1. 개 요


최근 다수의 해외 보안기업을 통해 안드로이드용 Spyeye 악성 애플리케이션 출현이 보고되어 이슈가 되고 있다. 최종적으로는 Spyeye와 관련은 없는 것으로 밝혀졌으나 해당 악성 애플리케이션을 통해 향후 모바일 인터넷 뱅킹 등을 통한 새로운 보안 위협의 출현이 예상되고 있어 악성 애플리케이션에 대한 사용자들의 각별한 주의가 요망되고 있다.
  

2. 유포 및 감염 증상

해당 악성 애플리케이션은 해외를 중심으로한 각종 블랙마켓 및 3rd Party 마켓 등을 통해 유포가 이루어질 수 있으며, 애플리케이션의 종류에 따라 설치 후 실행 아이콘 등이 보이지 않는 경우가 있을 수 있다.

아래의 그림은 다운로드된 해당 악성 애플리케이션에 대한 설치 화면이며, 아래와 같은 권한을 요구할 수 있다.


※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.READ_SMS"

해당 악성 애플리케이션은 "안드로이드 SDK 1.6 이상 버전"에서 정상적인 동작이 가능하며, MAIN, LAUNCHER가 AndroidManifest.xml에 존재하지 않기때문에 애플리케이션 설치 후 별도의 실행 아이콘 등이 런쳐상에 보이지 않는다.

해당 악성 애플리케이션은 아래의 그림과 같이 "환경설정" -> "응용 프로그램" -> "응용 프로그램 관리"에서 설치 여부에 대한 확인이 가능하다.

  

해당 악성 애플리케이션은 위의 설명과 같이 실행을 위한 별도의 아이콘이 생성되지 않는다. 때문에 실행을 위해 아래의 일부 코드를 통한 애플리케이션 활성화 과정을 거칠 수 있다.


위 코드를 살펴보면 해당 악성파일은 "325000" 다이얼 입력 후 전화 버튼을 클릭할 경우 Toast를 통해 일종의 활성화 코드로 추정되는 "251340" 메시지를 스마트폰 화면에 출력하게 되며, 이로인해 해당 악성 애플리케이션이 실행되게 된다. 다만, 활성화 코드로 추정되는 "251340" 메시지는 실제로 사용되는 활성화 코드는 아니다.

아래의 그림을 통해 위 코드에 대한 실행 결과를 알 수 있다.

 


위 과정을 거쳐 해당 악성 애플리케이션이 실행되면 아래의 코드를 통해 감염된 스마트폰의 SMS에 대한 수집 작업을 진행하게 된다.


또한, 수집된 정보들은 아래의 코드와 같이 두가지 방법을 통해 외부로 유출 시도될 수 있다.

화면을 클릭하면 확대된 화면을 보실 수 있습니다.


SEND 타잎에 따라 ①특정 웹 사이트로 수집된 정보를 전송할 수 있으며, ②내부에 포함된 xml 파일에 휴대폰 번호에 대한 섹션이 존재할 경우 파싱 방법을 통해 해당 번호로 SMS를 발송하는 두가지 방법을 통해 수집된 정보에 대한 유출 시도를 하고 있다.

아래의 그림은 위의 두가지 방법을 통해 정보를 외부로 유출 시 활용되는 "settings.xml" 내부 코드이다.


위 그림을 통해서도 해당 악성 애플리케이션이 다음 버전을 위한 테스트 용도로 만들어졌다는 사실을 추측할 수 있다. 해당 악성 애플리케이션에서 정보값 파싱에 사용되는 "telephon", "addr", "tels" 등의 섹션이 모두 포함된 점과 실제 사용될 수 없는 값들을 포함하고 있다는 점에서 해당 악성 애플리케이션은 테스트 용도였다는 사실이 추측 가능하다.

3. 예방 조치 방법

해당 악성 애플리케이션은 일단 현재까지는 Spyeye와 특별한 연관성이 있지는 않다. 다만, 향후 출현할 수 있는 악성 애플리케이션에 의해 활성화 코드 실행 방법을 통한 악성 애플리케이션 실행이 가능할 수 있으며, 각종 결재 시 수신할 수 있는 인증관련 SMS의 유출 또한 발생할 수 있다. 때문에 추후에는 실제 Spyeye와 관련된 스마트폰 보안 위협이 발생할 가능성이 다분할 것으로 추정이 가능한 상황이다.

위와 같은 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.Spitmo.A


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


현재 가장 널리 알려진 봇넷은 제우스(Zeus)이다. 해당 악성파일은 사용자의 금융 계정 정보 등의 탈취를 주목적으로 하고 있으며, 악성파일의 제작에 사용되는 툴킷 등이 블랙마켓을 통해 조직적으로 거래되고 있다. 그런데 2010년경부터 스파이아이(SpyEye)라는 제우스 봇넷의 경쟁 툴킷이 등장했고 최근까지 버전이 업그레이드되며, 지속적인 거래가 이루어지고 있는 것으로 알려졌다. 

스파이아이는 2010년 하더만(Harderman)이 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 공식 인수하면서 본격적인 활동이 시작되었으며, 현재도 스파이아이와 제우스의 소스코드를 통합하는 작업이 진행 중이라고 보고되었다.

또한, 제우스와 경쟁 관계다 보니 툴킷에 자연스럽게 "Kill Zeus" 기능 등이 탑재되어 있다. 그럼 이 스파이아이 툴킷을 통해 제작되는 악성파일로 인해 사용자들은 적어도 제우스 봇넷으로부터 안전할 수 있을까? 스파이아이의 기능엔 어떤 것들이 있을지 아래의 설명을 통해 간단하게 살펴보도록 하자.

2. 스파이아이(Spy Eye) 인터페이스

스파이아이 봇넷의 툴킷은 아래와 같은 메인화면과 인터페이스를 갖추고 있다.


위 그림을 살펴보면 제일 눈에 들어오는 기능이 "Kill Zeus"이다. 이 기능을 통해 제우스 봇넷에 대한 삭제 기능을 추가할 수 있지만, 어차피 스파이아이 툴킷을 통해 생성되는 봇넷 또한 제우스 봇넷과 동일한 기능을 가지며, 제우스 봇넷의 자리를 대체하는 것뿐이다. 물론 2010년 발표된 제우스의 최신 버전인 2.0 버전에서는 스파이아이의 "Kill Zeus"를 방어할 수 있는 기능을 제공하고 있다. 또 해당 툴킷을 이용해 봇넷을 생성 시 암호화 방식을 사용할 수 있도록 "Encryption key" 기능이 존재하며, 실행압축이 가능하도록 "UPX" 기능 또한 가지고 있다.

봇넷 생성을 위한 상기 인터페이스 설정을 모두 마친 후 만들어지는 악성파일은 제우스 봇넷과 그 기능이 다를 바 없으며, 해킹을 통해 변조된 웹사이트 및 이메일을 통한 첨부 파일의 형태로 유포될 수 있다. 또한, 스파이아이 툴킷을 통해 생성된 봇넷은 제우스에 감염된 PC에서 제우스 봇넷을 제거하거나 제우스 C&C 서버로 전송되는 데이터를 가로챌 수 있다고 한다.

◆ 유료형식으로 거래가 이루어지기 때문에 실행 시 시리얼넘버를 요구하는 창이 출력될 수 있다.


◆ 유료 형식으로 업그레이드 버전이 계속해서 제작되고 있으며, 지속적인 상위 버전이 출현할 것으로 추정된다.

그림을 클릭하시면 더 큰화면으로 보실 수 있습니다.

                                                                          < 다양한 버전 제공>

3. 예방 조치 방법

경쟁 관계에 있는 두 가지 툴킷은 여전히 봇넷을 양성하고 있으며, 현재도 지속적인 버전 업그레이드 작업이 진행 중인 것으로 알려져있다. 때문에 향후 악의적인 기능 등이 추가될 수 있어 주의가 필요하다. 

관련된 조직원들의 검거가 이루어지고 있지만 두 툴킷의 경쟁 관계로 인해 해당 악성파일은 더욱 활발히 유포되고 있으며, 결과적으로 일반 사용자만이 금전적인 부분 등의 큰 피해를 입을 수 있게 되었다. 물론 이번에 거론한 두 가지 툴킷 외에도 봇넷 생성에 사용되는 툴킷은 여러 종류가 있으며, 모두 조직적인 거래 및 제공이 활발히 이루어지고 있기 때문에 이러한 악성파일로부터 안전하기 위해서는 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화, ▶출처가 불분명한 메일은 가급적 열람하지 않는 것을 비롯해 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트 후 실시간 감시 기능을 "ON"으로 유지해 사용하는 등의 사용자 스스로 관심을 가지는 것이 중요하다.

잉카인터넷 대응팀에서는 각종 매체로부터 보고 및 수집되는 이러한 봇넷에 대해 지속적인 패턴 업데이트를 진행하고 있으며, 다양한 보안위협에 대비하기 위해 24시간 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect