 
대부분은 정상적인 안드로이드 프로그램이지만, 일부 악성파일이 아무런 제약없이 정상 애플리케이션과 함께 사용자의 다운로드를 기다린다.

사용자가 특정 앱을 선택하게 되면, 다음과 같이 별도의 다운로드 서비스를 제공하는 정상적인 인터넷 주소로 이동하게 된다.


해당 웹 페이지에 존재하는 QR(Quick Response) 코드를 이용해서 스마트폰에서 직접 다운로드 및 설치가 가능하며, 웹 페이지에 있는 다운로드 기능을 통해서도 컴퓨터에 쉽게 받을 수 있도록 구성되어 있다.


다운로드가 된 악성파일은 변종이 다수 존재하는 KungFu 종류로 확인되었으며, 다음과 같이 다양한 단말기 정보 등을 수집 시도한다.

- IMEI (Device ID)
- IMSI (Sim Serial Number)
- 전화번호 (Line Number)
- 통신망 사업자 정보 (Network Operator Name)
- 단말기 제조사 및 모델명 (Brand Model)
- 안드로이드 SDK 버전 (Android OS Build Version)


수집된 단말기 및 개인정보는 해외의 특정 호스트로 사용자 몰래 전송을 시도하게 된다.


해당 악성파일은 nProtect Mobile for ANDROID 최신 버전에서 다음과 같이 무료로 진단/치료할 수 있다.


3. 마무리

현재 해외에서는 안드로이드 애플리케이션을 공유하는 커뮤니티와 블랙마켓 들이 매우 활발하게 운영되고 있고, 이러한 곳을 통해서 안드로이드용 악성파일이 꾸준히 은밀하게 유포되고 있다. 잉카인터넷 대응팀은 매주 수백종의 새로운 안드로이드 악성파일을 수집하고 신속하게 패턴 업데이트를 제공하고 있으므로, 사용자들은 최신으로 업데이트하여 정기적으로 검사를 수행하는 노력이 필요하다.


스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


현재까지 발견되었던 안드로이드 악성 애플리케이션의 경우 대부분 중국 및 러시아 스마트폰 사용자들을 대상으로 제작 및 유포가 이루어지고 있었다. 그러나 최근 해외 보안 블로그를 통해 지금까지 별다른 감염 사례가 없었던 유럽의 다양한 국가들을 대상으로한 안드로이드 악성 애플리케이션 출현이 보고되어 화제가 되고 있다. 물론 해당 악성 애플리케이션의 기능 자체는 여타 다른 악성 애플리케이션의 기능과 별다른 차이점은 없으나, 그 감염 대상이 특정 국가를 벗어나 새로운 대상으로 옮겨갔다는 것이 주목할 필요가 있다.

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션 또한, 지금까지의 안드로이드 악성 애플리케이션과 다를바 없이 블랙마켓 및 3rd Party 마켓 등을 통해 유포가 이루어지고 있다.

해당 악성 애플리케이션을 설치 시도할 경우 아래의 그림과 같이 특정 권한 요구 화면을 보여줄 수 있다.

 
※ 전체 권한

- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.USE_CREDENTIALS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.ACCESS_GPS"
- android:name="android.permission.ACCESS_LOCATION"


해당 악성 애플리케이션의 경우 위의 전체 권한과 같이 여러가지 권한을 포함하고 있으나, 설치 시는 위 그림과 같이 두개의 권한만을 보여주게 된다.

또한, 설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같은 아이콘을 가지게 되며, 실행 시 아래의 그림과 같은 특정 메시지를 화면상에 출력하게 된다.
  

▶ 실행 아이콘


▶ 실행 화면

  

해당 악성 애플리케이션은 실행 시 위 그림과 같이 특정 메시지를 출력하는것 이외에는 별다른 동작을 하지 않는다. 다만, 내부 코드를 들여다 보면 해당 메시지 출력외에 아래와 같은 악성기능 동작을 확인할 수 있다.

※ 악성 동작

- 사용자 몰래 SIM카드의 국가 코드를 통해 특정 조건에 맞추어 프리미엄 SMS 과금 서비스 이용


위와 같은 악성동작을 하기위해 악성 애플리케이션은 내부에 한개의 리시버(SMSReceiver)를 등록하고 있으며, 높은 우선순위 책정을 통해 항상 동작될 수 있게 설정되어 있다.
  

▶ 해당 리시버는 아래와 같은 특정 Action이 발생할 시 동작된다.

※ 체크 항목

- "android.provider.Telephony.SMS_RECEIVED"

  

악성 애플리케이션이 실행되면 우선 위의 실행화면과 같이 특정 메시지("ERROR: Android version is not compatible")를 무조건적으로 출력하게되며, 해당 스마트폰의 SIM카드에서 국가코드에 대한 정보를 수집하게된다.

악성 애플리케이션은 내부에 아래의 일부 코드와 같이 "프랑스, 벨기에, 스위스, 룩셈부르크, 캐나다, 독일, 스페인, 영국" 등 8개국에 대한 국가코드 정보를 담고 있으며, 특정 조건과 일치할 경우 해당 국가별 프리미엄 SMS 번호로 서비스 사용을 위한 SMS 발송을 사용자 몰래 시도하게 된다.
  

▶ 국가코드와 관련한 조건 체크 코드


▶ 국가코드 조건 체크 후 프리미엄 SMS 발송 코드

  

위 과정을 통해 사용자 몰래 프리미엄 SMS가 발송되면, 해당 프리미엄 서비스 측에서는 요청된 사항에 대해 SMS형태로 해당 스마트폰에 답신을 하게된다. 이때, 악성 애플리케이션에 등록된 리시버는 수신되는 SMS를 체크하여 아래의 코드와 같이 특정 조건을 충족할 경우 프리미엄 서비스 측에서 받은 SMS를 특정 전화번호(0646112264)로 다시 포워딩한 후 포워딩한 전화번호(0646112264)를 통해 수신받는 SMS를 모두 삭제처리 한다.


위와 같은 동작이 수행될 경우 프리미엄 서비스 측에서 수신받는 SMS는 모두 삭제가 이루어지기 때문에 사용자는 이러한 일련의 악성 동작을 인지할 수 없게된다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 기존에 발견되었던 SMS Send 관련 악성 애플리케이션과 기능자체는 별다른 차이점이 없다. 다만, 공격 대상이 더이상 러시아, 중국 등의 특정 국가만의 사용자가 아닌 다양한 국가의 사용자들을 대상으로 하였다는 점이 주목할만하다.

이러한 추세가 이어진다면 유럽 및 특정 국가 뿐만 아니라 다양한 형태의 공격기법을 통해 세계 각국의 스마트폰 사용자들을 대상으로 유포가 이루어질 수 있다. 지속적으로 출현하고 있는 여러가지 악성 애플리케이션에 감염될 경우 금전적 손실 등 다양한 피해를 유발할 수 있으므로, 사용자들은 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 안전한 스마트폰 사용을 위한 최선의 방법이 될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


얼마전 해외 유명 보안 솔루션 제공 업체인 Trusteer에서 제공중인 모듈로 위장한 악성 어플리케이션이 출현한 바 있다. 최근에 발견되고 있는 모바일 악성 어플리케이션은 유명 업체 등에서 제공하는 어플리케이션으로 위장하는 사례가 급증하고 있으며, 이러한 가운데 유명 Anti-Virus 업체인 Kaspersky에서 제공중인 어플리케이션으로 위장한 악성 어플리케이션이 등장해 이슈가 되고 있다. 이번에 발견된 악성 어플리케이션 역시 기능적인 면에서는 기타 다른 악성 어플리케이션과 마찬가지로 특정 정보에 대한 수집 등의 행위를 수행할 수 있게 구성되어 있다.

[주의]해외 금융 보안 제품으로 위장한 안드로이드용 악성 파일 발견

http://erteam.nprotect.com/164
  

2. 유포 경로 및 감염 증상

이러한 위장형 악성 어플리케이션의 경우 각종 블랙마켓, 3rd party 마켓 등을 중심으로 유포가 이루어질 수 있다. 또한, 해당 악성 어플리케이션의 경우 정상 어플리케이션으로 위장한 형태이기 때문에 일반 사용자가 악성 유/무를 직접 판별하기에는 어려움이 크다는 것이 특징이다.

아래의 분석 설명을 통해 해당 악성 어플리케이션의 감염 후 상세 동작을 살펴보도록 하겠다.

■ 설치 시 증상, 실행 시 감염 증상

해당 악성 어플리케이션에 대한 설치를 진행하면 아래의 그림과 같은 권한 요구 화면을 보여주게 된다.

 

 
※ 전체 권한 설명

android:name="android.permission.BROADCAST_STICKY"

android:name="android.permission.SYSTEM_ALERT_WINDOW"   

android:name="android.permission.INTERNAL_SYSTEM_WINDOW"

android:name="android.permission.ADD_SYSTEM_SERVICE"    

android:name="android.permission.VIBRATE"               

android:name="android.permission.REORDER_TASKS"         

android:name="android.permission.CHANGE_CONFIGURATION"  

android:name="android.permission.WAKE_LOCK"    
         
android:name="android.permission.STATUS_BAR"     
       
android:name="android.permission.ACCESS_WIFI_STATE"     

android:name="android.permission.READ_PHONE_STATE"      

android:name="android.permission.MODIFY_PHONE_STATE"    

android:name="android.permission.DEVICE_POWER"          

android:name="android.permission.DISABLE_KEYGUARD"      

android:name="android.permission.INTERNET"              

android:name="android.permission.WRITE_APN_SETTINGS"    

android:name="android.permission.BROADCAST_WAP_PUSH"    

android:name="android.permission.CHANGE_WIFI_STATE"     

android:name="android.permission.ACCESS_NETWORK_STATE"  

android:name="android.permission.CHANGE_NETWORK_STATE"  

android:name="android.permission.RECEIVE_BOOT_COMPLETED"

android:name="android.permission.READ_SMS"              

android:name="android.permission.RECEIVE_SMS"           

android:name="android.permission.BROADCAST_SMS"         

android:name="android.permission.WRITE_SETTINGS"  
      
android:name="android.permission.ACCESS_WIFI_STATE"     

android:name="android.permission.UPDATE_DEVICE_STATS"   

android:name="android.permission.CHANGE_WIFI_STATE"     

android:name="android.permission.WAKE_LOCK"             

android:name="android.permission.READ_PHONE_STATE"      

android:name="android.permission.WRITE_SECURE"          

android:name="android.permission.WRITE_SECURE_SETTINGS" 

android:name="android.permission.WRITE_EXTERNAL_STORAGE"

android:name="android.permission.PROCESS_OUTGOING_CALLS"

※ 현재 위에서 나열된 권한들은 해당 악성 어플리케이션에서 모두 사용되지 못하고 있다. 이유는 아래의 상세 분석 파트를 통해 살펴볼 수 있다.


또한, 해당 악성 어플리케이션은 위장형 악성 어플리케이션의 특성상 설치 후 정상 Kaspersky 어플리케이션과 유사한 아이콘을 사용하고 있음을 아래의 그림을 통해 확인 할 수 있다.


해당 악성 어플리케이션은 정상 어플리케이션의 아이콘과 매우 유사한 외형의 아이콘을 사용하고 있으며, 아이콘 및 어플리케이션 명 등으로도 육안상 정상/악성 여부 확인이 가능하다.

악성 어플리케이션에 대한 설치 후 위 그림과 같은 아이콘을 선택하여 실행하게 되면 아래의 그림과 같이 활성화 코드가 출력되며, "OK" 버튼을 선택하면 추가적인 증상 없이 해당 어플리케이션은 바로 종료된다.

 

  

■ 상세 분석

악성 어플리케이션이 실행되면 우선 아래의 코드에 따라 해당 스마트폰의 IMEI 정보를 획득하여 일부 정보를 활성화 코드로 위장해 화면에 뿌려주게 된다.


또한, 아래의 일부 코드를 통해 IMEI 뿐만 아니라 IMSI, 전화번호 목록 등의 정보도 수집하게 되며, 미리 설정된 C&C 서버로 해당 정보들을 전송하게 된다.

그림을 클릭하시면 확대된 화면을 보실 수 있습니다.


다만, 위 그림에서 확인할 수 있듯이 C&C 서버로 추정되는 곳의 URL이 로컬영역으로 설정되어 있어 해당 악성 어플리케이션이 수집한 정보들은 외부로 반출될 수 없다. 하지만 추후에 해당 악성 어플리케이션과 연동되어 동작할 수 있는 어플리케이션이 출현하거나 해당 악성 어플리케이션이 완벽한 동작이 가능하도록 재패키징 되어 유포될 경우 해당 악성 어플리케이션에서 수집한 정보들이 외부로 쉽게 전송될 수 있으므로 지속적인 관제가 필요하다.

이외에도 해당 어플리케이션은 아래의 코드와 같이 감염된 스마트폰의 통화 상태 등의 Action을 확인하여 SMS 정보를 수집 하는 기능도 수행할 수 있다.

  

3. 예방 조치 방법

현재 해당 악성 어플리케이션은 내부에 존재하는 악성 코드가 정상적으로 동작할 수 없는 형태이다. 악성 동작을 할 수 있는 메소드가 일부만 호출되어 모두 사용되지 못하고 있기 때문이다. 

다만, 상세 분석 글에서 설명하였듯이 추후 해당 악성 어플리케이션과 함께 연동하여 동작될 수 있는 다른 악성 어플리케이션이 추가적으로 제작되거나 해당 악성 어플리케이션이 완벽히 동작이 가능하도록 재패키징 될 수 있으므로 지속적인 관제가 필요한 상황이다.

위와 같은 악성 어플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

■ 진단 현황

- Trojan-Spy/Android.FakeKav.A




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 중국을 중심으로 한 해외에서 2중 패키징된 안드로이드용 모바일 악성 어플리케이션이 발견되어 사용자들의 주의를 요망하고 있다. 해당 악성 어플리케이션은 정상 파일 속에 악성 APK파일이 포함된 형태로 근래 발견된 사례가 없는 드믄 경우다. 감염될 경우 사용자가 모르는 사이 각종 정보를 탈취 당할 우가 있으니 이번글을 통해 해당 악성 어플리케이션에 대해 살펴보고 혹시 모를 피해에 대비할 수 있는 시간을 가져보도록 하자.


※ 2중 패키징의 의미 (APK : Android PacKage File)

 - 정상 APK 설치파일 내부에 악성 APK 파일이 포함되어 있는 형태.


2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 정상적인 어플리케이션에 악성 기능을 추가해 재패키징된 상태안드로이드 마켓, 블랙마켓, 3rd party 마켓 등을 통해 유포될 수 있다.

◆ 2중 패키징된 첫번째 APK 파일 다운로드 및 설치

위에서 설명한 유포 경로를 통해 다운로드가 가능한 APK파일은 분석 결과 휴대폰 배터리 잔량을 체크하는 정상 어플리케이션에 아래와 같은 권한 등의 악성 기능을 추가적으로 삽입한 형태이다. 아래의 그림과 함께 보면 권한 부분에 대한 이해가 더 쉬울 것이다.

                                                              <권한 부문> 

 

<설치 시 출력되는 권한 관련 부분>

"설치"를 누르고 진행을 하면 설치 과정이 종료된 후 아래의 그림과 같은 실행 화면을 볼 수 있다.
 

일부 모자이크 처리


이전 글에서 설명한 안드로이드용 모바일 악성 어플리케이션 처럼 많은 악성 어플리케이션들은 선정적인 이미지를 사용하는 경우가 많다. 설치 시 모든 언어가 중국어로 되어있는걸로 미루어보아 제작 출처는 중국으로 추정된다.

  

[선정적 제목의 Android용 모바일 악성 어플리케이션 유포 주의!]

http://erteam.nprotect.com/162
  

※ 다양한 형태의 안드로이드용 모바일 악성 어플리케이션에 의한 보안 위협

[스마트폰 보안 위협의 증대]
http://erteam.nprotect.com/149

[사용자 정보를 겨냥한 안드로이드 악성 앱 출현]
http://erteam.nprotect.com/123

[새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요]
http://erteam.nprotect.com/122

[사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의]
http://erteam.nprotect.com/98

[스마트폰 GPS 기능은 양날의 칼과 같다]
http://erteam.nprotect.com/25

[안드로이드용 모바일 악성프로그램 FakePlayer 변종 해외 등장!]
http://erteam.nprotect.com/18


일반 사용자들의 경우 해당 어플리케이션 설치 후 위와 같은 실행 화면에 대한 확인만 가능하나 실제로는 사용자 몰래 "특정 코드에 의해 감염 휴대폰에 대한 특정 조건 체크""패키지 인스톨 관련 코드를 진행"하게 된다.

◆ 2중 패키징된 두번째 APK 파일(첫번째 APK 파일 내부에 포함) 설치

첫번째로 설치된 악성 어플리케이션은 추가적인 조건이 갖춰질 경우 설치 권한 등의 코드에 의해 내부에 포함된 두번째 APK파일 설치를 시도하는 것으로 추정되고 있다.

※ 추가적인 조건

 - 루팅 시도 (안드로이드 2.2 이후 버전부터는 불가능)
 - 루팅 여부 확인


위에서 설명한 추가적인 조건은 아래와 같은 코드를 통해 구현되어 있다.


감염된 스마트폰이 어떠한 방식으로든 루팅 된다면 내부에 포함되어 있는 두번째 APK파일이 설치되지만 기본 설치 시 확인할 수 있었던 권한 부분은 이 경우 출력되지 않는다.

내부에 포함된 두번째 APK파일에 대한 권한 부분을 아래의 그림과 같이 첨부하니 참고할 수 있도록 하자.
 

클릭하실 경우 확대된 이미지를 확인하실 수 있습니다.

<권한 부분>

<설치 시 출력되는 권한 관련 부분>


내부에 포함되어 있는 두번째 APK파일은 설치가 완료 되어도 특별한 실행 화면 등은 존재하지 않는다. 다만, 위의 권한 부분을 보면 알 수 있듯이 사용자 몰래 "SMS, MMS 등의 메시지 송/수신"이 가능하며 이로인한 이용 과금 발생 등을 유발할 수 있다. 또한, "휴대폰의 위치 정보 및 통화 기록 등의 단말기 정보가 유출"될 수 있으며, "휴대폰 부팅시 자동으로 악성 어플리케이션이 실행"될 수 있다.

 

3. 예방 조치 방법

위에서 설명한 안드로이드용 모바일 악성 어플리케이션은 별도의 다운로드 없이 내부에 포함된 추가 패키지 설치를 시도하는 아주 드문 경우의 케이스라 할 수 있다. 이러한 악성 어플리케이션 또한, 기존과 마찬가지로 사용자 스스로 하기의 "모바일 보안 관리 수칙"을 준수하는 등 각자 관심을 가지고 주의를 기울이는 것이 안전을 위한 최선의 방법이라 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 안드로이드 운영체제에 대한 최신 보안 패치 필수 진행.

2. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
 
3. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 Android용 모바일 악성 어플리케이션의 유포가 어느때보다 활발히 이루어지고 있다. 이러한 가운데 선정적인 제목 등을 이용해 사용자들에게 다운로드를 유도하는 악성 어플리케이션이 등장하여 각별한 주의를 요망하고 있다. 이번에 발견된 악성 어플리케이션은 공통적으로 휴대폰 단말기 정보 등을 취득하는 기능이 포함되어 있다.

[Update: Security Alert: DroidDreamLight, New Malware from the Developers of DroidDream]
http://blog.mylookout.com/2011/05/security-alert-droiddreamlight-new-malware-from-the-developers-of-droiddream/

[New DroidDream Variant Found on Android Phones]
http://www.f-secure.com/weblog/archives/00002170.html

국내에서는 아직까지 위와 같은 모바일 악성 어플리케이션으로 인한 특별한 피해 사례가 없으므로 크게 이슈화되지는 않고 있다. 다만, 최근 스마트폰의 사용범위가 각종 금융 거래를 포함해 매우 다양한 분포가 이루어지고 있는 만큼 이번 글을 통해 모바일 보안 위협에 대해 다시한번 생각해보고 혹시 있을지 모를 피해에 대비할 수 있는 시간을 갖도록 하자.


2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 안드로이드 마켓을 통해 유포되고 있었으나 현재는 다운로드 및 설치가 불가능하다. 다만, 안드로이드용 어플리케이션 배포의 특성상 블랙마켓, 3rd party 마켓 등을 통해서도 유포가 가능하니 이점 또한 참고할 수 있도록 하자.
  

해당 악성 어플리케이션은 아래와 같이 선정적인 제목 등으로 유포되기 때문에 일반 사용자들의 경우 쉽게 현혹되어 다운로드 및 설치를 진행할 수 있다.

 


※ 추가적으로 유포된 동일한 악성 어플리케이션

  - Sexy Girls: Hot Japanese
  - Sex Sound
  - HOT Girls 1
  - HOT Girls 2
  - HOT Girls 4
  

위와 같은 악성 어플리케이션들은 모두 아래와 같은 권한 설정 코드를 가지고 있다. 

 
해당 악성 어플리케이션에 대한 설치를 진행하면 위 그림의 권한 관련 코드로 인해 아래의 그림과 같은 권한 요구 화면을 볼 수 있다.

 
위 설명의 모든 과정을 거치게 되면 설치는 완료가 되고, 해당 악성 어플리케이션들은 실행시 각각 아래의 그림과 같은 선정적인 이미지를 사용자에 제공한다.

 


해당 악성 어플리케이션들은 최종적으로 아래의 코드를 기반으로 스마트폰의 "IMEI/IMSI 값", "단말기에 설치되어 있는 OS 버전", "설치되어 있는 모든 어플리케이션 정보" 등과 같은 스마트폰 단말기 정보를 취득할 수 있게 된다.

클릭하실 경우 확대 이미지 확인이 가능합니다.

 
다만, 현재까지 분석된 바로는 아래와 같은 구문을 통해 "통화 상태" 등의 휴대폰 이벤트 상태가 변경될 경우에 정상적(?)으로 단말기 정보 탈취 등의 악성 동작을 하는 것으로 파악되고 있다.

클릭하실 경우 확대 이미지 확인이 가능합니다.


3. 예방 조치 방법

위와 같은 안드로이드용 모바일 악성 어플리케이션은 선정적 제목 등을 사용하기 때문에 일반 사용자의 경우 쉽게 다운로드 및 설치 등을 하게되는 취약점(?)아닌 취약점을 가질 수 있게 된다. 최근과 같이 스마트폰을 통해 각종 결제 등의 금융 거래 사용이 활발해질 경우 편의적인 측면과 보안 위협은 서로 비례 관계를 가질 수 밖에 없다. 따라서 이러한 보안 위협으로 부터 안전하기 위해서는 사용자 스스로 아래와 같은 "모바일 보안 관리 수칙"을 준수하는 등의 관심과 노력이 무엇보다 중요하다 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect