1. 개 요


최근 해외 보안 업체를 통해 지하철 요금 지불과 관련하여 결제카드의 리셋 기능을 지원하는 애플리케이션에 대한 정보가 공개된 바 있다. 해당 애플리케이션은 NFC 기능을 통해 결제카드에 대한 리셋 기능을 수행하며, 실제로 해외 지하철역에서 선불요금이 만료된 결제 카드에 대한 리셋 시연을 보이는 영상까지 공개되어 있다. 물론 국내에서 정상적인 동작을 기대하기는 어렵고 해당 애플리케이션이 악성이 아닌 POC(개념증명)를 위해 준비되었다는 점에서 약간의 거리는 있겠지만 날로 확산되어 가고있는 안드로이드 보안 위협에 대한 사용자들의 인식 전환을 위해서는 한번쯤 짚고 넘어가 볼 수 있는 문제일 수 있다.

※ 실제 시연 동영상

http://vimeo.com/49664045

※ NFC[Near Field Communication]

10cm 이내의 가까운 거리에서 다양한 무선 데이터를 주고받는 통신 기술

2. 유포 및 동작 설명

해당 애플리케이션은 아래의 그림과 같이 구글 정식 마켓을 통해 다운로드가 가능하다.


해당 애플리케이션을 다운로드하여 설치하면 아래의 그림과 같이 NFC제어 관련 권한을 요구하는 화면이 출력된다.


아래의 그림은 전체 권한 선언을 포함한 AndroidManifest.xml 파일의 일부 내용이다.


해당 애플리케이션은 위 그림에서 확인이 가능하듯 Android SDK 2.3.3 이상 버전에서 정상적인 동작이 가능하다. 또한, Main 액티비티외에 추가적으로 탭형식으로 구성된 2개의 액티비티가 존재하고 있음을 확인할 수 있으며, 별도의 리시버나 서비스는 등록되어 있지 않다.

해당 애플리케이션은 Manifest에 정의된 내용으로 미루어 보아 아래의 일부 코드와 같이 NFC 기능 동작을 위한 Action이 추가된 필터를 제외하고는 특별한 동작을 수행하지 않음을 확인할 수 있다.


위와 같은 설정 등을 전제로 해당 애플리케이션이 실행되면 아래의 그림과 같이 TabActivity로 구성된 메인화면을 볼 수 있다.


지하철 패스 카운트(총 10번 사용가능)가 모두 소진된 카드를 해당 애플리케이션을 통해 스캔하게 되면 아래의 일부 코드 등을 통해 다시 총 10번이 사용가능하도록 지하철 패스 카운트를 리셋하게 된다.


해당 애플리케이션의 이러한 리셋 기능은 Tag ID를 얻어 MifareUltralight API를 통한 입출력 기능 등으로 구현되어 있으며, 위에서 언급한 시연 동영상 처럼 실제 해외 지하철역에서 사용 가능한것으로 확인되고 있다.

3. 마무리

해외 보안 업체 등을 통해 안드로이드 보안 위협과 관련하여 위와 같은 POC개념의 애플리케이션들이 지속적으로 보고되고 있다. 그만큼 악용가능한 범위가 넓다는 반증일 수 있다. 실제적으로 유비쿼터스화 되고 있는 실생활에서 스마트폰을 이용해 모든 제어가 가능해지고 있는 만큼 개인 스마트폰의 보안 위협에 대한 제고는 반드시 이루어져야하나, 일반적으로 사용자들의 스마트폰에 대한 보안 인식은 아직까지 이에 미치지 못하고 있는 실정이다.

좀 더 편하고 좀 더 즐거운 생활을 가능하게 해주는 스마트 기능이 좀 더 불편하고 좀 더 안전하지 못한 상황을 초래하지 않게 하기 위해서는 아래와 같은 기본적인 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 해외에서 SMS Zombie로 일컬어지는 악성 애플리케이션이 발견되어 화제가 되고 있다. 악성 애플리케이션에 대한 스마트폰 보안 위협의 민감성이 약화되고 있는 시점에 중국에서는 약 50만대 가량의 단말기가 해당 악성 애플리케이션에 감염된것으로 추산되고 있으며, 이에 따른 막대한 금전적 손실이 있을것으로 예상되고 있다. 물론 해당 악성 애플리케이션은 중국의 안드로이드 OS기반 스마트폰 사용자만을 대상으로 동작하고 있는 만큼 국내에서 별다른 피해는 발생하지 않을 것으로 예상된다. 다만, 해외에서는 이미 금전적 이득을 목적으로 이러한 악성 애플리케이션의 실제 유포 및 감염 동작이 이루어지고 있다는 점에서 상당히 주목할만 하다고 할 수 있다.

  
2. 유포 및 감염 동작



해당 악성 애플리케이션은 아래의 그림과 같이 현재도 중국의 비공식 마켓 등을 통해서 유포가 이루어지고 있다.

위와 같은 비공식 마켓을 통해 다운로드 및 설치가 가능한 악성 애플리케이션은 실제로 SMS 무단 발송, 각종 정보 수집 등의 악성 동작을 하는 추가적인 악성 애플리케이션에 대한 설치를 유도하는 동작을 수행한다.

아래의 그림은 해당 악성 애플리케이션에 대한 설치 화면이다.

위 화면을 보면 설치 시 필요 권한이 나타나 있지 않고 설치 완료 후 "열기" 버튼도 비활성화 되어 있다. 이는 해당 악성 애플리케이션이 월페이퍼 형태로 제작되어 있고 기능 동작에 필요한 추가적인 권한은 메니페스트 정의가 아닌 코드상의 동적 등록 절차에 따른 것이다. 또한, 서비스로만 동작되기 때문에 별도의 런처가 등록되지 않아 "열기" 버튼도 활성화 되지 못한 것이다.

아래의 그림은 해당 악성 애플리케이션에 대한 AndroidManifest.xml 코드중 권한과 관련된 일부이다.

▶ Dropper 형태의 숙주 악성 애플리케이션 분석

해당 코드를 살펴보면 월페이퍼의 서비스 동작에 필요한 권한 이외에는 따로 등록된것이 없다. 결국 해당 악성 애플리케이션은 설치만으로는 스스로 동작하지 못하며, 아래의 그림과 같이 "배경화면" -> "라이브 배경화면"의 붉은색 월페이퍼를 선택해야 동작하게 된다.

위의 절차와 같이 해당 월페이퍼를 실행하면 아래의 그림과 같이 추가적인 애플리케이션 설치를 유도하는 AlertDialog가 화면에 출력된다.

위 그림의 오른쪽 버튼은 "취소", 왼쪽 버튼은 "확인" 버튼이다. 확인 버튼을 클릭하게 되면 아래의 그림과 같이 해당 악성파일 내부에 포함되어 있는 추가적인 파일의 설치를 시도하게 된다.

위 그림과 같이 해당 파일은 그림파일로 위장하고 있지만 실제로는 APK 파일이다. 결국 "확인" 버튼 클릭을 통해 그림파일로 위장된 추가적인 악성 애플리케이션의 설치가 진행될 수 있으며, Dropper 형태의 숙주 악성 애플리케이션의 악성 동작은 여기까지가 전부이다.

▶ 실제적인 악성 동작을 수행하는 추가적인 악성 애플리케이션 분석

아래의 그림은 내부에 포함되어 있던 추가적인 악성파일의 설치 화면이다.

해당 악성 애플리케이션 또한 서비스로만 동작되므로 위 그림과 같이 "열기" 버튼은 비활성화 되어 있다. 아래의 그림은 해당 악성 애플리케이션의 권한을 확인할 수 있는 AndroidManifest.xml 파일의 일부 코드이다.

설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같이 서비스로 로드되어 있는 것을 확인할 수 있다.

또한, 기기관리자 권한을 얻기 위해 아래의 그림과 같이 기기 관리자 활성화 창을 출력하게 된다.

위 그림과 같이 "활성화", "취소" 버튼이 모두 존재하고 있으나 실제로는 "활성화" 버튼만이 정상적으로 동작한다. "취소" 버튼을 클릭하게 될 경우 아래의 일부 코드에 의해 지속적으로 위 그림과 같은 기기 관리자 활성화 창만을 출력하게 된다.

결국 해당 악성 애플리케이션은 "활성화" 버튼 클릭 유도를 통해 기기 관리자 권한을 얻게되며, 이를 통해 애플리케이션 삭제 등과 같은 권한을 획득하게 된다.

※ 기기 관리자 권한 획득

보통 악성 애플리케이션이 기기 관리자 권한을 획득하는 경우는 자신의 생명력 유지를 위함이 대부분이다. 기기 관리자 권한을 획득할 경우 일반적인 언인스톨 과정을 통해서는 아래의 그림과 같이 삭제가 불가능하다.


※ 삭제 방법

이러한 종류의 애플리케이션은 악성과 정상 모두 존재할 수 있으며, 삭제를 위해서는 아래의 그림과 같은 방법이 필요하다.

☞ "환경 설정" -> "장소 및 보안" -> "기기 관리자 선택"


위 그림과 같이 해당 메뉴로 이동한 후 클릭 -> "비활성화"를 진행한다. 물론 "비활성화"를 클릭하여도 해당 악성 애플리케이션의 경우는 비활성화 체크 화면에서 다음 단계로 넘어가지 않는다. 이는 악성 애플리케이션의 내부 코드에 의해 비활성화에 대한 클릭리스너로 인한 증상이므로 신경쓰지 말고 홈버튼을 길게 누른 후 "작업 관리자" -> "실행중인 프로그램 모두 종료" -> 프로그램 탭에서 "해당 악성 애플리케이션 삭제"를 진행한다.

위와 같이 기기 관리자 권한 획득, 프로세스 로딩과 함께 해당 악성 애플리케이션은 설치 후 아래의 그림과 같은 특정 경로에 "phone.xml" 파일을 생성하게 된다.

해당 파일("phone.xml")은 아래의 일부 코드에 의해 내부에 특정 키워드를 포함해 생성되며, 중국어 간자체로 인코딩되어 있다.

아래의 그림은 phone.xml의 내부에 실제로 포함된 내용을 보여주고 있으며, 해당 파일의 파싱 작업 등을 통해 은행계좌 정보와 같은 금융권 정보 및 모바일 거래 정보에 대한 탈취를 시도할 수 있다.(SMS 감시에 의해 수행된다.)

위와 같은 절차가 마무리된 후 해당 악성 애플리케이션은 아래의 그림과 같이 감염된 스마트폰의 내부 정보를 수집하여 특정 번호(13093632006)로 SMS를 사용자 몰래 무단으로 발송하게 된다.

※ SMS 발신 상세 내용

- 1.5V:Model(모델정보:sdk);os(os버전정보);Language(사용언어);NET(네트워크사용정보:3G/wifi)

또한, 네트워크가 사용불가능 하거나 wifi가 아닌 3G를 사용하고 있을 경우는 아래의 일부 코드에 의해 특정 문구가 포함된 SMS를 동일한 번호로 사용자 몰래 무단 발송하게 된다.

이외에도 해당 악성 애플리케이션은 감염된 스마트폰의 루팅 여부를 확인한 후 아래의 일부 코드를 통해 동일한 번호로 SMS를 무단으로 발송하게 된다.

해당 악성 애플리케이션은 본격적인 정보 탈취 기능 수행을 위해 SMS 감시 기능도 수행하게 된다. AndroidManifest.xml상에는 이를 위한 권한이 선언되어 있지 않다. 그럼에도 불구하고 이와 같은 기능이 수행 가능한 이유는 AndroidManifest.xml이 아닌 아래와 같이 내부 코드상에 SMS 감시 관련 리시버를 동적으로 등록해 놓았기 때문이다.

해당 악성 애플리케이션은 SMS 감시를 위한 리시버가 AndroidManifest.xml에 포함될 경우 여러가지 보안 솔루션에 의해 Filter될 가능성이 존재하기 때문에 이와 같은 동적 등록 절차를 따랐을 가능성이 높다.

이렇게 등록된 SMS 관련 리시버는 수신되는 모든 SMS에 대한 감시를 수행하며, 미리 생성된 "phone.xml" 내부에 포함된 키워드와 파싱 비교 작업 후 조건이 충족될 경우 아래의 일부 코드를 통해 특정 번호로 해당 SMS를 사용자 몰래 무단 발송하게 된다.

위와 같이 악성 애플리케이션 입장에서 특정 조건이 충족되는 SMS는 특정 번호로 무단 발송된 후 사용자가 알 수 없도록 아래의 일부 코드를 통해 몰래 삭제 조치 된다.

3. 예방 조치 방법

위와 같이 실제적으로 악성 동작을 수행하는 악성 애플리케이션을 1차적인 Dropper가 내부에 포함하고 있는 경우 해당 Dropper가 수정될 경우 지속적인 보안 위협을 가지고 있을 수 있다. 더불어 감염될 경우 기기 관리자 권한 획득을 요구하는 위와 같은 악성 애플리케이션의 경우는 Zombie란 진단명에 어울리게 일반 사용자의 경우 삭제하기 조차 어렵다.

때문에 이러한 수많은 보안 위협으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단명 현황

- Trojan/Android.SMSZombie.A
- Trojan/Android.SMSZombie.B
- Trojan/Android.SMSZombie.C



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


얼마전 국내 유명 포털에서 운영되고 있는 인터넷 커뮤니티 사이트를 통해 안드로이드 악성 애플리케이션이 유포되고 있는 상황에 대한 글을 게재한 바 있다. 인터넷 커뮤니티 사이트에서는 단순히 가입 후 글 게재 및 파일 업로드 등의 활동이 얼마든지 가능하며, 이러한 점을 통해 악성 애플리케이션이 업로드될 경우 일반 사용들은 별다른 의심없이 악성 애플리케이션에 대한 다운로드 및 설치를 진행하여 감염될 수 있다.

[긴급]국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중
http://erteam.nprotect.com/259

2. 유포 과정 및 감염 증상

이러한 방법으로 유포되고 있는 악성 애플리케이션들은 악성 여부에 대한 정확한 확인이 이루어지지 않은 상태에서 일반 사용자들간에 공유가 이루어지는 경우가 대부분이다. 또한, 이와 같은 악성 애플리케이션들은 제작시 악의적인 목적으로 제작 되었다기 보다는 광고 등의 수익을 목적으로 특정 해외 업체에서 제공되는 "AD API(Advertise API)" 사용에 따라 의도치 않게 악성 애플리케이션으로 진단되는 경우가 보통이다.

이처럼 악성코드로 진단될 수 있는 AD API 가 적용되는 경우는 위와 같이 제작시 해당 코드를 추가하는 경우와 기존에 제작된 애플리케이션에 달빅코드 추가 및 변경을 통한 재패키징의 경우 두가지가 있다. 보통 해외에서 발견되고 있는 관련 악성 애플리케이션 또한 이와 같은 두가지 방법을 통해 제작 및 유포가 이루어지고 있으며, 이제 국내에서도 의도 되었든, 의도되지 않았든 공식 마켓이 아닌 루트를 통해서 이러한 악성 애플리케이션이 지속적으로 유포되고 있다.

아래의 그림은 국내 유명 포털에서 운영되고 있는 커뮤니티 사이트에서 실제로 악성 애플리케이션에 대한 다운로드를 진행하는 과정을 보여주고 있다.


위와 같은 악성 애플리케이션은 제작자에 의해 추가된 AD API에 의해 IMEI, 위치정보, 단말기 제조 업체 등의 정보를 수집하며, 수집된 정보의 외부 유출을 위해 아래와 같은 일부 코드를 사용하게 된다.


3. 예방 조치 방법

위와 같이 인터넷 커뮤니티 사이트 등을 통해 유포되는 악성 애플리케이션들은 일반 사용자의 경우 국내 유명 포털에서 운영되는 인터넷 커뮤니티 사이트에 대한 상대적인 보안 불감증으로 인해 별다른 의심 없이 다운로드하게 된다는 점에서 보안상 매우 위험하다고 할 수 있다. 이러한 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


일반적으로 사용자들은 특정 애플리케이션을 사용하기 원할때 다운로드 및 설치 후 생성된 아이콘(LAUNCHER)을 클릭하여 실행하게 된다. 그러나 일부 악용의 소지가 있는 애플리케이션 혹은 제작시 악의적인 목적을 가지고 만든 악성 애플리케이션은 필요에 따라 실행시 사용될 수 있는 아이콘(LAUNCHER)을 아예 제외하는 경우가 있으며, 사용자는 이 경우 어떤 애플리케이션이 어떠한 목적으로 가지고 언제 실행되었는 확인하기가 힘들다.

최근 이렇게 은밀한 실행 방법을 띄는 애플리케이션들이 지속적으로 발견되고 있으며, 이같은 애플리케이션은 대부분 악의적인 목적을 가지고 제작되는 경우가 대부분이기 때문에 사용자들의 선별적인 다운로드 습관 함양 및 스마트폰 보안성에 대한 인식이 무엇보다 중요해지고 있다.

이번에 소개할 악성 애플리케이션의 경우 애초에 악의적인 목적을 가지고 제작된것은 아니지만 위에서 설명한 것과 같이 실행 아이콘이 존재하지 않으며, 사용시 어떠한 의도 및 목적을 가지느냐에 따라 개인 정보에 대한 보안성에 많은 취약점을 노출할 수 있기 때문에 사용자들은 사용에 각별한 주의가 필요하다.
 
전화오면 일어나는 좀비폰, 한국 이용자 겨냥 시도?
http://erteam.nprotect.com/266

  

2. 유포 및 감염 증상

해당 악성 애플리케이션은 구글 정식 마켓을 통해서는 배포되고 있지 않으며, 해외 파일공유 사이트 및 제작사 홈페이지를 통해서 배포되고 있다. 마켓이 아닌 상태에서 APK파일 자체가 배포되기 때문에 PC상에서도 해당 악성 애플리케이션을 다운로드 할 수 있다.

아래의 그림과 같이 제작사의 홈페이지에서 해당 악성 애플리케이션에 대한 SDK 버전별 다운로드 링크 및 메뉴얼을 제공하고 있다.

  

◈ 설치 화면


해당 악성 애플리케이션은 설치시 아래의 그림과 같이 특정 권한들을 요구하게 된다.

 
※ 전체 권한

- android:name="android.permission.GET_TASKS"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.INTERNET"
- android:name="android.permission.CALL_PHONE"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.WRITE_CONTACTS"
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.ACCESS_FINE_LOCATION"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="com.android.browser.permission.READ_HISTORY_BOOKMARKS"
- android:name="android.permission.MODIFY_PHONE_STATE"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.DISABLE_KEYGUARD"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.MODIFY_AUDIO_SETTINGS"

설치가 완료되면 개요 부분에서 설명한것과 같이 LAUNCHER가 존재하지 않아 별도의 실행 아이콘은 보이지 않는다. 이로인해 사용자들 스스로 해당 애플리케이션을 설치하지 않은 이상 자신의 스마트폰에 이와같은 프로그램이 설치되어 있는지 여부를 바로 확인하기 어렵다. 다만, "환경설정" -> "응용프로그램" -> "응용프로그램 관리"에서 아래의 그림과 같은 아이콘을 통해 설치여부를 확인할 수 있다.

  

◈ 악성 기능 분석


해당 악성 애플리케이션의 전체적인 악성 기능을 아래와 같이 몇가지로 요약해볼 수 있다.

※ 전체 악성 기능

- SMS 수신 감시 및 수집
- 위치 정보 수집
- 통화내역 정보 수집
- 인터넷 사용 정보 수집
- IMEI, 안드로이드 OS SDK 등의 단말기 정보 수집
- 홈페이지 가입 시 입력한 계정 정보(ID/PW) 수집
- 수집된 정보의 외부 유출 시도
- 기타 증상(내부적으로 사용된 코드에 의해 배터리 과다 사용)

해당 악성 애플리케이션이 위와 같은 악의적인 기능을 수행하기 위해서는 우선, 설치 후 회원가입 및 별도의 활성화 과정을 거쳐야한다. 회원가입은 제작사 홈페이지에서 가능하며 보안성을 위한 확인 절차는 전무하다. 아래의 그림은 회원가입 시 필요한 기입정보이다.

계정생성은 위 그림과 같이 간략한 정보만 기입하면 가능하기 때문에 많은 시간이 소요되지 않는다. 감염시킬 스마트폰을 잠시만 사용자 몰래 사용할 수 있다면 손쉽게 홈페이지 접속 후 설치 및 계정생성을 진행할 수 있다.

해당 악성 애플리케이션은 별도의 활성화 과정을 위해 몇가지 브로드캐스트 리시버 등록(전화 발신 이벤트 등의 감지)을 통한 Client 활성화 방법을 사용하고 있다. 이때, 브로드캐스트 리시버에서 "전화 발신 이벤트"를 감지시 특정 발신 번호(#123456*)가 분기 조건부로 따른다.

위에서 설명한 조건부를 충족시키기 위해 다이얼에 특정 발신 번호(#123456*)를 입력한 후 "통화" 버튼을 누르게 되면 해당 악성 애플리케이션이 활성화 되며, 아래의 일부 코드와 같이 각종 정보 입력 및 저장을 위한 DB 파일(SPYOO.db)을 생성하게 된다.

또한, 해당 악성 애플리케이션은 DB생성과 동시에 아래의 그림과 같이 메인 설정 화면을 출력하게 된다.

위와 같은 메인 화면에서 Email Address와 Password 를 입력 후 "Login" 버튼을 클릭하게 되면 해당 악성 애플리케이션은 내부의 악성 서비스들을 실행하게 되며, 해당 악성 서비스들로 인해 유출되는 모든 정보가 제작사의 웹 페이지로 전송되게 된다. 아래의 그림은 악성 서비스가 실행된 상태의 프로세스 정보이다.

또한, 해당 악성 애플리케이션은 메인 화면과 같이 "Setting" 버튼을 통해 내부 기능의 커스터마이징을 위한 설정 기능을 제공하고 있으며, 조정이 가능한 설정 값들은 아래의 그림과 같다.


"Setting" 항목에서 설정할 수 있는 기능은 위 그림에서 보는바와 같이 "애플리케이션 활성화 및 Secret Key 설정", "모니터링 포워딩", "통화 내역 확인", "SMS 사용 내역 확인", "웹 사이트 사용 내역 확인", "위치 정보 확인" 기능들에 대한 적용 여부이다. 아래의 그림을 통해 DB에 저장된 각 설정 값의 일부를 확인 할 수 있다.


또한, GPS의 경우 세부 설정이 가능한데 "일정시간 마다 위치정보를 체크"하거나 "일정 거리 이동시 마다 위치정보를 체크" 하는 등의 설정이 가능하다. 다만, 이러한 세부 기능을 구현하는 API가 뛰어난 정밀성을 보장하지는 못한다.

설정을 모두 완료한 후 "Exit" 버튼을 클릭하게 되면, 해당 악성 애플리케이션은 저장된 설정값과 함께 백그라운드 상태에서 리시버와 서비스가 지속적으로 동작하는 상태로 숨겨지게 된다.

이렇게 해당 악성 애플리케이션에 대한 설정 및 활성화 작업이 종료되면 이제 본격적으로 아래의 일부 코드들을 통해 "SMS 정보 수집", "위치 정보 수집", "통화 내역 정보 수집", "인터넷 사용 정보 수집", "IMEI, SDK 버전 등의 단말기 정보 수집" 등의 악의적인 기능들을 수행하게 된다.


아래의 그림을 통해 수집된 각 정보의 DB 저장 상태를 일부 확인 할 수 있다.


수집된 각 정보는 위와 같이 악성 애플리케이션에 의해 생성된 DB에 저장된 후 아래의 일부 코드를 통해 리스트화 되어 IMEI 값과 함께 외부 사이트로 해당 정보들을 유출 시도하게 된다.


아래의 그림은 수집된 각 정보들이 유출 시도될 때의 디버깅 캡쳐 화면이다.


위에서 해당 악성 애플리케이션에 의해 수집된 정보를 제작사의 홈페이지를 통해 확인 할 수 있다고 언급하였다. 제작사의 홈페이지에서 생성한 계정정보를 입력 후 로그인 하게되면 아래의 그림과 같이 수집된 정보들을 실시간으로 열람 및 확인 할 수 있다.


제작사의 홈 페이지에서는 위와 같은 위치 정보 뿐만 아니라, 수신된 SMS 정보, 통화 내역 정보, 인터넷 사용 정보 등을 모두 열람할 수 있다. 그러나 현재는 위치 정보를 제외하면 모두 유료 결제 후에 열람이 가능하다.

해당 악성 애플리케이션의 주된 감염 증상은 위와 같이 여러 정보들에 대한 수집 및 외부 유출이라고 볼 수 있다. 다만 이와는 별개로 권장하지 않는 내부 API 사용 방법에 의해 배터리의 급속한 소모 또한 사용자 입장에서는 원치 않는 악성 감염 증상이라고 볼 수 있다.

해당 악성 애플리케이션은 서비스 등의 일부 백그라운드 상태에서의 동작을 위해 WakeLock을 사용한다. 다만, 해당 API의 경우 사용시 급속한 배터리의 소모를 유발할 수 있어 acquire() 후 반드시 해제 하는 등 후처리가 따라야 이러한 증상을 막을 수 있다.

물론 제작사 측에서 이러한 배터리 소모를 의도하고 API를 사용하였다고 추정되지는 않지만 이러한 점으로 인해 애플리케이션 사용시 원치 않는 결과가 도출된다면 사용자 입장에서는 충분히 악의적인 동작으로 볼 수 있다.

3. 예방 조치 방법

위와 같은 애플리케이션은 사용에 필요한 "계정 생성에 별다른 본인 확인 절차가 없다는점", "절차의 간단함으로 인해 인증 과정에 많은 시간이 소요되지 않는다는 점", "설치 후 별도의 실행 아이콘이 존재하지 않는다는 점" 이렇게 3가지 점때문에 악용의 소지가 다분하다고 볼 수 있다.

예전에 블로그를 통해 사용자 몰래 수신되는 SMS를 특정 휴대폰으로 포워딩하는 악성 애플리케이션에 대해 소개한 바 있으며, 이번에 소개한 악성 애플리케이션의 보안 위협성이 그때와 같다고 볼 수 있다.

악성파일 유포 기법중 가장 널리 사용되는 사회공학 기법이 별게 아니다. 특정인이 사용자 몰래 감염을 원하는 스마트폰에 간단하고 빠른 절차를 악용하여 해당 악성 애플리케이션을 설치 후 활성화 시켰다고 가정해 보자. 사용자는 의도치 않게 눈뜨고 코베이는 격으로 자신의 개인 정보를 고스란히 남에게 양도하게 될것이다.

때문에 이러한 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 볼 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


얼마전 유럽의 사용자들을 대상으로 한 프리미엄 서비스 SMS관련 애플리케이션이 발견되어 이슈
가 된 바 있다. 기존과 달리 중국과 러시아에 국한되지 않고 감염 범위를 다양하게 가져간 측면에서 화제가 되었는데 최근 해당 악성 애플리케이션의 변종이 또다시, 출현하여 감염 범위 확장에 대한 심각성이 더욱 고조되고 있다. 이러한 추세라면 얼마 지나지 않아 곧 유럽을 뛰어넘어 훨씬 다양한 국가에서 수 많은 악성 애플리케이션들이 활동을 시작할 것이라는 추정이 가능하다. 잉카인터넷 대응팀에서는 해당 변종을 다수 확보한 상태이고, 지속적으로 업데이트를 수행 중이다.
  

참고로 국내에 공식적인 감염 사례가 보고되지는 않았으며, 외산 안드로이드 기반 악성파일이 악용하는 프리미엄 SMS 기능은 국내 환경과 차이가 있기 때문에 직접적인 피해가 발생할 가능성은 낮은 편이다. 

[참고]안드로이드 악성 애플리케이션 유럽 상륙
http://erteam.nprotect.com/220

2. 유포 경로 및 감염 증상

이번에 출현한 변종의 경우 기존의 악성 애플리케이션의 유포 경로와 뚜렷한 차이점을 보이는데 바로 구글의 안드로이드 마켓을 통해 유포가 시도되었다는 점이다. 물론, 블랙마켓 및 3rd Party 마켓을 통해서도 유포가 이루어지며, 안드로이드 마켓 측에서는 현재 해당 악성 애플리케이션들을 모두 차단시켜 놓은 상태이다.
 
기존에 발견되었던 유럽을 대상으로한 악성 애플리케이션은 총 8개국을 감염 대상으로 삼고 제작되었다. 그러나, 이번에 발견된 변종의 경우 그보다 대폭 상승한 총 18개국을 감염 대상으로 하고 있다.

※ 감염 대상 국가 (총 18개국)

 - 아제르바이잔
 - 아르메니아
 - 영국
 - 벨라루스
 - 독일
 - 그루지아
 - 이스라엘
 - 카자흐스탄
 - 키르키스스탄
 - 라트비아
 - 리투아니아
 - 러시아
 - 폴란드
 - 타지키스탄
 - 우크라이나
 - 프랑스
 - 체코
 - 에스토니아

또한, 해당 악성 애플리케이션의 경우 기존에 유포되었던 것들과는 다르게 다양한 애플리케이션을 통해 한꺼번에 유포를 시도하였다. "게임", "월 페이퍼" 등 다양한 종류를 통하여 동일한 악성 기능을 가지는 총 27개의 악성 애플리케이션들이 구글의 안드로이드 마켓에 등록된 것으로 알려졌다.

이미지 출처 : Symantec Blog


※ 안드로이드 마켓에 등록된 악성 애플리케이션 목록 (총 27개)

Corazon LLC:
 - Horoscope (horoscope.android)
 - Horoscope (com.corazon.horoscope)

Corelly LLC:
 - Horoscope (com.corelly.horoscope)

Ranzy LLC:
 - Twilight (com.Twilight.wallpapers)
 - Puss in Boots (com.Puss.Boots.wallpapers)
 - Moneyball (com.Moneyball.wallpapers)

Astrolog LLC:
 - Sim City Deluxe FREE (com.astrolog.sim.city.deluxe.free)
 - Need for Speed Shift FREE (com.astrolog.need.forspeed.shift.free)
 - Great Little War Game FREE (com.astrolog.great.little.war.game.free)

Logastrod:
 - Cut the Rope (com.Cut.the.Rope)
 - Angry Birds (com.Angry.Birds)
 - Assassins Creed (com.Assassins.Creed)
 - Talking Tom Cat (com.Talking.Tom.Cat)
 - NEED FOR SPEED Shift (com.nsf.Shift)
 - Where is My Water? (com.swampy.Water)
 - Great Little War Game (com.Great.little.War.Game)
 - World of Goo (com.World.Goo)
 - Shoot The Birds (com.Shoot.The.Birds)
 - Riptide GP (com.Riptide.GP)
 - Talking Larry the Bird (com.Talking.larry.Bird)
 -  Bag It! (com.Bag.It)
 - Talking Larry the Bird (com.Talking.Larry.Bird)
 - Angry Birds (com.Angry.Birds.free)

Allwing Concept:
 - TETRIS (com.tetris.free)
 - Pool Master Pro (com.Pool.Master.free)
 - Reckless Racing (com.Reckless.Racing.free)
 - Paradise Islad (com.Paradise.Island.free)

유포에 동원된 악성 애플리케이션들은 무료 게임, 월 페이퍼 등으로 위장되었기 때문에 일반 사용자들의 경우 쉽게 현혹되어 해당 악성 애플리케이션들을 다운로드 할 수 있다.

해당 악성 애플리케이션의 악성 동작은 이미 출현한 바 있는 프리미엄 서비스 SMS 관련 악성 애플리케이션과 동일하다. 차이점이 있다면 애플리케이션 실행 시 아래와 같은 URL을 통해 추가적인 APK파일 다운로드 및 설치 시도 등이 있으나, 현재는 해당 URL이 차단되어 더이상의 다운로드는 불가능한 상태이다.

※ 추가 APK 파일 다운로드 URL

http://(생략)/app/riptide.apk

※ 최초 다운로드 조건

☞ 감염된 스마트폰의 국가 코드 정보가 위에서 언급한 18개국의 국가 코드와 일치하지 않을 경우.


아래의 그림은 해당 악성 애플리케이션에 대한 실행 화면이다.


 

 

 

해당 애플리케이션은 위 그림과 같이 최초 감염된 후 실행 시 추가적인 APK 파일에 대한 다운로드 및 설치를 시도하게 된다. 그 후 "3"번 과정을 거치기 전 감염된 스마트폰의 국가 코드 정보를 조회 후 위 에서 설명한 18개의 국가 코드 정보와 일치 경우 아래의 일부 코드와 같이 프리미엄 SMS 서비스에 특정 내용이 포함된 문자 메시지를 발송해당 프리미엄 SMS 서비스 측으로 부터 문자 메시지를 회신 받을 경우 사용자 몰래 해당 SMS를 삭제하게 된다.

 


또한, 만일 감염된 스마트폰의 국가 코드정보가 내부에 정의된 18개의 국가 코드 정보와 일치하지 않을 경우에는 "4"번 항목과 같이 재차 특정 URL에서 추가적인 APK 파일에 대한 다운로드를 시도하게 된다.

3. 예방 조치 방법

해당 악성 애플리케이션의 특징은 기존의 유포 방식과 다르게 구글의 안드로이드 마켓을 이용했다는 점, 감염 대상 국가가 중국, 러시아 등의 특정 국가에 국한되지 않고 점점 그 대상을 확대해 나가고 있다는 점, 마지막으로 한번에 여러 종류의 악성 애플리케이션을 제작하여 유포를 시도했다는 점 이렇게 세가지로 요약해 볼 수 있다. 여기서 구글의 안드로이드 마켓에 등록된 해당 악성 애플리케이션들은 모두 다운로드 횟수에서 상위를 차지하고 있는 카테고리인 "무료 게임", "월 페이퍼" 등의 종류로 업로드 되어 있어 일반 사용자들의 경우 쉽게 현혹되어 감염될 수 있다는 점도 주목할만 하다.

이러한 악성 애플리케이션의 경우 위장 등의 사회공학 기법을 사용하고 정상 마켓을 통해 서비스 된다는 점 때문에 일반 사용자들의 경우 악성 여부를 식별해 내기가 매우 까다로울 수 있다. 때문에 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.EUsendSMS.A
- Trojan-SMS/Android.EUsendSMS.B

 


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

기존에도 중국을 중심으로 특정 프리미엄 SMS 서비스를 이용한 과금 유발 형태의 악성 애플리케이션이 다수 발견된 사례가 있었다. 이러한 프리미엄 SMS 서비스는 국내에선 실시되고 있지 않은 서비스이며, 다양한 이동통신사 및 망사업자 등의 조건이 충족되는 국가에서 실시되고 있는 서비스이다. 그런데 최근 다양한 국가의 사용자들을 대상으로하는 프리미엄 SMS 과금 유발 형태의 악성 애플리케이션이 발견되었으며, 향후 이와 유사한 변종 형태의 SMS 관련 악성 애플리케이션이 출현할 것으로 전망되고 있어 외산 애플리케이션 다운로드에 사용자들의 각별한 주의가 요망되고 있다.

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 해외 블랙마켓, 3rd Party 마켓 등을 통해 유포가 이루어지고 있으며, 특정 애플리케이션의 설치본 형태로 제작되었다. 실제로 해당 악성 애플리케이션을 설치하면 특정 애플리케이션에 대한 다운로드 여부를 묻는 화면이 출력된다.

■ 간략 정보

아래의 그림은 해당 악성 애플리케이션 설치 시 출력될 수 있는 권한 요구 화면이다.


설치본 형태로 제작된 애플리케이션이기 때문에 별다른 권한은 요구하지 않고 있으며, SMS 발송을 위해 아래와 같은 권한만을 요구하고 있다.

※ 전체 권한

 - <uses-permission  android:name="android.permission.SEND_SMS"  > </uses-permission>


해당 악성 애플리케이션에 대한 설치가 완료된 후 실행하게 되면 아래의 그림과 같은 실행화면을 볼 수 있다.


위 그림을 살펴보면 알 수 있듯이 "geared" 라는 특정 애플리케이션에 대한 다운로드 여부를 묻고있으며, "Next" 버튼 클릭 시 아래의 그림과 같은 게임 애플리케이션에 대한 다운로드 및 설치를 진행할 수 있다.
  

◆ 추가적으로 다운로드 및 설치되는 게임 애플리케이션(geared)

  ▶ 권한 요구


  ▶ 실행 화면

  

또한, 해당 악성 애플리케이션의 실행화면에서 "Rules" 버튼을 클릭하게 되면 아래의 그림과 같이 사용자들의 입장에서 쉽게 지나칠 수 있는 약관 형태의 "Rules" 화면을 출력하게 된다.


위 약관을 자세히 살펴보면 1번 항목 등에서 특정 컨텐츠 접근 및 SMS 과금 형태에 대한 설명이 기재되어있다. 그러나 일반 사용자들은 보기 불편한 위와같은 약관을 자세히 보지 않고 쉽게 지나쳐 버리게 되며, 제작자는 이러한 측면을 악용하고 있다.

한가지 특이한 점은 해당 악성 애플리케이션이 추가적으로 다운로드되는 게임 애플리케이션의 설치본 형태를 띄고 있으면서도 두가지 애플리케이션이 서로 패키지명이 다르다는 것이다.

※ 패키지명 비교

 - 악성 애플리케이션 : com.depositmobi
 - 게임 애플리케이션 : com.scoreloop.games.geared


■ 상세 정보

위에서 설명한 프리미엄 SMS 과금 유발 형태의 악성 기능은 아래의 일부 코드를 통해 구현되어 있다.

화면을 클릭하시면 확대된 화면을 보실 수 있습니다.


위와 같은 SMS 발송 등의 악성 기능은 애플리케이션이 실행된 후 버튼에 대한 클릭이 진행되면 바로 동작하게 되며, 사용자는 SMS 발송에 대한 확인이 불가능하다. 위와 같은 Direct SMS Deliver 코드 형태로 발송된 SMS의 경우 발신함에 그 기록이 남지 않기 떄문이다.

또한, 해당 악성 애플리케이션은 위 일부 코드와 같이 감염된 스마트폰의 망사업자 등에 대한 확인 코드가 실행되며, 이를 바탕으로 화면에 뿌려주는 언어를 설정하게된다. 화면에 뿌려주는 언어는 "Raw" 폴더내의 "countries.cfg" 파일에 정의되어 있으며, 추가적인 게임 애플리케이션(geared)에 대한 다운로드 시 URL 파싱을 위해 사용되는 "sms.cfg" 파일 또한 동일한 폴더내에 존재하고 있다.

※ 게임 애플리케이션(geared) 다운로드 URL

 - http://moyandroid.net/(생략)/download.php?id=(생략)

아래의 일부 코드는 위에서 설명한 다양한 국가 고유 코드에 대해 선언된 변수 값이다.


3. 예방 조치 방법

위와 같은 SMS 관련 악성 애플리케이션은 현재 유포되고 있는 안드로이드 악성 애플리케이션에서 주류를 이루고 있다. 다만, 최근 발견된 악성 애플리케이션의 경우 다양한 사회공학 기법 활용과 더불어 감염 대상을 특정 국가의 사용자에 국한하지 않고 여러 국가의 사용자들을 감염 대상으로 하고 있다는 점이 주목할만하다. 일반 사용자들의 경우 나날이 고도화되고 있는 안드로이이드 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 최선의 방법이될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 스마트폰의 관리 목적을 가지고 사용될 수 있는 형태로 위장된 안드로이드 악성 애플리케이션이 발견되어 해외에서 이슈
가 되고 있다. 해당 악성 애플리케이션은 감염될 시 사용자의 특정 정보를 수집할 수 있으며, 외부로 유출 또한 시도를 할 수 있으므로 사용자들의 각별한 주의가 요망되고 있다. 최근 안드로이드 운영체제의 스마트폰 OS 시장 점유율이 늘어나면서 관련한 애플리케이션이 우후죽순적으로 늘어남에 따라 이를 이용한 악성 애플리케이션 유포 또한 기승을 부리고 있다. 사용자 스스로의 선별적 다운로드 자세가 요구되고 있는 시점이다.

  

2. 감염 증상

해당 악성 애플리케이션은 해외를 중심으로 유포되고 있으며, 설치 시 아래의 그림과 같이 특정 권한 등을 요구하게 된다.


※ 전체 권한

- android:name="android.permission.GET_TASKS"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.BLUETOOTH"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.GET_ACCOUNTS"


해당 악성 애플리케이션은 설치가 완료되면 아래와 같은 아이콘을 가지게 되며, 해당 아이콘을 통해 애플리케이션을 실행하게 되면 아래의 그림과 같은 스마트폰 관리 애플리케이션으로 위장된 화면을 보여주게 된다.
  

■ 아이콘 화면


■ 실행 화면

  

위와 같은 설치 과정 및 실행이 모두 완료되면 해당 애플리케이션은 아래와 같은 악의적인 동작을 수행하게 된다.

※ 악의적인 동작

- 스마트폰 단말기 기기정보 수집
- 사용자의 이름 및 이메일 계정 정보 수집
- 수집된 정보의 외부 유출 시도


  ▶ 스마트폰 단말기 기기정보 수집

해당 악성 애플리케이션은 아래의 일부 코드를 통해 IMEI, 단말기 제조사, 모델 등의 정보를 수집하게된다.


수집된 정보는 위의 일부 코드와 같이 MD5 해쉬화 과정을 통해 암호화 되어 외부로 유출 시도 된다.

  ▶ 사용자의 이름 및 이메일 계정 정보 수집

해당 악성 애플리케이션은 아래의 일부 코드를 통해 사용자의 이름 및 구글 등 이메일 계정에 대한 수집 과정을 진행하게 된다.


  ▶ 수집된 정보의 외부 유출 시도

또한, 해당 악성 애플리케이션은 위와 같이 수집된 정보들을 아래의 특정 URL을 통해 외부로 유출 시도를 진행할 수 있다.

※ 외부 유출 시도 URL

☞ http://push.(생략).com/push(생략)
  

3. 예방 조치 방법

위와 같이 정상 애플리케이션으로 위장된 형태의 악성 애플리케이션은 일반 사용자의 경우 육안상으로 악성 여부를 쉽게 판단하기가 어렵다. 나날이 민감해지고 있는 개인 정보의 유출과 관련해 안전한 스마트폰 사용을 위해서는 아래의 "스마트폰 보안 관리" 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

 - Trojan-Spy/Android.FakeBatteryDoctor.A




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요

 

최근 악의적인 목적을 가지고 스마트폰 단말기 정보 등의 탈취를 시도하는 악성 애플리케이션이 다수 발견되고 있다. 이러한 가운데 해외에서 E-mail 계정 및 비밀번호 탈취를 시도하는 악성 애플리케이션이 발견되어 사용자들의 주의를 요망하고 있다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 정상 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 E-mail계정과 비밀번호를 입력 후 로그인 하게될 경우 계정정보가 외부로 유출될 수 있다.
  

2. 유포 경로 및 감염 증상

해외를 중심으로 각종 블랙 마켓, 3rd Party 마켓 등을 통해 유포될 수 있으며, 국내에서는 해당 동영상 스트리밍 서비스 업체의 사업이 진행되지 않아 특별한 감염 및 피해 사례는 나타나지 않고 있다.

해당 악성 애플리케이션은 설치시 아래와 같은 권한들을 요구하게 된다.

 
※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INJECT_EVENTS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.DUMP"
- android:name="android.permission.GET_TASKS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.


위와같이 모든 설치 과정이 완료된 후 해당 악성 애플리케이션을 실행하면 아래의 그림과 같은 실행화면을 보여주게 된다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 애플리케이션으로 위장한 형태이므로 아래의 그림과 같이 육안상으로 정상 애플리케이션과 구별이 가능하다.


위 그림을 자세히 살펴보면 레이아웃 구성에서 차이점이 있는것을 확인할 수 있다. 우선 상단 부분의 "스마트폰 상태바"가 정상 애플리케이션의 경우 존재하나 악성 애플리케이션의 경우 존재하지 않는다. 또한, 정상 애플리케이션의 경우 진행되는 "프로그레스바"가 안드로이드에서 제공되는 일반 프로그레스바를 사용하고 있으나, 악성 애플리케이션의 경우 디자인된 프로그레스바를 사용하고 있다. 마지막으로 "인 화면의 이미지에 검은색 테두리""loading 텍스트의 유무"로도 구별이 가능하다.

위의 과정을 거쳐 애플리케이션 로딩이 완료되면 아래의 그림과 같이 메인 로그인 창이 출력된다.


위 그림을 자세히 살펴보면 마찬가지로 정상/악성 애플리케이션 간에 차이를 육안상으로 확인할 수 있다. "스마트폰 상태바"와 "이메일 계정 정보 입력창" 등 다양한 부분에서 차이점이 발견된다.

이때, 악성 애플리케이션의 경우 위 그림에서 로그인을 위한 계정 정보 입력 후 "Sign in" 버튼을 클릭하면 아래의 일부 코드에 의해 Email, Password가 저장된 EditText 값을 아래와 같은 특정 외부 URL로 유출 시도를 할 수 있다.


※ 이메일 계정 정보 유출 시도 URL

http://erofolio.[생략].biz/login.php

위 그림과 같은 로그인 과정 진행이 진행될때 해당 악성 애플리케이션은 이메일 계정 입력 시 어떠한 계정 정보를 입력해도 로그인 과정을 완료할 수 있으나, 정상 애플리케이션의 경우 해당 업체의 계정정보를 입력하지 않으면 아래의 그림과 같이 로그인 과정을 완료할 수 없다.

 


위 그림을 살펴보면 정상 애플리케이션의 경우 해당 업체의 계정 정보 이외의 정보 입력 시 로그인에 실패함을 확인할 수 있으며, 악성 애플리케이션의 경우 계정 정보 존재 유무에 상관없이 무조건 위 그림과 같은 창을 출력하게 된다. 또한, 악성 애플리케이션의 경우 위 그림과 같은 "Cancel" 버튼을 클릭할 경우 해당 악성 애플리케이션에 대한 삭제를 진행할 수 있다.

3. 예방 조치 방법

일반 사용자들은 동영상 스트리밍 서비스 업체의 정상 애플리케이션이 어떻게 구성되어 있는지 모르는 경우가 많다. 해당 악성 애플리케이션의 경우 이러한 점을 악용해 최대한 정상 애플리케이션과 유사한 화면을 구성하여 사용자들을 속일 수 있으며, 이로인해 유출될 수 있는 이메일 계정 정보는 다양한 목적을 가지고 악용될 수 있다. 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.FakeNefilix.A





저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 다수의 해외 보안기업을 통해 안드로이드용 Spyeye 악성 애플리케이션 출현이 보고되어 이슈가 되고 있다. 최종적으로는 Spyeye와 관련은 없는 것으로 밝혀졌으나 해당 악성 애플리케이션을 통해 향후 모바일 인터넷 뱅킹 등을 통한 새로운 보안 위협의 출현이 예상되고 있어 악성 애플리케이션에 대한 사용자들의 각별한 주의가 요망되고 있다.
  

2. 유포 및 감염 증상

해당 악성 애플리케이션은 해외를 중심으로한 각종 블랙마켓 및 3rd Party 마켓 등을 통해 유포가 이루어질 수 있으며, 애플리케이션의 종류에 따라 설치 후 실행 아이콘 등이 보이지 않는 경우가 있을 수 있다.

아래의 그림은 다운로드된 해당 악성 애플리케이션에 대한 설치 화면이며, 아래와 같은 권한을 요구할 수 있다.


※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.READ_SMS"

해당 악성 애플리케이션은 "안드로이드 SDK 1.6 이상 버전"에서 정상적인 동작이 가능하며, MAIN, LAUNCHER가 AndroidManifest.xml에 존재하지 않기때문에 애플리케이션 설치 후 별도의 실행 아이콘 등이 런쳐상에 보이지 않는다.

해당 악성 애플리케이션은 아래의 그림과 같이 "환경설정" -> "응용 프로그램" -> "응용 프로그램 관리"에서 설치 여부에 대한 확인이 가능하다.

  

해당 악성 애플리케이션은 위의 설명과 같이 실행을 위한 별도의 아이콘이 생성되지 않는다. 때문에 실행을 위해 아래의 일부 코드를 통한 애플리케이션 활성화 과정을 거칠 수 있다.


위 코드를 살펴보면 해당 악성파일은 "325000" 다이얼 입력 후 전화 버튼을 클릭할 경우 Toast를 통해 일종의 활성화 코드로 추정되는 "251340" 메시지를 스마트폰 화면에 출력하게 되며, 이로인해 해당 악성 애플리케이션이 실행되게 된다. 다만, 활성화 코드로 추정되는 "251340" 메시지는 실제로 사용되는 활성화 코드는 아니다.

아래의 그림을 통해 위 코드에 대한 실행 결과를 알 수 있다.

 


위 과정을 거쳐 해당 악성 애플리케이션이 실행되면 아래의 코드를 통해 감염된 스마트폰의 SMS에 대한 수집 작업을 진행하게 된다.


또한, 수집된 정보들은 아래의 코드와 같이 두가지 방법을 통해 외부로 유출 시도될 수 있다.

화면을 클릭하면 확대된 화면을 보실 수 있습니다.


SEND 타잎에 따라 ①특정 웹 사이트로 수집된 정보를 전송할 수 있으며, ②내부에 포함된 xml 파일에 휴대폰 번호에 대한 섹션이 존재할 경우 파싱 방법을 통해 해당 번호로 SMS를 발송하는 두가지 방법을 통해 수집된 정보에 대한 유출 시도를 하고 있다.

아래의 그림은 위의 두가지 방법을 통해 정보를 외부로 유출 시 활용되는 "settings.xml" 내부 코드이다.


위 그림을 통해서도 해당 악성 애플리케이션이 다음 버전을 위한 테스트 용도로 만들어졌다는 사실을 추측할 수 있다. 해당 악성 애플리케이션에서 정보값 파싱에 사용되는 "telephon", "addr", "tels" 등의 섹션이 모두 포함된 점과 실제 사용될 수 없는 값들을 포함하고 있다는 점에서 해당 악성 애플리케이션은 테스트 용도였다는 사실이 추측 가능하다.

3. 예방 조치 방법

해당 악성 애플리케이션은 일단 현재까지는 Spyeye와 특별한 연관성이 있지는 않다. 다만, 향후 출현할 수 있는 악성 애플리케이션에 의해 활성화 코드 실행 방법을 통한 악성 애플리케이션 실행이 가능할 수 있으며, 각종 결재 시 수신할 수 있는 인증관련 SMS의 유출 또한 발생할 수 있다. 때문에 추후에는 실제 Spyeye와 관련된 스마트폰 보안 위협이 발생할 가능성이 다분할 것으로 추정이 가능한 상황이다.

위와 같은 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.Spitmo.A


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

모바일 보안 위협이 지속적으로 증가하고 있는 가운데 최근 안드로이드 악성 애플리케이션중 SMS와 관련된 악성 애플리케이션의 유포가 눈에 띄게 증가하고 있다. 여러가지 감염 증상을 가지는 악성 애플리케이션에 SMS 발송 기능이 추가되거나 사용자 몰래 SMS에 대한 무단 발송 등 단일적인 감염 증상 까지 적용 범위도 넓어져가고 있다. 이러한 악성 애플리케이션에 감염될 경우 사용자 모르게 지속적인 이용 과금이 부과되거나 특정 광고 용도로 사용되는 등 여러가지 피해가 유발될 수 있다.

아래의 그림은 최근 1주일 동안 접수 및 수집된 악성 애플리케이션에 대한 종류별 유포 추이 그래프이다.

[1주일 동안 악성 애플리케이션의 유포 추이 그래프]
  

2. 유포 경로 및 감염 증상

이러한 악성 애플리케이션은 해외의 각종 블랙마켓, 3rd party 마켓 등을 주요 유포 경로로 사용하고 있다.

최근 유포 되고 있는 SMS 관련 악성 애플리케이션은 쉽고 간단한 유포와 지속적인 변종 제작을 위해 재패키징 기법 보다는 단일적으로 순수 악성 애플리케이션을 제작하여 유포하는 경우가 대부분이다.

아래의 그림은 최근 유포되고 있는 SMS 관련 악성 애플리케이션중 러시아 사용자들을 주요 타겟으로한 악성 애플리케이션에 대한 설치 화면이며, 현재 다수의 변종을 지속적으로 유포하고 있는 종류이다. 또한, 설치 시 아래와 같은 권한 요구 화면을 보여줄 수 있다.


※ 전체 권한

- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.CAMERA"
- android:name="android.permission.CHANGE_CONFIGURATION"
- android:name="android.permission.EXPAND_STATUS_BAR"
- android:name="android.permission.CONTROL_LOCATION_UPDATES"
- android:name="android.permission.GET_ACCOUNTS"
- android:name="android.permission.BATTERY_STATS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.READ_CALENDAR"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.READ_FRAME_BUFFER"
- android:name="com.android.browser.permission.READ_HISTORY_BOOKMARKS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.STATUS_BAR"
- android:name="android.permission.SYSTEM_ALERT_WINDOW"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.WRITE_CONTACTS"
- android:name="android.permission.WRITE_CALENDAR"

설치가 완료되면 아래의 그림과 같은 아이콘이 생성되며, 실행시 아래와 같은 메인화면을 보여줄 수 있다.
  

◆ 아이콘


◆ 실행 화면

  

해당 악성 애플리케이션은 설치 후 메인화면의 버튼 클릭을 진행하면 아래의 일부 코드로 인해 SMS 발송이 진행되며, 수신 번호 지정은 Dialog 파싱 기법을 사용하고 있다.


SMS 발송은 위 일부 코드와 같이 스레드 실행 방식을 통해 사용자 몰래 무단적으로 SMS 발송이 이루어지게 된다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 의도적으로 제작되는 경우가 대부분이므로 애플리케이션 다운로드 시 설명부분에 SMS와 관련한 내용을 고의적으로 누락시킬 가능성이 높다. 또한, 해당 악성 애플리케이션은 사용자 몰래 SMS 발송 등 악의적인 기능을 수행하기 때문에 사용자가 위와 같은 감염 증상을 인지하기가 매우 어렵다.

이와 같은 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect