1. 개 요

 

최근 악의적인 목적을 가지고 스마트폰 단말기 정보 등의 탈취를 시도하는 악성 애플리케이션이 다수 발견되고 있다. 이러한 가운데 해외에서 E-mail 계정 및 비밀번호 탈취를 시도하는 악성 애플리케이션이 발견되어 사용자들의 주의를 요망하고 있다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 정상 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 E-mail계정과 비밀번호를 입력 후 로그인 하게될 경우 계정정보가 외부로 유출될 수 있다.
  

2. 유포 경로 및 감염 증상

해외를 중심으로 각종 블랙 마켓, 3rd Party 마켓 등을 통해 유포될 수 있으며, 국내에서는 해당 동영상 스트리밍 서비스 업체의 사업이 진행되지 않아 특별한 감염 및 피해 사례는 나타나지 않고 있다.

해당 악성 애플리케이션은 설치시 아래와 같은 권한들을 요구하게 된다.

 
※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INJECT_EVENTS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.DUMP"
- android:name="android.permission.GET_TASKS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.


위와같이 모든 설치 과정이 완료된 후 해당 악성 애플리케이션을 실행하면 아래의 그림과 같은 실행화면을 보여주게 된다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 애플리케이션으로 위장한 형태이므로 아래의 그림과 같이 육안상으로 정상 애플리케이션과 구별이 가능하다.


위 그림을 자세히 살펴보면 레이아웃 구성에서 차이점이 있는것을 확인할 수 있다. 우선 상단 부분의 "스마트폰 상태바"가 정상 애플리케이션의 경우 존재하나 악성 애플리케이션의 경우 존재하지 않는다. 또한, 정상 애플리케이션의 경우 진행되는 "프로그레스바"가 안드로이드에서 제공되는 일반 프로그레스바를 사용하고 있으나, 악성 애플리케이션의 경우 디자인된 프로그레스바를 사용하고 있다. 마지막으로 "인 화면의 이미지에 검은색 테두리""loading 텍스트의 유무"로도 구별이 가능하다.

위의 과정을 거쳐 애플리케이션 로딩이 완료되면 아래의 그림과 같이 메인 로그인 창이 출력된다.


위 그림을 자세히 살펴보면 마찬가지로 정상/악성 애플리케이션 간에 차이를 육안상으로 확인할 수 있다. "스마트폰 상태바"와 "이메일 계정 정보 입력창" 등 다양한 부분에서 차이점이 발견된다.

이때, 악성 애플리케이션의 경우 위 그림에서 로그인을 위한 계정 정보 입력 후 "Sign in" 버튼을 클릭하면 아래의 일부 코드에 의해 Email, Password가 저장된 EditText 값을 아래와 같은 특정 외부 URL로 유출 시도를 할 수 있다.


※ 이메일 계정 정보 유출 시도 URL

http://erofolio.[생략].biz/login.php

위 그림과 같은 로그인 과정 진행이 진행될때 해당 악성 애플리케이션은 이메일 계정 입력 시 어떠한 계정 정보를 입력해도 로그인 과정을 완료할 수 있으나, 정상 애플리케이션의 경우 해당 업체의 계정정보를 입력하지 않으면 아래의 그림과 같이 로그인 과정을 완료할 수 없다.

 


위 그림을 살펴보면 정상 애플리케이션의 경우 해당 업체의 계정 정보 이외의 정보 입력 시 로그인에 실패함을 확인할 수 있으며, 악성 애플리케이션의 경우 계정 정보 존재 유무에 상관없이 무조건 위 그림과 같은 창을 출력하게 된다. 또한, 악성 애플리케이션의 경우 위 그림과 같은 "Cancel" 버튼을 클릭할 경우 해당 악성 애플리케이션에 대한 삭제를 진행할 수 있다.

3. 예방 조치 방법

일반 사용자들은 동영상 스트리밍 서비스 업체의 정상 애플리케이션이 어떻게 구성되어 있는지 모르는 경우가 많다. 해당 악성 애플리케이션의 경우 이러한 점을 악용해 최대한 정상 애플리케이션과 유사한 화면을 구성하여 사용자들을 속일 수 있으며, 이로인해 유출될 수 있는 이메일 계정 정보는 다양한 목적을 가지고 악용될 수 있다. 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.FakeNefilix.A





저작자 표시
신고
Posted by nProtect

1. 개 요


최근 스마트폰 기기의 불법적인 정보 수집기능을 가지는 애플리케이션이 지속적으로 발견되고 있다. 스마트폰의 기기의 정보가 유출될 경우 다양한 방면에서 악용될 소지가 다분하며, 이는 곧 사용자의 보안 위협으로 작용될 것이다. 이러한 와중에 스마트폰 기기의 정보에 대한 불법적인 수집 및 외부 유출을 시도하는 악성 애플리케이션이 추가적으로 발견되어 사용자들의 각별한 주의가 요망되고 있다. 현재 안드로이드 악성 애플리케이션의 경우 특별한 진단 및 분류 정책 마련 등이 아직은 미비한 상태이며, 이러한 악성 애플리케이션의 경우 일반인들도 충분히 제작이 가능하기 때문에 스마트폰 보안 위협은 앞으로 지속적으로 증대될 전망이다.

  

2. 유포 경로 및 감염 증상

이러한 악성 애플리케이션의 경우 각종 블랙마켓, 3rd Party 마켓 등을 통해 주로 유포가 이루어질 수 있으며, 악의적인 목적을 가지지않고 제작될 경우 구글 안드로이드 마켓을 통해서도 유포가 이루어질 수 있다.

해당 악성 애플리케이션은 다운로드 후 설치 시 아래의 그림과 같은 권한 요구 화면을 보여줄 수 있다.


※ 전체 권한

android:name="android.permission.INTERNET"             

android:name="android.permission.ACCESS_NETWORK_STATE" 

android:name="android.permission.RECEIVE_BOOT_COMPLETED"

또한, 해당 악성 애플리케이션은 설치가 완료된 후 별도의 실행 아이콘은 존재하지 않으며 내부의 코드에 의해 아래의 그림과 같이 스마트폰 재부팅 후 자동실행될 수 있다.

  

■ 상세 분석

해당 악성 애플리케이션은 아래와 같은 감염 증상을 유발할 수 있다.

※ 감염 증상

1. IMEI, IMSI 정보 수집

2. 스마트폰 제조 업체 및 모델명 등의 정보 수집

3. 네트워크 연결상태 체크 후 수집된 정보 외부 유출 시도

4. 특정 애플리케이션에 대한 설치 여부 확인


해당 악성 애플리케이션의 경우 별도의 Receiver는 등록하지 않는다. 다만, BroadcastReceiver 상속을 통해 스마트폰 내의 다른 애플리케이션에 대한 Action 및 Event처리를 시도 할 수 있다.

"※ 감염 증상" 부분에서 설명한 것과 같이 해당 악성 애플리케이션은 스마트폰 기기에 대한 정보 수집 및 특정 애플리케이션에 대한 설치 여부 확인 등을 주요기능으로 하고있으며, 특정 애플리케이션에 대한 설치 여부 확인은 MD5 체크 수식을 통해 패키지명 파싱 등의 방법으로 진행된다.

아래의 일부 코드를 통해 해당 악성 애플리케이션은 스마트폰 기기에 대한 정보를 수집할 수 있다.

그림을 클릭하시면 확대된 이미지를 확인하실 수 있습니다.


또한, 위와 같이 수집된 정보는 아래의 일부 코드와 같이 특정 메소드 등을 통한 일련의 데이터링 과정을 거친 후 전역 변수로 선언된 URL 레퍼런스를 통해 외부로 유출 시도될 수 있다.

그림을 클릭하시면 확대된 이미지를 확인하실 수 있습니다.


3. 예방 조치 방법

이동 통신 수단의 발전에 따라 향후에는 각종 결제 및 정보에 대한 처리가 스마트폰을 통해 수행되는 등 휴대용 통신 수단에 대한 의존도가 늘어날 것으로 전망된다. 이에 따라 자연스럽게 다양한 목적에 의한 휴대용 통신 수단의 보안 위협 또한 비례하여 증대될 것이다.

갈수록 지능화 되는 이러한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황


- Trojan-Spy/Android.NetiSend.A





저작자 표시
신고
Posted by nProtect
1. 개 요


최근 유포되고 있는 안드로이드용 악성 어플리케이션은 정상적인 어플리케이션들을 재패키징하여 유포하는 것이 트랜드가 되어가고 있다. 정상적인 어플리케이션을 디컴파일 등의 과정을 통해 악성코드를 함께 삽입 후 다시한번 패키지화 하는것을 재패키징 기법이라 한다. 이러한 악성 어플리케이션에 감염될 경우 일반 사용자 입장에서는 육안상으로 악성 여부를 판별해 내기가 매우 어렵기 때문에 확산성을 가진 악성 어플리케이션이 등장할 경우 감염 범위는 기하급수적으로 늘어날 수 있다.

이러한 가운데 최근 웹을 통한 중국의 Video 스트리밍 서비스 어플리케이션으로 재패키징된 악성 어플리케이션이 발견되어 이슈가 되고 있다.

  

2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 지속적으로 유사 변종이 발견되고 있으며, 재패키징 악성 어플리케이션의 특성상 주로 각종 블랙마켓, 3rd party 마켓 등을 통해 유포가 이루어지고 있다.

우선, 해당 악성 어플리케이션은 안드로이드 SDK 1.6 이상 버전에서 안정적으로 구동될 수 있으며 설치 시도 시 아래의 그림과 같이 특정 권한 요구 화면을 보여주게 된다.


※ 전체 권한

"android.permission.INTERNET"                     
                                                              
"android.permission.ACCESS_NETWORK_STATE"         
                                                             
"android.permission.MOUNT_UNMOUNT_FILESYSTEMS"    
                                                              
"android.permission.SEND_SMS"                     
                                                              
"android.permission.WRITE_EXTERNAL_STORAGE"       
                                                              
"android.permission.RECEIVE_BOOT_COMPLETED"       
                                                             
"android.permission.RECEIVE_SMS"                  
                                                              
"android.permission.WRITE_SMS"                    
                                                              
"android.permission.READ_SMS"                     
                                                              
"com.android.launcher.permission.INSTALL_SHORTCUT"


또한, 설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.

  

■ 상세 분석

해당 악성 어플리케이션에 대한 설치 과정이 모두 완료된 후 실행되면 아래의 그림과 같은 일부 코드에 의해 추가적인 악성 어플리케이션이 다운로드 및 설치될 수 있다.


※ 추가적인 악성 어플리케이션 다운로드 URL

http://(생략).ku6.(생략)/(생략)/Android_video_201_gen_f001.apk

※ 추가 다운로드 악성 어플리케이션 간략 설명

아래의 그림은 위의 설명과 같이 추가적으로 다운로드 되어 실행될 수 있는 악성 어플리케이션에 대한 실행 화면 및 아이콘이다. 정상 어플리케이션과 상당히 유사하며, 스트리밍 서비스 또한 정상적으로 이루어지고 있다.

◆ 설치 후 실행 화면


◆ 설치 후 생성 아이콘


추가적으로 다운로드될 수 있는 악성 어플리케이션은 조건에 따라 광고 목적을 띄고 해당 악성 어플리케이션의 다운로드가 가능한 링크를 삽입하여 이메일이나 SMS 등을 통해 지인들이게 무작위 발송될 수 있다.

또한, 아래의 일부 코드를 통해 중국의 이동통신(China Mobile)측에 총 6개의 문자 메시지를 사용자 몰래 보낼 수 있다.

 


수신처로 지정되어 있는 특정 번호는 중국 이동통신(China Mobile)의 서비스 번호로서 문자 메시지 발송을 통해 "잔액, 모바일 데이터 확인 등의 각종 조회"가 가능하며, "무료 문자 메시지" 서비스 등을 신청할 수 있다. 이때 무료 문자 메시지 등 다수의 서비스 신청 시 일정 금액의 사용 요금이 매달 결제될 수 있으며, 신청된 무료 문자 메시지 등의 서비스는 자신 뿐만 아니라 다른 사용자도 이용이 가능하다.

위 그림을 통해 "8번" 항목의 메뉴를 문자 메시지 발송을 통해 요청한 것으로 추정되고 있으며, 각 메뉴 선택 시 해당 메뉴의 요청 결과를 문자 메시지로 다시 전달 받아볼 수 있다. 해당 악성 어플리케이션은 이러한 서비스 요청을 사용자 몰래 진행하기 위해 아래의 코드를 통하여 일부 회신되는 문자 메시지를 사용자 몰래 삭제할 수 있다.


위 그림의 적색 박스 부분과 같이 "10"으로 시작되는 발신번호를 가지는 문자 메시지를 BroadcastReceiver를 상속 받아 abortBroadcast()를 통해 모두 사용자 몰래 삭제처리 한다. 이렇게 되면 일반 사용자의 경우 자신의 스마트폰을 통해 특정 서비스 신청 등이 이루어지고 있는 상황을 인지할 수 없게 된다.

이 외에도 아래의 그림과 같이 스마트폰의 Sim카드 시리얼 번호를 수집하여 특정 외부 사이트에 유출 시도를 할 수 있으며,


유출된 정보는 복사 휴대폰 제작 등에 악용될 수 있다. 또한, 특정 코드 등을 통해 네트워크 동작 상태를 실시간으로 체크 후 동작하는 기능을 수행하기도 한다.

3. 예방 조치 방법

현재 안드로이드용 악성 어플리케이션의 경우 정상 어플리케이션으로 위장되어 유포되는 경우가 대부분이며, 이 가운데 재패키징을 통한 유포 기법이 주요 트랜드로 자리매김하고 있는 상황이다. 이러한 악성 어플리케이션은 특성상 일반 사용자들이 악성 여부를 판별하기에는 무리가 따른다. 때문에 안전한 스마트폰 사용을 위해 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android의 진단 현황

 - Trojan-SMS/Android.KuVideoSMS.A
 - Trojan-SMS/Android.KuVideoSMS.B

 


저작자 표시
신고
Posted by nProtect
1. 개 요


얼마전 해외 유명 보안 솔루션 제공 업체인 Trusteer에서 제공중인 모듈로 위장한 악성 어플리케이션이 출현한 바 있다. 최근에 발견되고 있는 모바일 악성 어플리케이션은 유명 업체 등에서 제공하는 어플리케이션으로 위장하는 사례가 급증하고 있으며, 이러한 가운데 유명 Anti-Virus 업체인 Kaspersky에서 제공중인 어플리케이션으로 위장한 악성 어플리케이션이 등장해 이슈가 되고 있다. 이번에 발견된 악성 어플리케이션 역시 기능적인 면에서는 기타 다른 악성 어플리케이션과 마찬가지로 특정 정보에 대한 수집 등의 행위를 수행할 수 있게 구성되어 있다.

[주의]해외 금융 보안 제품으로 위장한 안드로이드용 악성 파일 발견

http://erteam.nprotect.com/164
  

2. 유포 경로 및 감염 증상

이러한 위장형 악성 어플리케이션의 경우 각종 블랙마켓, 3rd party 마켓 등을 중심으로 유포가 이루어질 수 있다. 또한, 해당 악성 어플리케이션의 경우 정상 어플리케이션으로 위장한 형태이기 때문에 일반 사용자가 악성 유/무를 직접 판별하기에는 어려움이 크다는 것이 특징이다.

아래의 분석 설명을 통해 해당 악성 어플리케이션의 감염 후 상세 동작을 살펴보도록 하겠다.

■ 설치 시 증상, 실행 시 감염 증상

해당 악성 어플리케이션에 대한 설치를 진행하면 아래의 그림과 같은 권한 요구 화면을 보여주게 된다.

 

 
※ 전체 권한 설명

android:name="android.permission.BROADCAST_STICKY"

android:name="android.permission.SYSTEM_ALERT_WINDOW"   

android:name="android.permission.INTERNAL_SYSTEM_WINDOW"

android:name="android.permission.ADD_SYSTEM_SERVICE"    

android:name="android.permission.VIBRATE"               

android:name="android.permission.REORDER_TASKS"         

android:name="android.permission.CHANGE_CONFIGURATION"  

android:name="android.permission.WAKE_LOCK"    
         
android:name="android.permission.STATUS_BAR"     
       
android:name="android.permission.ACCESS_WIFI_STATE"     

android:name="android.permission.READ_PHONE_STATE"      

android:name="android.permission.MODIFY_PHONE_STATE"    

android:name="android.permission.DEVICE_POWER"          

android:name="android.permission.DISABLE_KEYGUARD"      

android:name="android.permission.INTERNET"              

android:name="android.permission.WRITE_APN_SETTINGS"    

android:name="android.permission.BROADCAST_WAP_PUSH"    

android:name="android.permission.CHANGE_WIFI_STATE"     

android:name="android.permission.ACCESS_NETWORK_STATE"  

android:name="android.permission.CHANGE_NETWORK_STATE"  

android:name="android.permission.RECEIVE_BOOT_COMPLETED"

android:name="android.permission.READ_SMS"              

android:name="android.permission.RECEIVE_SMS"           

android:name="android.permission.BROADCAST_SMS"         

android:name="android.permission.WRITE_SETTINGS"  
      
android:name="android.permission.ACCESS_WIFI_STATE"     

android:name="android.permission.UPDATE_DEVICE_STATS"   

android:name="android.permission.CHANGE_WIFI_STATE"     

android:name="android.permission.WAKE_LOCK"             

android:name="android.permission.READ_PHONE_STATE"      

android:name="android.permission.WRITE_SECURE"          

android:name="android.permission.WRITE_SECURE_SETTINGS" 

android:name="android.permission.WRITE_EXTERNAL_STORAGE"

android:name="android.permission.PROCESS_OUTGOING_CALLS"

※ 현재 위에서 나열된 권한들은 해당 악성 어플리케이션에서 모두 사용되지 못하고 있다. 이유는 아래의 상세 분석 파트를 통해 살펴볼 수 있다.


또한, 해당 악성 어플리케이션은 위장형 악성 어플리케이션의 특성상 설치 후 정상 Kaspersky 어플리케이션과 유사한 아이콘을 사용하고 있음을 아래의 그림을 통해 확인 할 수 있다.


해당 악성 어플리케이션은 정상 어플리케이션의 아이콘과 매우 유사한 외형의 아이콘을 사용하고 있으며, 아이콘 및 어플리케이션 명 등으로도 육안상 정상/악성 여부 확인이 가능하다.

악성 어플리케이션에 대한 설치 후 위 그림과 같은 아이콘을 선택하여 실행하게 되면 아래의 그림과 같이 활성화 코드가 출력되며, "OK" 버튼을 선택하면 추가적인 증상 없이 해당 어플리케이션은 바로 종료된다.

 

  

■ 상세 분석

악성 어플리케이션이 실행되면 우선 아래의 코드에 따라 해당 스마트폰의 IMEI 정보를 획득하여 일부 정보를 활성화 코드로 위장해 화면에 뿌려주게 된다.


또한, 아래의 일부 코드를 통해 IMEI 뿐만 아니라 IMSI, 전화번호 목록 등의 정보도 수집하게 되며, 미리 설정된 C&C 서버로 해당 정보들을 전송하게 된다.

그림을 클릭하시면 확대된 화면을 보실 수 있습니다.


다만, 위 그림에서 확인할 수 있듯이 C&C 서버로 추정되는 곳의 URL이 로컬영역으로 설정되어 있어 해당 악성 어플리케이션이 수집한 정보들은 외부로 반출될 수 없다. 하지만 추후에 해당 악성 어플리케이션과 연동되어 동작할 수 있는 어플리케이션이 출현하거나 해당 악성 어플리케이션이 완벽한 동작이 가능하도록 재패키징 되어 유포될 경우 해당 악성 어플리케이션에서 수집한 정보들이 외부로 쉽게 전송될 수 있으므로 지속적인 관제가 필요하다.

이외에도 해당 어플리케이션은 아래의 코드와 같이 감염된 스마트폰의 통화 상태 등의 Action을 확인하여 SMS 정보를 수집 하는 기능도 수행할 수 있다.

  

3. 예방 조치 방법

현재 해당 악성 어플리케이션은 내부에 존재하는 악성 코드가 정상적으로 동작할 수 없는 형태이다. 악성 동작을 할 수 있는 메소드가 일부만 호출되어 모두 사용되지 못하고 있기 때문이다. 

다만, 상세 분석 글에서 설명하였듯이 추후 해당 악성 어플리케이션과 함께 연동하여 동작될 수 있는 다른 악성 어플리케이션이 추가적으로 제작되거나 해당 악성 어플리케이션이 완벽히 동작이 가능하도록 재패키징 될 수 있으므로 지속적인 관제가 필요한 상황이다.

위와 같은 악성 어플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

■ 진단 현황

- Trojan-Spy/Android.FakeKav.A




저작자 표시
신고
Posted by nProtect
1. 개 요


최근 안드로이드에 대한 보안 위협이 연일 이슈인 가운데 정상 어플리케이션에 악성 코드를 포함해 재패키징한 형태의 악성 어플리케이션이 지속적으로 출현하고 있어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성 어플리케이션은 특정 정상 게임 어플리케이션에 악성 코드를 포함 후 재패키징하여 다양한 정보 등을 탈취해 외부로 유출할 수 있는 만큼 안드로이드 기반의 OS가 탑재된 스마트폰 사용자들은 이번 글을 참고하여 최근 이슈가 되고 있는 스마트폰 보안 위협에 대해 좀 더 관심과 주의를 기울일 수 있도록 하자.
 

[[자료]Hello Kitty 바탕화면 어플로 위장된 안드로이드 악성 파일]
http://erteam.nprotect.com/171

[주의] 중국 안드로이드 게임으로 위장한 악성 어플 발견
http://erteam.nprotect.com/165

[주의]중국 안드로이드 QQ 게임으로 위장한 악성 어플 발견
http://erteam.nprotect.com/165

2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 "FastRacing" 이라는 안드로이드 게임에 악성 코드를 포함해 재패키징한 형태이며, SDK 1.6 버전 이상을 최소 동작 요구 조건으로 가지고 있다.

설치되면 크게 아래와 같은 악의적인 동작을 수행 할 수 있다.

※ 수행 가능한 악성 동작

 - 단말기 정보 수집
 - 발신/수신 통화 목록 수집
 - SMS 관련 정보 수집(읽기 등)
 - 수집된 정보가 저장된 .txt형태의 로그 파일을 외부 사이트에 전송 시도
 - SMS 송신
 - 사용자 모르게 통화 시도
 - 어플리케이션 설치/삭제
 - 봇 기능 수행
 - 위치 정보 접근


위와 같은 악성 어플리케이션의 경우 블랙마켓, 3rd pary 마켓 등을 중심으로 유포가 이루어질 수 있으며, 설치 시 아래와 같은 권한 요구 화면을 보여주게 된다.


※ AndroidManifest.xml에 포함된 권한 설명

- android:name="android.permission.INTERNET"
 -> 외부 인터넷 사이트와 통신을 수행하기 위한 권한
- android:name="android.permission.VIBRATE"
 -> 휴대폰 진동 제어 관련 권한
- android:name="android.permission.ACCESS_NETWORK_STATE"
 -> 네트워크 통신에 대한 권한
- android:name="android.permission.READ_PHONE_STATE"
 -> 스마트폰 단말기 정보 획득을 위한 권한
- android:name="com.android.vending.BILLING"
 -> 폰빌(휴대폰 결제 등)과 관련한 권한
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
 -> SDcard 등에 정보 저장을 위한 권한
- android:name="android.permission.ACCESS_COARSE_LOCATION"
 -> 개략적인 위치정보(Cell-ID, WiFi)에 접근을 허용하기 위한 권한
- android:name="android.permission.ACCESS_FINE_LOCATION"
 -> 상세한 위치정보(GPS)에 접근을 허용하기 위한 권한
- android:name="android.permission.RECEIVE_SMS"
 -> SMS 수신 관련 권한
- android:name="android.permission.SEND_SMS"
 -> SMS 송신 관련 권한
- android:name="android.permission.READ_SMS"
 -> SMS 읽기 관련 권한
- android:name="android.permission.CALL_PHONE"
 -> 통화 관련 권한
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
 -> 발신 접근 권한
- android:name="android.permission.DELETE_PACKAGES"
 -> 어플리케이션 삭제 관련 권한
- android:name="android.permission.INSTALL_PACKAGES"
 -> 어플리케이션 설치 관련 권한
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
 -> 재부팅 후 자동 실행 등 백그라운드 동작을 위한 권한


설치가 완료되면 아래의 그림과 같이 정상적으로 게임이 실행되어 일반 사용자들은 자신들의 스마트폰에 대한 악성 어플리케이션 감염 여부를 육안상으로 판별하기 어렵다.

 

■ 백그라운드 상태에서 수행되는 악성 동작 정밀 분석

설치가 완료됨과 함께 해당 악성 어플리케이션은 아래의 설명들과 같이 다양한 악성 동작을 수행하게 된다.

▶ 단말기 정보 수집

아래의 그림은 주요 키값 등의 조건에 따라  스마트폰 단말기의 IMEI, IMSI 등의 정보를 수집할 수 있는 코드의 일부분이다.


▶ 발신/수신 통화 목록 수집

아래의 그림은 악성 어플리케이션이 스마트폰 내의 발신/수신된 번호를 수집하는 과정을 보여주는 코드의 일부분이다.


위 그림에서 빨간색 선 부분의 권한을 기반으로 발신/수신 번호를 수집하여 "zjphonecall.txt" 파일에 모두 저장한다. 수신 번호의 경우 관련된 다른 Bean 클래스 단위와의 조건 여하에 따라 통화 목록을 저장하게 된다.

▶ SMS 관련 정보 수집

아래의 그림은 SMS 정보 수집과 관련한 코드의 일부분 이다.


SMS 발신자 번호, 수신 후 표시 번호, 본문 내용 등이 모두 수집되어 "zjsms.txt"파일에 저장된다.

▶ 수집된 정보가 저장된 .txt 형태의 로그 파일을 외부 사이트에 전송

아래의 그림은 수집된 SMS, 통화목록 등의 정보가 저장된 파일을 특정 사이트로 전송하기 위한 코드의 일부분 이다.

 

그림을 클릭하시면 확대된 화면을 보실 수 있습니다.


왼쪽 상단의 그림에서 빨간색 박스 부분은 수집된 정보가 저장된 파일이 존재하는 절대 경로이며, 파란색 박스 부분은 수집된 정보가 저장된 파일이 업로드될 URL 경로 이다. 해당 경로는 각 레퍼런스 값들이 합쳐져 생성된다.

▶ SMS 송신

아래의 그림은 수집된 SMS 정보들을 백그라운드 상태에서 송신하기 위한 코드의 일부분 이다.


▶ 사용자 모르게 통화 시도

아래의 그림은 악성 어플리케이션이 사용자 몰래 통화를 시도하는 부분과 관련한 코드의 일부분 이다.


위 그림의 파란색 박스 부분에서 사용자 몰래 통화를 시도하기 위한 레퍼런스를 참조 후 빨간색 박스 부분을 통해 통화 관련 기능을 구현하고 있다.

▶ 어플리케이션 삭제/설치

아래의 그림은 특정 어플리케이션에 대한 삭제 및 설치를 진행할 수 있는 코드의 일부분 이다.


특정 어플리케이션에 대한 삭제 및 설치를 진행함에 있어 기존의 악성 어플리케이션들과 다르게 별도의 루팅 기능이 존재하지 않는 것이 특징이다. 이부분은 내부에 로그 파일을 생성하는 부분도 마찬가지 이다.

▶ 봇 기능 수행

봇 기능은 DDoS 당시 많이 알려진 좀비 PC 개념을 생각하면 이해하기 쉽다. 명령을 내릴 수 있는 C&C(Command and Control)서버로 부터 특정 명령을 전달받아 해당 명령을 실행하는 것을 의미하는데 해당 악성 어플리케이션은 Receiver로 등록되는 Bean 객체가  BroadcastReceiver 상속 받아 봇 기능을 수행하게 된다. 이때,  BroadcastReceiver를 상속받아 수행하는 세부 기능들이 있는데 바로 위에서 설명한 "수집된 모든 정보를 로그로 저장해 외부 사이트에 전송, SMS 송신, 사용자 모르게 통화 시도, 어플리케이션 설치/삭제" 4가지의 악성 기능들이 그것이다.

또한, 해당 악성 기능들은 사용자 몰래 동작하기 위해 Service 클래스를 상속받아 동작하게 된다.

▶ 위치 정보 접근

아래의 그림은 위치 정보 접근과 관련한 코드의 일부분 이다.


위 그림의 빨간색 줄과 같은 권한과 클래스 등을 이용해 상세 위치 정보에 대한 접근이 가능하며, 봇 기능과 연계하여 악용될 가능성이 있다.

3. 예방 조치 방법

위와 같이 재패키징 형태를 취하는 악성 어플리케이션의 경우 일반 사용자들은 악성 여부를 육안 상으로 판별하기가 매우 어려우며, 향후 지속적으로 출현해 보안 위협으로 작용할 가능성이 높다. 이러한 악성 어플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.



저작자 표시
신고
Posted by nProtect

1. 개 요


전 세계적인 인기를 누리고 있는 안드로이드 스마트 폰용 게임인 "앵그리 버드 리오(Angry Birds Rio) Unlocker 프로그램 파일에서 안드로이드용 악성파일이 발견"되어 스마트폰 게임 사용자들의 각별한 주의가 요망된다. "잉카인터넷 대응팀에서는 거의 매일 새로운 외산 악성 안드로이드 악성 파일을 수집, 대응하고 있을 정도로 양적으로도 크게 증가하고 있는 추세이다."앵그리 버드의 경우 국내에도 게임 사용자가 많고, 언락 프로그램도 인터넷 커뮤니티 등에서 공공연하게 공유가 이루어지고 있어 안드로이드 폰 사용자들은 최신 스마트폰 백신을 통한 보안 강화가 절실히 요구된다.

  

※ Angry Birds 란?

국내에서도 선풍적인 열풍이 불고 있는 앵그리버드는 지난 2009년 아이폰용으로 처음 출신된 이래 전 세계적으로 약 7천 500만 건 이상, 매월 사용자 약 4천만 명 이상을 기록하고 있는 안드로이드 폰 최고의 인기게임이다.

게임의 내용은 자신의 알을 도둑맞은 성난 새들이 알을 훔쳐간 돼지들을 향해서 돌진, 격파한다는 심플한 내용이며, 앵그리 버드 시즌(Angry Birds Season), 앵그리 버드 리오(Angry Birds RIO) 등 후속 시리즈 등이 개발됐다.

SK 텔레콤의 경우 지난 5월 경 앵그리버드의 개발사인 핀란드의 로비오와 계약을 맺고 T스토어를 통해서 앵그리 버드, 앵그리버드 시즌, 앵그리버드 리오 등 앵그리버드의 전 시리즈를 무료로 서비스한다고 밝힌 바 있으며, LG전자 역시 로비오와 제휴를 맺고 앵그리버드 리오 게임 콘텐츠를 스마트 폰에 최초로 사전 탑재하고 다양한 마케팅을 펼치고 있다.

최근에 아래 내용처럼 안드로이드용 게임으로 위장한 악성 파일이 지속적으로 발견되고 있으므로, 컴퓨터용 악성파일 뿐만 아니라 안드로이드 스마트폰 용 악성 파일도 증가하고 있다는 것을 인식하고 보안 경각심을 가지는 것이 중요한 시기이다.

[주의]중국 PPXIU 게임으로 위장한 안드로이드용 악성 파일 발견
http://erteam.nprotect.com/167

[주의]중국 안드로이드 QQ 게임으로 위장한 악성 어플 발견
http://erteam.nprotect.com/165

2. 유포 경로 및 감염 증상

■ 앵그리 버드 리오 언락 파일처럼 위장한 악성 파일

이번에 발견된 안드로이드용 악성파일은 Angry Birds Rio Unlocker 파일처럼 위장한 형태로 발견되었으며, 설치되는 과정은 다음과 같다.


 

 


설치가 완료되면 다음과 같은 아이콘이 생성되고, 실행이 되면 Angry Bird Rio 가 설치되어 있지 않은 상태에서 "Game not found" 라는 안내 문구가 보여진다.




 Angry Bird Rio 게임이 설치되어 있는 경우에는 다음과 같은 Unlocker 기능이 정상적으로 수행된다.



악성 파일은 Unlock 기능이 수행되면서 백그라운드로 악의적으로 필요한 서비스를 실행하며, Device ID, SDK 버전 등과 같은 정보를 탈취하여 Remote Server 로 전송을 시도하며, 또 다른  악성 어플 등을 설치할 수 있는 것으로 추정되며, 정밀 분석을 진행 중에 있다.

Unlock 기능은 정상적으로 수행이 가능하기 때문에 사용자들은 악의적인 기능이 몰래 수행되는 것을 인지하기 어렵다. 아래 화면은 Unlocker 기능이 수행된 후 실제 게임의 화면이며, 미션 잠금 기능이 정상적으로 해제된 것을 확인할 수 있다.


nProtect Mobile for ANDROID 제품에서는 Trojan-Spy/Android.FakeABRUnlocker.A 라는 진단명으로 탐지된다. 또한, 버전이 다른 앱을 조작하여 만든 악성 변종 샘플도 추가로 발견하였고, 잉카인터넷 안드로이드 보안 제품에서는 동일한 진단명으로 진단하고 있다.

3. 예방 조치 방법


일반 사용자들은 아래의 "스마트폰 보안 관리 수칙"을 준수하는 등 스스로 관심과 주의를 기울이는 것이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 

 


저작자 표시
신고
Posted by nProtect

1. 개 요


미국의 주요 금융권을 중심으로 서비스되고 있는 "금융 보안 제품으로 위장된 안드로이드용 모바일 악성 파일이 발견" 되어 사용자들의 각별한 주의가 요망되고 있다. SMS 등의 탈취를 목적으로 하는 이번 악성 어플리케이션은 기존의 악성 어플리케이션들과 기능상의 큰 차이는 없지만 해외 금융 보안 솔루션 제품과 유사한 아이콘 및 파일명으로 교묘하게 위장되어 있다는 점이 특징이다. 국내에는 아직까지 유입된 사례가 없는 것으로 파악되고 있지만 이번 글을 통해 해당 악성 어플리케이션에 대해 살펴본 후 혹시 있을지 모를 피해에 미리 대비할 수 있도록 해 보자.

  

최근들어 nProtect 시큐리티 대응센터/대응팀 보안 관제 중 안드로이드용 악성파일이 지속적으로 발견/입수되고 있어, 앞으로 안드로이드용 보안 강화에 많은 관심과 지속적인 노력이 필요할 것으로 보여진다.

※ 다양한 형태의 안드로이드용 모바일 악성 어플리케이션에 의한 보안 위협

[2중 패키징된 안드로이드용 악성 어플리케이션 등장]
☞ 
http://erteam.nprotect.com/163

[스마트폰 보안 위협의 증대]
http://erteam.nprotect.com/149

[사용자 정보를 겨냥한 안드로이드 악성 앱 출현]
http://erteam.nprotect.com/123

[새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요]
http://erteam.nprotect.com/122

[사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의]
http://erteam.nprotect.com/98

[스마트폰 GPS 기능은 양날의 칼과 같다]
http://erteam.nprotect.com/25

[안드로이드용 모바일 악성프로그램 FakePlayer 변종 해외 등장!]
http://erteam.nprotect.com/18


※ 위장에 사용된 해외 유명 보안 솔루션 제공 업체

  - http://www.trusteer.com/

 
※ 안드로이드용 금융 보안 제품 서비스로 위장된 내용

a. 아이콘

아래의 그림과 같이 해외 보안 솔루션 업체와 유사한 아이콘을 사용하고 있다.


b. 제품명

아래의 그림과 같이 해외 보안 솔루션 업체의 제품명과 동일한 제품명을 사용하고 있다.


위 그림의 "악성 어플리케이션 사용 제품명" 부분을 살펴보면 영문으로 "bank website" 에 활성화를 위한 키값 입력을 요구 하는 등 지능적인 사기 수법을 사용하고 있다.

  

2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 정상 어플리케이션에 악성 기능이 추가된 재패키징 형태는 아니다. 이러한 단독적인 악성 어플리케이션의 경우 안드로이드 마켓 보다는 블랙 마켓이나 3rd party 마켓 등을 통해 유포가 이루질 가능성이 크다.

해당 어플리케이션은 아래와 같은 권한 요구 사항을 가지고 있다.


※ 설치 수행 권한(Permission) 설명

ㄱ. android.permission.RECEIVE_SMS
  - SMS 등의 메시지 수신을 받아오기 위한 권한

ㄴ. android.permission.INTERNET
  - 외부 인터넷 사이트와 통신을 수행하기 위한 권한

ㄷ. android.permission.READ_PHONE_STATE
  - 휴대폰 단말기기 정보 등을 획득하기 위한 권한


설치를 진행하면 위의 설명과 같은 권한 요구 코드를 바탕으로 아래의 그림과 같은 권한 관련 UI를 보여주게 된다.

 


그대로 "설치" 버턴을 클릭하면 아래의 그림과 같은 실행 화면을 볼 수 있다.

 


위 그림에서 모자이크 처리된 부분은 "감염된 휴대폰의 IMEI 값" 이다.

※ 단말기 고유 번호 정보

 - IMEI(International Mobile Equipment Identity) : 단말기 고유 번호
 - IMSI(International Mobile Subscriber Identity) : USIM 고유 번호

아래와 같은 내부 코드를 이용해 위 그림과 같은 IMEI 값을 실행 화면에 출력하고 있다.


또한, 해당 악성 어플리케이션은 내부에 존재하는 아래와 같은 코드를 이용해 SMS, IMEI 값을 탈취하는 기능을 수행한다. 


위 설명과 같이 탈취된 SMS, IMEI 값은 아래의 코드를 통해 특정 사이트로 전송 시도 될 수 있다.


3. 예방 조치 방법

위와 같은 악성 어플리케이션은 유명한 해외 금융 보안 솔루션 제품으로 위장하고 있어 경우에 따라 사용자로 하여금 금전적 손실을 불러올 수 있는 등 충분히 위험성을 갖춘 악성 어플리케이션이라 할 수 있다.


다만, 현재 탈취된 정보를 전송받는 사이트가 차단되어 있어 추가적인 피해는 없겠으나 이와 유사한 악성 어플리케이션은 얼마든지 출현할 수 있다. 때문에 아래와 같은 "모바일 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션(Trojan-Spy/Android.FakeTr.A)에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
Posted by nProtect
1. 개 요


최근 Android용 모바일 악성 어플리케이션의 유포가 어느때보다 활발히 이루어지고 있다. 이러한 가운데 선정적인 제목 등을 이용해 사용자들에게 다운로드를 유도하는 악성 어플리케이션이 등장하여 각별한 주의를 요망하고 있다. 이번에 발견된 악성 어플리케이션은 공통적으로 휴대폰 단말기 정보 등을 취득하는 기능이 포함되어 있다.

[Update: Security Alert: DroidDreamLight, New Malware from the Developers of DroidDream]
http://blog.mylookout.com/2011/05/security-alert-droiddreamlight-new-malware-from-the-developers-of-droiddream/

[New DroidDream Variant Found on Android Phones]
http://www.f-secure.com/weblog/archives/00002170.html

국내에서는 아직까지 위와 같은 모바일 악성 어플리케이션으로 인한 특별한 피해 사례가 없으므로 크게 이슈화되지는 않고 있다. 다만, 최근 스마트폰의 사용범위가 각종 금융 거래를 포함해 매우 다양한 분포가 이루어지고 있는 만큼 이번 글을 통해 모바일 보안 위협에 대해 다시한번 생각해보고 혹시 있을지 모를 피해에 대비할 수 있는 시간을 갖도록 하자.


2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 안드로이드 마켓을 통해 유포되고 있었으나 현재는 다운로드 및 설치가 불가능하다. 다만, 안드로이드용 어플리케이션 배포의 특성상 블랙마켓, 3rd party 마켓 등을 통해서도 유포가 가능하니 이점 또한 참고할 수 있도록 하자.
  

해당 악성 어플리케이션은 아래와 같이 선정적인 제목 등으로 유포되기 때문에 일반 사용자들의 경우 쉽게 현혹되어 다운로드 및 설치를 진행할 수 있다.

 


※ 추가적으로 유포된 동일한 악성 어플리케이션

  - Sexy Girls: Hot Japanese
  - Sex Sound
  - HOT Girls 1
  - HOT Girls 2
  - HOT Girls 4
  

위와 같은 악성 어플리케이션들은 모두 아래와 같은 권한 설정 코드를 가지고 있다. 

 
해당 악성 어플리케이션에 대한 설치를 진행하면 위 그림의 권한 관련 코드로 인해 아래의 그림과 같은 권한 요구 화면을 볼 수 있다.

 
위 설명의 모든 과정을 거치게 되면 설치는 완료가 되고, 해당 악성 어플리케이션들은 실행시 각각 아래의 그림과 같은 선정적인 이미지를 사용자에 제공한다.

 


해당 악성 어플리케이션들은 최종적으로 아래의 코드를 기반으로 스마트폰의 "IMEI/IMSI 값", "단말기에 설치되어 있는 OS 버전", "설치되어 있는 모든 어플리케이션 정보" 등과 같은 스마트폰 단말기 정보를 취득할 수 있게 된다.

클릭하실 경우 확대 이미지 확인이 가능합니다.

 
다만, 현재까지 분석된 바로는 아래와 같은 구문을 통해 "통화 상태" 등의 휴대폰 이벤트 상태가 변경될 경우에 정상적(?)으로 단말기 정보 탈취 등의 악성 동작을 하는 것으로 파악되고 있다.

클릭하실 경우 확대 이미지 확인이 가능합니다.


3. 예방 조치 방법

위와 같은 안드로이드용 모바일 악성 어플리케이션은 선정적 제목 등을 사용하기 때문에 일반 사용자의 경우 쉽게 다운로드 및 설치 등을 하게되는 취약점(?)아닌 취약점을 가질 수 있게 된다. 최근과 같이 스마트폰을 통해 각종 결제 등의 금융 거래 사용이 활발해질 경우 편의적인 측면과 보안 위협은 서로 비례 관계를 가질 수 밖에 없다. 따라서 이러한 보안 위협으로 부터 안전하기 위해서는 사용자 스스로 아래와 같은 "모바일 보안 관리 수칙"을 준수하는 등의 관심과 노력이 무엇보다 중요하다 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 




저작자 표시
신고
Posted by nProtect

1. 개 요


최근 해외 보안 블로그를 통해 새로운 안드로이드용 모바일 트로이목마에 대한 보고가 있었다. 해당 트로이 목마는 정상 어플리케이션에 악의적 동작을 수행할 수 있는 악성코드를 삽입해 재 패키징하는 등 일전에 게재하였던 "Geinimi"와 유사한 제작 방법을 사용하는 것으로 알려졌다. 이 경우 블랙마켓 등을 통해 어플리케이션을 다운로드하는 사용자들을 중심으로 쉽게 해당 악성 어플리케이션에 대한 다운로드 및 감염이 이루어질 수 있다.

[ 참고 : 사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의 ]
http://erteam.nprotect.com/98

[ 참고 : New Android Trojan "ADRD" Was Found in the Wild by Aegislab ]
http://blog.aegislab.com/index.php?op=ViewArticle&articleId=75&blogId=1

[ 참고 : Samsung Galaxy S live wallpapers hacked onto other phones ]
http://www.androidcentral.com/samsung-galaxy-s-live-wallpapers-hacked-nexus-one

2. 감염 경로 및 증상

국내 제조사의 스마트 폰을 통해 제공되는 정상 어플리케이션(Dandelion Live Wallpaper)을 대상으로 변조를 위해 악의적 목적을 가지는 악성코드를 포함해서 재 패키징 과정을 거친 후 블랙마켓 등을 통해 유포되고 있다. 해당 악성 어플리케이션은 "ADRD"라고 명명되고 있으며, 설치 후 특별한 아이콘은 보이지 않는다.

※ 정상 어플리케이션(Dandelion Live Wallpaper) 다운로드 경로

  - http://www.livewallpapers.org/dandelion-424/

해당 악성 어플리케이션은 아래의 그림과 같이 정상 어플리케이션과 동일한 Wallpaper 디스플레이를 가지고 있다.


아래는 악성과 정상 어플리케이션의 설치화면에 대한 비교 그림이다.

             <악성 어플리케이션 설치 시 권한 부여 화면>              <정상 어플리케이션 설치 시 권한 부여 화면>

위 그림을 살펴보면 악성과 정상 어플리케이션 간 "개인정보"를 제외한 나머지 권한 부분에서 차이를 보이고 있다. 또한, 아래의 그림에서는 악성과 정상 어플리케이션 간 설치 후 사이즈의 차이점을 확인할 수 있다.

                <악성 어플리케이션 설치 후 사이즈 화면>                 <정상 어플리케이션 설치 후 사이즈 화면>

해당 악성 어플리케이션에 감염되면 아래와 같은 감염 증상을 보이는 것으로 알려졌다.

※ 감염 증상

  ㉠ 원격지에서의 명령 전달
  ㉡ 감염 스마트 폰 단말기에서 IMEI/IMSI 정보 수집
  ㉢ 특정 사이트에 대한 접근 등을 수행
     - http://adrd.zt.cw.4
     - http://adrd.xiaxiab.com/pic.aspx
     - http://adrd.taxuan.net/index.aspx

※ IMEI (International Mobile Equipment Identity)
  - 단말 제조사, 모델, 시리얼 넘버 등 단말기의 고유 정보를 담고 있다.

※ IMSI (International Mobile Subscrilber Identity)
  - USIM에 내장되어 있으며, 이동통신사 가입자의 개인 식별 정보를 담고 있다.

3. 예방 조치 방법

많은 스마트 폰 사용자들은 각자 다양한 어플리케이션들을 손쉽게 설치하고 사용한다. 이렇게 편리하고 다양한 어플리케이션들이 생산되면서 정보 탈취 등의 악의적인 목적을 지닌 어플리케이션 또한 우후죽순으로 제작되고 있다. 최근 손쉽게 업로드하고 다운로드가 가능한 블랙마켓 등을 통해 이러한 악성 어플리케이션 유포 사례가 늘어나고 있는 만큼 사용자들은 각자 보다 안전한 스마트 폰 사용을 위해 ▶신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 설치하여 최신 패턴 버전으로 업데이트해 사용하는 것과 동시에 ▶여러 사람들을 통해 검증된 어플리케이션에 대해 선별적으로 다운로드하는 등의 관심을 가지는 것이 무엇보다 중요하다.

※ 잉카인터넷 대응팀에서는 이러한 모바일 보안 위협에 대비하기 위해 24시간 지속적인 관제 대응체계를 유지하고 있으며, 아래의 그림과 같이 nProtect Mobile for ANDROID 제품군을 통해 해당 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
Posted by nProtect