1. 개 요


현재까지 발견되었던 안드로이드 악성 애플리케이션의 경우 대부분 중국 및 러시아 스마트폰 사용자들을 대상으로 제작 및 유포가 이루어지고 있었다. 그러나 최근 해외 보안 블로그를 통해 지금까지 별다른 감염 사례가 없었던 유럽의 다양한 국가들을 대상으로한 안드로이드 악성 애플리케이션 출현이 보고되어 화제가 되고 있다. 물론 해당 악성 애플리케이션의 기능 자체는 여타 다른 악성 애플리케이션의 기능과 별다른 차이점은 없으나, 그 감염 대상이 특정 국가를 벗어나 새로운 대상으로 옮겨갔다는 것이 주목할 필요가 있다.

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션 또한, 지금까지의 안드로이드 악성 애플리케이션과 다를바 없이 블랙마켓 및 3rd Party 마켓 등을 통해 유포가 이루어지고 있다.

해당 악성 애플리케이션을 설치 시도할 경우 아래의 그림과 같이 특정 권한 요구 화면을 보여줄 수 있다.

 
※ 전체 권한

- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.USE_CREDENTIALS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.ACCESS_GPS"
- android:name="android.permission.ACCESS_LOCATION"


해당 악성 애플리케이션의 경우 위의 전체 권한과 같이 여러가지 권한을 포함하고 있으나, 설치 시는 위 그림과 같이 두개의 권한만을 보여주게 된다.

또한, 설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같은 아이콘을 가지게 되며, 실행 시 아래의 그림과 같은 특정 메시지를 화면상에 출력하게 된다.
  

▶ 실행 아이콘


▶ 실행 화면

  

해당 악성 애플리케이션은 실행 시 위 그림과 같이 특정 메시지를 출력하는것 이외에는 별다른 동작을 하지 않는다. 다만, 내부 코드를 들여다 보면 해당 메시지 출력외에 아래와 같은 악성기능 동작을 확인할 수 있다.

※ 악성 동작

- 사용자 몰래 SIM카드의 국가 코드를 통해 특정 조건에 맞추어 프리미엄 SMS 과금 서비스 이용


위와 같은 악성동작을 하기위해 악성 애플리케이션은 내부에 한개의 리시버(SMSReceiver)를 등록하고 있으며, 높은 우선순위 책정을 통해 항상 동작될 수 있게 설정되어 있다.
  

▶ 해당 리시버는 아래와 같은 특정 Action이 발생할 시 동작된다.

※ 체크 항목

- "android.provider.Telephony.SMS_RECEIVED"

  

악성 애플리케이션이 실행되면 우선 위의 실행화면과 같이 특정 메시지("ERROR: Android version is not compatible")를 무조건적으로 출력하게되며, 해당 스마트폰의 SIM카드에서 국가코드에 대한 정보를 수집하게된다.

악성 애플리케이션은 내부에 아래의 일부 코드와 같이 "프랑스, 벨기에, 스위스, 룩셈부르크, 캐나다, 독일, 스페인, 영국" 등 8개국에 대한 국가코드 정보를 담고 있으며, 특정 조건과 일치할 경우 해당 국가별 프리미엄 SMS 번호로 서비스 사용을 위한 SMS 발송을 사용자 몰래 시도하게 된다.
  

▶ 국가코드와 관련한 조건 체크 코드


▶ 국가코드 조건 체크 후 프리미엄 SMS 발송 코드

  

위 과정을 통해 사용자 몰래 프리미엄 SMS가 발송되면, 해당 프리미엄 서비스 측에서는 요청된 사항에 대해 SMS형태로 해당 스마트폰에 답신을 하게된다. 이때, 악성 애플리케이션에 등록된 리시버는 수신되는 SMS를 체크하여 아래의 코드와 같이 특정 조건을 충족할 경우 프리미엄 서비스 측에서 받은 SMS를 특정 전화번호(0646112264)로 다시 포워딩한 후 포워딩한 전화번호(0646112264)를 통해 수신받는 SMS를 모두 삭제처리 한다.


위와 같은 동작이 수행될 경우 프리미엄 서비스 측에서 수신받는 SMS는 모두 삭제가 이루어지기 때문에 사용자는 이러한 일련의 악성 동작을 인지할 수 없게된다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 기존에 발견되었던 SMS Send 관련 악성 애플리케이션과 기능자체는 별다른 차이점이 없다. 다만, 공격 대상이 더이상 러시아, 중국 등의 특정 국가만의 사용자가 아닌 다양한 국가의 사용자들을 대상으로 하였다는 점이 주목할만하다.

이러한 추세가 이어진다면 유럽 및 특정 국가 뿐만 아니라 다양한 형태의 공격기법을 통해 세계 각국의 스마트폰 사용자들을 대상으로 유포가 이루어질 수 있다. 지속적으로 출현하고 있는 여러가지 악성 애플리케이션에 감염될 경우 금전적 손실 등 다양한 피해를 유발할 수 있으므로, 사용자들은 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 안전한 스마트폰 사용을 위한 최선의 방법이 될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 스마트폰의 관리 목적을 가지고 사용될 수 있는 형태로 위장된 안드로이드 악성 애플리케이션이 발견되어 해외에서 이슈
가 되고 있다. 해당 악성 애플리케이션은 감염될 시 사용자의 특정 정보를 수집할 수 있으며, 외부로 유출 또한 시도를 할 수 있으므로 사용자들의 각별한 주의가 요망되고 있다. 최근 안드로이드 운영체제의 스마트폰 OS 시장 점유율이 늘어나면서 관련한 애플리케이션이 우후죽순적으로 늘어남에 따라 이를 이용한 악성 애플리케이션 유포 또한 기승을 부리고 있다. 사용자 스스로의 선별적 다운로드 자세가 요구되고 있는 시점이다.

  

2. 감염 증상

해당 악성 애플리케이션은 해외를 중심으로 유포되고 있으며, 설치 시 아래의 그림과 같이 특정 권한 등을 요구하게 된다.


※ 전체 권한

- android:name="android.permission.GET_TASKS"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.BLUETOOTH"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.GET_ACCOUNTS"


해당 악성 애플리케이션은 설치가 완료되면 아래와 같은 아이콘을 가지게 되며, 해당 아이콘을 통해 애플리케이션을 실행하게 되면 아래의 그림과 같은 스마트폰 관리 애플리케이션으로 위장된 화면을 보여주게 된다.
  

■ 아이콘 화면


■ 실행 화면

  

위와 같은 설치 과정 및 실행이 모두 완료되면 해당 애플리케이션은 아래와 같은 악의적인 동작을 수행하게 된다.

※ 악의적인 동작

- 스마트폰 단말기 기기정보 수집
- 사용자의 이름 및 이메일 계정 정보 수집
- 수집된 정보의 외부 유출 시도


  ▶ 스마트폰 단말기 기기정보 수집

해당 악성 애플리케이션은 아래의 일부 코드를 통해 IMEI, 단말기 제조사, 모델 등의 정보를 수집하게된다.


수집된 정보는 위의 일부 코드와 같이 MD5 해쉬화 과정을 통해 암호화 되어 외부로 유출 시도 된다.

  ▶ 사용자의 이름 및 이메일 계정 정보 수집

해당 악성 애플리케이션은 아래의 일부 코드를 통해 사용자의 이름 및 구글 등 이메일 계정에 대한 수집 과정을 진행하게 된다.


  ▶ 수집된 정보의 외부 유출 시도

또한, 해당 악성 애플리케이션은 위와 같이 수집된 정보들을 아래의 특정 URL을 통해 외부로 유출 시도를 진행할 수 있다.

※ 외부 유출 시도 URL

☞ http://push.(생략).com/push(생략)
  

3. 예방 조치 방법

위와 같이 정상 애플리케이션으로 위장된 형태의 악성 애플리케이션은 일반 사용자의 경우 육안상으로 악성 여부를 쉽게 판단하기가 어렵다. 나날이 민감해지고 있는 개인 정보의 유출과 관련해 안전한 스마트폰 사용을 위해서는 아래의 "스마트폰 보안 관리" 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

 - Trojan-Spy/Android.FakeBatteryDoctor.A




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요
 
최근에 유포되고 있는 안드로이드 악성 애플리케이션의 경우 대부분 SMS에 대한 Read, Write 등의 기능을 포함하고 있다. 하지만 이번에 확인된 안드로이드 악성 애플리케이션의 경우 감염되면 SMS 프리미엄 서비스 사용 과금을 유발해 사용자에게 금전적 피해까지 줄 수 있는 기능이 포함되어있어 각별한 주의를 요망하고 있다. 이와 같은 대부분의 악성 애플리케이션의 경우 악성 기능 동작에 대해 사용자가 인지할 수 없도록 다각적인 방법(?)을 이용하기 때문에 사용자 입장에서는 지속적인 패해를 입을 수 있다.
  

2. 유포 경로 및 감염 증상

위와 같은 악성 애플리케이션은 제작 시 중국 사용자들을 대상으로 하였음이 추정 되고있으며, 현재까지 국내에서는 특별한 피해 사례가 나타나지 않고 있다.

해당 악성 애플리케이션은 각종 블랙마켓, 3rd Party 마켓 등을 통해 유포될 수 있으며,  다운로드 후 설치 시 아래와 같은 권한 요구 화면을 출력할 수 있다.


※ 전체 권한

- android:name="android.permission.INTERNET"

- android:name="android.permission.ACCESS_NETWORK_STATE"

- android:name="android.permission.RECEIVE_SMS"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.RECEIVE_BOOT_COMPLETED"

설치가 모두 완료되면 아래의 그림과 같이 실행 아이콘이 생성된다.
 


또한, 해당 실행 아이콘을 누르면 아래의 그림과 같은 실행 화면을 볼 수 있다.


■ 상세 분석

해당 악성 애플리케이션은 아래와 같은 감염 증상을 유발할 수 있다.

※ 감염 증상

- 프리미엄 서비스 사용 비용을 유발하는 SMS 발신
- 특정 전화번호 발신의 SMS 수신 차단
- IMSI 수집
- 위치 정보 수집
- 수집된 정보의 외부 유출 시도
- 백그라운드 상태에서 동작 가능

해당 악성 애플리케이션은 아래의 일부 코드를 통해 프리미엄 서비스 사용 비용을 유발할 수 있는 전화번호에 대한 파싱 작업을 진행하며, 파싱된 전화번호로 SMS를 발신하게 된다. 또한, 발송되는 SMS의 내용 부분도 아래의 코드를 통해 함께 파싱되어 전송된다.


※ 프리미엄 요금을 부과하는 기타 악성 애플리케이션

[주의]중국 PPXIU 게임으로 위장한 안드로이드용 악성 파일 발견
http://erteam.nprotect.com/167

또한, 위와 같은 해당 문자를 발신하게 되면 선택한 메뉴에 대한 회신을 SMS 형태로 받을 수 있다. 이 과정에서 아래의 일부 코드를 통해 SMS를 회신하는 전화번호를 파싱 후 해당 전화번호로 전송 받을 수 있는 수신 이벤트 발생전 삭제하는 방법을 통하여 해당 SMS 회신을 차단할 수 있다.


※ 특정 전화번호 서비스의 SMS 회신을 차단하는 악성 애플리케이션

[주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견
http://erteam.nprotect.com/181

해당 악성 애플리케이션은 아래의 일부 코드를 통해 IMSI 정보를 수집할 수 있으며, 수집된 정보는 특정 외부 사이트로 유출 시도 될 수 있다.


위의 코드에서 특정 외부 사이트에 대한 URL을 다른 Class 소스를 통해 읽어드린 후 나머지 URL에 대한 부분을 완성시켜 수집된 정보에 대한 유출 시도를 할 수 있도록 한다.

이밖에도 해당 악성 애플리케이션은 getLatitude(), getLongtitude() 등의 메소드 구현을 통해 위도와 경도 정보 수집 방법을 이용하여 사용자의 위치정보를 수집할 수 있다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 SMS에 대한 발신 및 수신 처리, 위치정보 수집 등에 대한 모든 악성 기능을 사용자 몰래 동작 시킬 수 있으며 해당 악성 기능 동작으로 인해 사용자는 이용 요금 부과 등의 금전적 손실을 입을 수 있다. 이러한 모바일 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법일 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.LoveTrap.A



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect