1. 문자메시지를 훔치는 한국형 스파이앱(SpyApp) 탄생


2013년 02월 15일 마치 삼성전자(☎1588-3366)에서 발송한 문자메시지(SMS)처럼 발신자를 사칭하고, 애플리케이션 실행속도 관련 최신 업그레이드 내용과 같은 문구로 사용자를 현혹한 후 악성앱(Androicall.apk)을 설치시도한 형태가 보고되었다. 그와 별개로 롯데시네마의 요금 인상전 무료영화권 쿠폰발급 내용처럼 위장된 악성앱(LotteCinema.apk)도 추가 보고되었는데, 두 가지 악성앱 모두 공통적으로 안드로이드 기반 스마트폰에 수신된 문자메시지(SMS)를 감시하고 수집하며, 외부로 무단 유출시도하는 사생활 침해 및 개인정보 탈취 기능을 수행하고 있는 것으로 파악되었다. 잉카인터넷 대응팀은 해당 악성앱에 대한 탐지 및 치료 기능을 nProtect Mobile for Android 제품에 [Trojan/Android.KRSpyBot] 대표 진단명으로 긴급 업데이트하였다.

기존에 국내 이용자를 겨냥한 맞춤형 안드로이드 기반의 악성앱은 크게 3가지 형태로 분류할 수 있는데, 소액결제 승인문자를 은폐시키고, 갈취하는 소액결제사기형태, 모바일 디도스 기능을 수행할 수 있는 좀비 스마트폰용 사이버공격형태, 스마트뱅킹 앱으로 위장한 금융 피싱사기형태 등이다. 이번에 보고된 형태는 민감할 수 있는 문자메시지의 개인정보를 몰래 훔쳐갈 수 있다는 점에서 개인정보 유출 및 사생활침해형태로 분류할 수 있고, 점차 한국 맞춤형 안드로이드 사이버 보안위협이 다양한 범죄형태로 진화하고 있다는 것을 증명하고 있다.



#Update 02 (2013년 02월 20일)
잉카인터넷 대응팀에는 안드로이드 스마트폰 문자메시지를 훔쳐가는 변종이 2건 추가 발견되었다.

[긴급]누군가 내 스마트폰을 통해 일거수일투족을 몰래 훔쳐본다?
http://erteam.nprotect.com/395

[SBS 현장 21]'충격' 스마트폰 도청 실태
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001640852

[머니투데이]스마트폰 업데이트하니... "헉 내 메세지가"
http://www.mt.co.kr/view/mtview.php?type=1&no=2013021910515993345&outlink=1

 


#Update 03 (2013년 02월 20일)

국내에 스파이앱을 은밀히 판매하는 조직은 중국에 거점을 둔 것으로 보이며, 한국인이 포함되어 활동 중이다. 해당 사이트는 2013년 02월 19일까지 접속이 가능했지만 02월 20일부터는 사이트 접속이 불가능한 상태이다. 해당 사이트에서는 다음과 같이 1,000원을 입금하면 테스트용으로 모바일 스파이앱을 사용해 볼 수 있게 하고 있다.

 
■ 스파이폰 홍보 동영상
http://www.youtube.com/watch?feature=player_embedded&v=UFMbGZ0lG4A

http://www.youtube.com/watch?feature=player_embedded&v=YjO_EnOVi2U


스파이폰이라는 사이트는 국내 포털 블로그를 통해서도 사이트 홍보를 하고 있다.




[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급] 안드로이드전용 모바일 보안업데이트로 위장한 DDoS 악성 앱
http://erteam.nprotect.com/393

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378



2. 내 스마트폰에 수신 중인 문자내역 누군가 훔쳐가고 있다?

한국내 안드로이드 기반의 스마트폰 이용자가 폭발적으로 증가하고 있고, 비례적으로 다양한 보안위협도 꾸준히 늘어나고 있는 추세이다. 사회적인 문제로 대두되고 있는 소액결제 승인문자 갈취를 통한 악성앱(Trojan/Android.KRSpammer)은 거의 매일 변종이 유포되고 있는 실정이다. 그런 가운데 이번에 발견된 형태는 감염된 스마트폰에 수신되는 문자메시지를 훔쳐가는 기능을 수행하고 있어, 각별한 주의가 필요할 것으로 보인다.

A. 삼성전자에서 발송한 애플리케이션 업그레이드 위장 사례

먼저 삼성전자의 발신번호로 위장하고 마치 안드로이드 운영체제의 최신 업그레이드 내용처럼 조작하여 스마트폰 이용자가 문자메시지에 포함된 단축URL 주소를 클릭하도록 유도한 내용이다.

애플리케이션 실행 속도관련 최신 업그레이드가 필요합니다 http://goo.gl/*****


문자메시지에 포함된 구글 단축URL 주소는 "Androicall.apk" 파일을 국내의 웹 호스팅 서버에서 다운로드하게 된다. 만약 사용자가 다운로드된 앱을 클릭하면 다음과 같이 "Snoopy" 라는 앱의 설치과정이 보여진다. 해당 웹 호스팅 서버는 현재 제거된 상태이고, 도메인에 사용된 영문자를 한글로 변경하면 "문도박사" 라는 내용으로 바뀌게 된다. 

해당 악성앱은 문자메시지 수신 권한, 인터넷 사용권한, 휴대폰 상태 읽기 권한 등의 개인정보 탈취기능을 수행하게 된다.


해당 악성앱에 감염이 되면 "State" 서비스에서 외부 특정 서버(http://aptotocaw.net/state.php?Identity=[inactive/active])와 통신을 수행한다. 또한, 통신상태 및 통신시간 등에 대한 설정을 수행하며, 시간체크 등 특정조건을 통해서 "Change" 서비스를 실행한다.

"Change" 서비스에서는 외부 특정 서버(http://aptotocaw.net/state.php?Identity=inactive[inactive/active]&change=[inactive/active])에 대한 변경을 수행하며, 변경된 서버와 통신 기능을 진행한다. 만약 감염된 스마트폰에 문자메시지(SMS)가 수신될 경우 "Message" 리시버가 동작하여, 수신된 문자메시지를 감시하고 수집하는 동작을 한다. 그리고 수집된 문자메시지를 외부로 유출시키기 위해서 "Send" 서비스를 실행한다.

"Send" 서비스는 "Message" 리시버에서 리턴된 값들을 외부 특정 서버(http://aptotocaw.net/send.php?Identity=[inactive/active]&Address=[발신번호]&Message=[SMS내용])로 유출을 시도하게 된다. 이를 통해서 특정 발신번호와 문자메시지가 외부로 탈취된다.


B. 롯데시네마 무료영화권 및 콤보세트 쿠폰 발급 사례

다음으로 롯데시네마의 요금인상전 무료영화권 2매와 콤보세트 1개 등의 쿠폰발급 앱처럼 위장한 형태도 발견되었다. 이것도 동일하게 수신자가 현혹될만한 내용과 악성앱이 설치되는 구글 단축 URL 주소를 포함하고 있다.

[롯데시네마]*요금인상전*무료영화권2매,콤보세트1개(쿠폰발급)http://goo.gl/*****


연결되어 있는 웹 사이트에는 "LotteCinema.apk" 파일이 연결되어 있고, 사용자가 링크를 클릭하면 다운로드가 진행된다. 다운로드된 APK 파일을 추가 클릭하여 설치를 진행하게 되면 다음과 같은 설치권한 화면을 보게 된다.


악성앱은 다음과 같이 실제 롯데시네마 아이콘으로 교묘하게 위장하고 있으며, 상기 화면과 같이 다양한 권한을 보유하고 있다. 또한, 설치되면 실제 롯데시네마 새해 고객 감사 이벤트와 같이 위장된 화면과 쿠폰 발급 이벤트라는 화면을 보여주게 된다.


이용자가 [쿠폰 발급 하기] 메뉴를 클릭하면 사용자 하여금 실제 정상적인 쿠폰이 발급되는 것처럼 보이도록 하기 위해서 내부에 포함되어 있던 "2.apk" 파일을 추가로 설치하게 되고, 앱 이름도 "쿠폰 발급 관리"라고 지정되어 있다.

 
이 악성앱은 "LotteCinema.apk" 라는 숙주형 악성앱에 의해서 설치가 되고, 쿠폰 발급 관리라는 명목으로 내부에 포함되어 있는 "2.apk" 악성앱이 추가 설치되는 과정을 거치게 되는 것이다.

숙주 역할을 수행하게 되는 "LotteCinema.apk" 앱은 메인 액티비티를 출력하여 이용자가 특정 버튼을 클릭 시 감염된 스마트폰의 전화번호를 수집하고, 외부 특정 서버(http://27.125.204.46:8080/smshidden/index.php)로 유출을 시도한다.


그리고 [쿠폰 발급 하기] 부분을 클릭하게 되면 내부에 포함시켜 두었던 "2.apk" 악성파일을 설치하게 되고, "SMSReceiver" 와 "WhoAmI" 리시버를 등록하여 수신되는 문자메시지(SMS)와 네트워크 상태 변경 등을 확인하면서 작동하게 된다.

아래 화면들은 내부에 포함되어 있던 "2.apk" 파일을 설치하는 코드이다.


악성앱에 감염된 상태에서 문자메시지(SMS)가 수신되면 감염된 스마트폰의 전화번호와 모든 문자메시지에 대한 수집을 진행하며, 아래와 같은 특정 외부 서버(http://27.125.204.46:8080/smshidden/smsnotify.php?phonenum=[감염된 스마트폰의 번호])에 접속 시도하다.

그후, 접속한 사이트의 정보를 확인하여 정규식 "*check.*" 조건과 같이 "check." 문자열을 포함하는 부분이 확인되면 감염된 스마트폰의 번호와 수집된 문자메시지 정보를 특정 서버(http://27.125.204.46:8080/smshidden/receive.php)로 유출을 시도한다.


"WhoAmI" 리시버는 네트워크 상태 변경 등을 체크하여 동작을 수행하며, 특정 서버(http://27.125.204.46:8080/smshidden/index.php)로 감염된 스마트폰의 번호유출을 시도하게 된다.


3. 안드로이드 악성앱 감염 예방법

소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고, 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요해 보인다.

점차적으로 유포 및 감염에 있어 지능화 되어가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

대표 진단명 변경(2013. 02. 20) : KRSbot -> KRSpyBot

- Trojan/Android.KRSpyBot.A
- Trojan/Android.KRSpyBot.B
- Trojan/Android.KRSpyBot.C
- Trojan/Android.KRSpyBot.D
- Trojan/Android.KRSpyBot.E 외 변종 계속 추가 중

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

오픈형 무료 OS 기반의 운영체제가 사용되는 스마트폰의 보급이 활성화 되고 사용자가 늘어나면서 매일매일 수많은 악성 애플리케이션들이 다양한 마켓을 통해 홍수처럼 쏟아지고 있다. 해를 거듭할 수록 늘어나고 지능화 되고 있는 악성 애플리케이션은 유포 범위 또한 지속적으로 발전하여 현재는 전세계 곳곳에서 안드로이 악성 애플리케이션이 다양한 목적을 가지고 유포가 이루어지고 있다. 2012년도 4분기에 접어든 이 시점에 3분기까지의 안드로이드 악성 애플리케이션 동향에 대해 살펴보고 4분기에 대한 전망 및 정리하는 시간을 가져보도록 하겠다.

▶ 3분기는 지난 2분기와 비교하여 변종을 제외한 총 50여 종류의 신종 안드로이드 악성 애플리케이션이 발견되어 패턴에 반영되었으며, 그 종류는 아래와 같다.

※ 3분기 신규 안드로이드 악성 애플리케이션

- Adware/Android.Booster.A
- Adware/Android.FakeAV.A
- Adware/Android.Webim.A
- Backdoor/Android.Coogos.A
- Backdoor/Android.Luckycat.A
- HackTool/Android.Anti.A
- HackTool/Android.Whapsni.A
- Hoax/Android.RediAssi.A
- Monitor/Android.AnSmCon.A
- Monitor/Android.CgFinder.A
- Monitor/Android.FinSpy.A
- Monitor/Android.Pdaspy.A
- Monitor/Android.QPlus.A
- Monitor/Android.SmsWatcher.A
- Monitor/Android.SpyMob.A
- Monitor/Android.Unispy.A
- RiskTool/Android.Anudow.C
- SMS-Flooder/Android.Sonus.A
- Trojan-Downloader/Android.Fls.A
- Trojan-Downloader/Android.Fsm.A
- Trojan-SMS/Android.Stesec.A
- Trojan-SMS/Android.Vidro.A
- Trojan-SMS/Android.YouB.A
- Trojan-Spy/Android.Loozfon.A
- Trojan-Spy/Android.Mpsy.A
- Trojan-Spy/Android.SuBatt.A
- Trojan-Spy/Android.Sumzand.A
- Trojan/Android.Ackposts.A
- Trojan/Android.Androidbox.A
- Trojan/Android.Appenda.A
- Trojan/Android.DroidCoupon.A
- Trojan/Android.Ecobatry.A
- Trojan/Android.FakeAngry.A
- Trojan/Android.FakeView.A
- Trojan/Android.Fakeapp.A
- Trojan/Android.Fidall.A
- Trojan/Android.FindSpy.A
- Trojan/Android.Frogonal.A
- Trojan/Android.Gedma.A
- Trojan/Android.Gmaster.A
- Trojan/Android.Iconosis.A
- Trojan/Android.Iconosys.A
- Trojan/Android.InfoStealer.A
- Trojan/Android.Kranxpay.A
- Trojan/Android.MMarketPay.A
- Trojan/Android.Maistealer.A
- Trojan/Android.Malebook.A
- Trojan/Android.Morepaks.A
- Trojan/Android.Nandrobox.A
- Trojan/Android.SMSZombie.A
- Trojan/Android.Smssniffer.A
- Trojan/Android.Vdloader.A

아래의 그림은 새롭게 발견된 신종 악성 애플리케이션 51개중 일부의 진단화면이다.

정리해보면, "Adware 형태가 3종", "Backdoor 형태가 2종", 경우에 따라 악용이 가능하거나 Spyware 혹은 Trojan류로 분류되는 "HackTool, Hoax, Monitor, RiskTool 등의 형태가 각각 2종, 1종, 8종, 1종"이다. 또한, 가장 많은 비율을 차지하는 "Trojan 형태가 35종"을 차지하여 총 51종이며, 전체적으로 변종을 포함하여 총 5천여개의 악성 애플리케이션이 패턴 업데이트 되었다.

아래의 그림은 2분기와 3분기 동안 수집 및 업데이트된 모든 종류의 악성 애플리케이션에 대한 유형별 분기 비교표이다.


위 그림을 확인해보면 3분기에는 2분기에 비해 Adware를 제외하고 전체적으로 패턴에 반영된 업데이트량이 하향된것으로 통계가 나타난다. 이는 전체적인 악성 애플리케이션의 제작 기법에 기인한 것으로 보통 대량 제작되는 악성 애플리케이션의 경우 "리소스(배경 이미지, 문구, 언어 등)는 그대로인채 동일한 악성 소스를 공통적으로 빌드"하거나, "재패키징하는 형태"가 주를 이루기 때문이다. 리소스만 바뀐형태로 대량 제작되는 악성 애플리케이션의 경우 Generic 진단이 가능하다는 것이다.

3분기 동안 수집 및 업데이트가 이루어진 여러 종류의 악성 애플리케이션들은 지난 2분기와 마찬가지로 대부분 "과금형", "다양한 정보의 탈취형", "다양한 위험성을 가져올 수 있는 루팅형" 등의 형태로 나뉘어져 있다. 해당 분기 동안 수집 및 업데이트된 악성 애플리케이션에 대한 자세한 세부 동향을 아래와 같이 살펴보도록 하겠다.

  

◈ 3분기까지의 악성 애플리케이션에 대한 동향 정보

■ 과금형 악성 애플리케이션

국내에서는 유포 정황이나 특별한 피해 사례가 발견되고 있지 않지만 해외에서는 과금형의 악성 애플리케이션이 높은 유포율을 보이고 있다. 해외에서 유포중인 과금형 악성 애플리케이션은 국가별 이동통신사업 형태에 따라 차이점이 있지만 대부분 사용자 몰래 일정 금액의 이용대금을 부과하는 "프리미엄 서비스 과금 형태"와 무단적인 네트워크 사용 및 무단적인 SMS 발송 등에 따른 "지속적인 과금 유발 형태"로 나뉘어진다.

두가지 형태 모두 악성 애플리케이션 제작자의 금전적 이득을 위해 사용되는 경우가 대부분이며, 후자인 "지속적인 과금 유발 형태"의 경우 보통 리시버 등록을 통한 Bot 기능을 수행하는 것이 일반적이다. 또한, 이러한 악성 애플리케이션의 경우 최근에는 정상적인 애플리케이션에 악성 패키지를 추가하는 리패키징 형태보다는 대량 제작이 손쉬운 리소스만 변경하는 형태가 주를 이루고 있으며, 이로인해 정상적인 애플리케이션으로 위장하는 전략을 취하는 것이 보통이다. 다만, 전자인 "프리미엄 서비스 과금 형태"의 악성 애플리케이션은 국내의 이동통신사업 형태상 통용되지 못하고 있는 상황이며, 이러한 악성 애플리케이션의 경우 악성기능 수행에 필요한 여러 조건 충족을 위해 반드시 타겟에 맞게 최적화 되어야한다는 단서조항이 붙을 수 있다.

■ 사용자의 다양한 정보를 노리는 악성 애플리케이션

단말기 혹은 사용자의 다양한 정보를 노리고 외부로 유출 시도하는 악성 애플리케이션이 3분기 동안에는 주를 이루고 있다. 이러한 악성 애플리케이션은 크게 두가지 유형으로 살펴볼 수 있다. 첫번째는 "제작 의도가 악의적인 목적을 가지는 종류"이고 두번째는 "제작 의도와는 상관없이 보안 문제에 대한 부주의로 인한 종류"가 그것이다.

첫번째 종류는 애플리케이션의 제작 목적 자체가 악의적으로 다양한 정보에 대한 불법적 습득을 목표로 하는 것으로 금전적 이득을 위해 IMEI/IMSI 및 다양한 단말기의 정보와 감염된 스마트폰에 저장된 주소록 정보를 탈취하게 되며, 경우에 다라 수신된 SMS에 대한 감시 및 SMS 내용 유출 등도 시도하게 된다. 이같은 경우 사용자의 동의를 구하지 않고 최대한 사용자 몰래 정보에 대한 탈취를 할 수 있도록 "정상적인 애플리케이션에 악성 코드를 추가하는 리패키징 형태""공통적인 악성 코드를 사용하고 리소스만 변경하여 빌드하는 형태" 두가지 모두 사용되고 있다.

또한, 첫번째의 경우 탈취를 원하는 정보에 따라 리시버나 서비스를 활용한 SMS 감시 및 외부 유출 시도가 있을 수 있기 때문에 제작의 의도에 따라 SMS-Flooding 기법을 통한 DDoS, 지속적인 과금 유발 등 다양하고 복합적인 감염 증상을 유발할 수 있으며, 이같은 경우 흔히 말하는 좀비폰으로 전락할 가능성이 높다고 할 수 있다.

두번째 종류는 제작자는 전혀 금전적 이득을 위하거나 다른 악의적인 목적 없이 제작하였음에도 불구하고 악성 애플리케이션으로 판명되는 경우다. 이같은 경우는 대부분 애플리케이션 실행시 업데이트, 라이센스 확인 등 유효성 검사를 위해 IMEI/IMSI 혹은 다른 유니크한 디바이스 아이디 정보를 추출하여 특정 서버를 통해 확인하는 과정 때문에 발생된다.

이를 방지하기 위해서는 제작자가 반드시 보안 코딩에 대한 인식을 충분히 생각하고 애플리케이션에 대한 제작을 진행하여야 한다. 단적인 예로 IMEI에 대한 활용이 반드시 필요할 경우 전송시 반드시 재활용이 불가능한 형태의 암호화 방식을 채택하거나, 유니크 아이디 생성 코드 등을 통한 별도의 단말기 고유 번호 생성 방법을 들 수 있겠다.

■ 다양한 보안 위험성을 유발할 수 있는 루팅 관련 애플리케이션

일반적으로 루팅은 시스템상의 최고 관리자 권한을 획득하는 것을 말한다. 이와 같은 루팅 기능 자체가 악성 기능이라고 보기는 어렵다. 다만, 루팅을 진행하게 되면 루팅전에 받을 수 있었던 최소한의 보안 등급을 스스로 포기한다는 의미를 가지게 되며, 이로인해 루팅시 통용될 수 있는 악성 애플리케이션의 모든 악의적인 기능이 감염자의 스마트폰에서 원활히(?) 진행될 수 있게 된다.

예로 루팅이 이루어진 폰에서 동작하는 악성 애플리케이션들은 먼저 감염된 스마트폰이 루팅되어 있는지 확인하고 루팅되어 있다면 특정 보안 애플리케이션에 대한 장치 관리자 권한 해제, 임의의 애플리케이션에 대한 삭제 혹은 중지하는 등의 컨트롤이 가능하며, 임의적인 애플리케이션 변조를 통해 최종적으로 특정 계정 정보, 공인인증서 비밀번호 등의 정보 유출도 가능할 것이다. 이것이 은행과 같은 금융기관에서 루팅된 폰의 스마트폰 결재를 차단하는 이유이기도 하다.

물론, 현재 배포되고 있는 최신 안드로이드 OS 버전에서 이전 진저브래드 이하 버전에서 통용되던 원스톱서비스와 같은 자동 루팅 애플리케이션이 정상적으로 동작되지는 못한다. 다만, 악성 애플리케이션 또한 진화하여 예전과 같이 자신의 목적을 위해 맨땅에 해딩하듯 스스로 루팅을 시도하지는 않으며, 루팅되었을 시 동작하도록 제작되어 있기 때문에 사용자의 선택일 수 있는 루팅을 진수행 할 경우 이와 같은 보안 위험성에 자신의 스마트폰을 스스로 노출시킨다는 것을 인지할 필요가 있다.

■ 고도로 지능화된 악성 애플리케이션에 대한 출현 임박

아직까지는 더 발전된 형태의 이를테면 PC에서와 같이 능동적 네트워크 기반의 악성 애플리케이션은 많지 않지만(일부 원격 관련 악성 애플리케이션이 있지만 SMS 등을 활용한 기본적인 Bot형태가 대부분) 이미 3분기에 NFC기능을 활용해 과금형의 반대 형태가 될 수 있는 "과금 우회형" 애플리케이션에 대한 POC가 이루어지면서(악성 애플리케이션은 아니다.) 좀 더 지능화된 형태의 악성 애플리케이션의 출현을 충분히 예상해 볼 수 있다.

[정보]지하철 요금 우회가 가능한 안드로이드 애플리케이션 보고
http://erteam.nprotect.com/338


지능화된 악성 애플리케이션은 이제 예전과 같이 단일적인 목적을 가지고 만들어진 악성 애플리케이션과 달리 스스로 악성 기능 수행의 조건을 판단하고 정보를 수집하며, 또 정보 수집에 있어 추가적인 조건을 필요로 한다면 스스로 체크하여 진행할 수 있도록 설계될 것이다. 주로 와이파이 형태가 되겠지만 다양한 네트워크 기능을 통해 PC상에 감염된 악성코드와 통신을 시도하여 여러가지 악성 기능을 수행할 수 있을것이며, 때로는 명령을 내려받아 악의적인 기능을 수행할 수도 있을 것이다. 이러한 모든 기능이 불가능한것이 아니라 현재까지 모두 단일적으로 존재했던 악성 애플리케이션의 기능들이며, 어쩌면 현재까지 출현했던 악성 애플리케이션의 모든 악성 기능들이 미래를 위한 예행연습이었다고 생각해도 좋을것이다.

■ 더이상 안드로이드 악성 애플리케이션으로부터 안전치 못한 국내 상황

3분기에는 국내 안드로이드 사용자들을 대상으로한 본격적인 악성 애플리케이션의 출현이 눈에 띈다. 더이상 국내 안드로이드 시장이 악성 애플리케이션으로부터 안전치 못하다는 것이 사실로 확인된 셈이다. 해당 악성 애플리케이션은 국내 금융권 피싱 등의 사실에 정통한 제작자에 의해 3종으로 분류되어 만들어졌으며, 모두 금융권 사칭관련 스팸 피해 차단용이라는 타이틀로 만들어져 일반 사용자들을 현혹하고 있다.

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352


유출 정보도 국내 사정에 특화되어 있다. 감염된 스마트폰의 전화번호 및 망사업자명, 그리고 인터넷 쇼핑몰들로부터 발송되는 결제 관련 SMS에 대한 감시 및 탈취 기능이 그것이다. 일반적인 단말기 정보 등이 아닌 금융 결재와 관련한 비밀번호 등의 탈취가 가능하도록 특정 번호에서 수신되는 SMS를 모두 감시한다는 측면에서 새로운 금융 보안 위협으로 지속적인 활동이 이루어질 것이란 전망이 가능하다.

이외에도 최근 해외에서 인기를 끌고 있는 가수 싸이의 강남스타일을 악용하여 위장한 악성 애플리케이션도 출현하여 이슈가 된 바 있다.

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348


해당 악성 애플리케이션은 단말기 고유번호 등에 대한 탈취를 주 목적으로 하며, 국내 사용자들을 대상으로 제작되지는 않았다. 다만, 국내 가수의 히트곡을 악용의 대상으로 삼았다는 점에서 충분히 해외 악성 애플리케이션 제작자에 의해 국내 사용자들도 타겟이 될 수 있다는 가능성을 제공하는 경우이므로 주목할만 하다.

  

◈ 3분기까지의 악성 애플리케이션에 대한 유포 트랜드와 4분기 전망


3분기까지 악성 애플리케이션의 유포 트랜드를 살펴보면 많은 수의 이슈들이 유포처가 구글 정식 마켓이라는 점이 눈에 띈다. 이는 안드로이드의 경우 애플리케이션 배포 및 등록 등이 애플과 같이 폐쇄적인(?) 정책이 아니기 때문에 비교적 자유롭게 배포가 가능하기 때문인 것으로 추정되며, 구글에서 별다른 보안 정책을 마련하지 않는한 이러한 트랜드는 4분기에도 유지될 전망이다.

결국 이러한 상황이 반복될 경우 기존에 주의를 기울여야 했던 비공식 서드파티 마켓 등과 구글 정식 마켓 간의 보안상 접점이 불분명해질 수 있는 상황을 초래할 수 있다.

여지까지 설명한 3분기 까지의 동향과 위와 같은 트랜드를 기반으로 4분기 악성 애플리케이션에 대한 전망을 내래보면, 우선은 현재까지와 마찬가지로 구글 정식 마켓을 통해 지속적인 악성 애플리케이션에 대한 유포가 있을 것이다. 현재까지 특별한 검열 수단이 없기 때문이며, 정상적으로 만든 애플리케이션이 동작 증상 등으로 악성 판단이 이루어질 가능성이 존재하기 때문이다. 또한, ▶국내 사용자들을 대상으로 하는 악성 애플리케이션의 점진적 증가를 들 수 있을 것이다. 이미 국내 사용자들을 대상으로 국내 정세에 정통한 제작자가 악성 애플리케이션을 만들어낸 사례가 나왔다. 해당 사례가 물꼬로 작용할 수 있으며, 단순한 악성 애플리케이션의 경우 해외 애플리케이션이라도 국내 스마트폰에서 정상 동작하는 상황이 확인되었기 때문이다. 다만, 이러한 경우 감염 증상에 대한 사용자 인식이 어렵기 때문에 피해 사례 보고에 대한 문제점을 수반할 순 있다. 마지막으로 아직까지는 심화된 기법의 악성 애플리케이션이 출현하지 못한 관계로 단순한 ▶정보 탈취에 대한 악성 애플리케이션이 전체 악성 애플리케이션중 지속적인 대다수를 차지할 것이며, ▶지능화된 다양한 기능의 악성 애플리케이션 출현이 그것이다.

구글에서 발표한 정책에 따르면 새로운 버전(4.2)의 OS에서는 악성 애플리케이션에 대한 다운로드 및 설치 시 악성 여부에 대한 스캔 기능이 추가된다고 한다. 다만, 우리는 보안상 이와 같이 고도로 지능화 되고 복합성을 가지는 악성 애플리케이션의 지속적인 발전을 간과할 수 없으므로 이를 위한 충분한 대비책 마련의 선행이 반드시 필요하지만, 아직까지는 모바일 백신, 모바일 방화벽 등 그를 위한 장치가 충분치 못한 상황이므로 안전한 스마트폰 사용을 위해 최소한 아래와 같은 "스마트폰 보안 관리 수칙"을 반드시 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최적의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 다양한 악성 애플리케이션으로 인한 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 모바일 보안 위협에 대응하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 국내 가수 싸이의 강남스타일이 전세계적으로 엄청난 인기를 누리고 있다. 미국 빌보드 차트에서는 매주 한국인 가수 최초의 1위 탄생에 관심이 모아지고 있으며, 이미 유럽, 호주, 중국 등지 에서는 각국 차트 1위를 석권하고 있다. 이러한 와중에 해외 보안 업체 등을 통해 중국에서 강남스타일의 인기를 이용하는 악성 애플리케이션 출현에 대한 보고가 있었다. 민감할 수 있는 개인 정보에 대한 유출 위험이 있다는 보고이며, 해외 비공식 마켓을 이용하는 사용자들은 이와 같은 강남스타일 위장형 악성 애플리케이션에 대한 각별한 주의가 요망되고 있다.

  

2. 악성 애플리케이션 정보

해당 악성 애플리케이션은 공식 마켓(구글 플레이)에서는 배포되지 않고 있으며, 아래의 그림과 같이 해외의 비공식 마켓 등을 통해 유포가 이루어지고 있다.


■ 설치 정보

해당 악성 애플리케이션은 설치 시 아래의 그림과 같은 특정 권한을 요구한다.

아래는 전체 권한을 담고 있는 AndroidManifest.xml의 일부 코드이다.

해당 악성 애플리케이션은 아래의 그림과 같은 아이콘 및 크기를 가지며, 설치 완료 후 "환경설정" -> "애플리케이션 관리"에서 확인할 수 있다.

■ 분석 정보

해당 악성 애플리케이션은 설치가 완료된 후 실행하면 아래의 그림과 같은 메인화면을 출력하게 된다.

위 그림과 같이 붉은색 박스의 버튼을 클릭하게 되면 오른쪽 그림과 같이 mp4파일을 다운로드 받게 된다. 이때 다운로드되는 mp4파일은 악성파일이 아닌 강남스타일의 뮤직비디오 파일이다.

mp4파일의 다운로드가 완료되면 아래의 그림과 같은 실행화면으로 전환되며, 실행 시 강남스타일 뮤직비디오가 재생된다.

위 그림들과 같은 동작들은 특별히 악의적인 목적을 가진 악성동작이라고 보기 어렵다. 다만, 해당 악성 애플리케이션은 위 그림과 같은 뮤직비디오 파일 다운로드 및 실행 등의 동작과 함게 아래와 같은 일부 코드를 통하여 특정 정보에 대한 수집 및 수집된 정보의 외부 사이트 유출과 같은 악의적인 동작을 수행하게 된다.

 
※ 유출되는 전체 정보

imei
imsi
감염된 스마트폰의 전화번호
스마트폰의 제조사 정보
스마트폰의 모델 정보
애플리케이션 버전 정보
현재 시간 정보

※ 유출시도 URL

hxxp://(생략).(생략).(생략).(생략)/(생략)/starttimekeycount.php

3. 예방 조치 방법

해당 악성파일은 아직까지 국내에 유입된 정황이나, 특별한 피해사례는 보고되지 않고 있다. 물론, 중국 사용자들을 대상으로 제작된 애플리케이션이고 수집되는 정보들 또한 제작당시 악의적인 목적을 가지고 수집 및 외부 유출 시도를 하지 않았을 수 있다. 유효성 검사나 사용자 중복 등록 방지 등을 위해 수집할 수 있기 때문이다. 그러나, 어떠한 목적을 가지든 개인적인 정보들을 아무런 동의 없이 수집하는 행위는 불법적인 악성동작으로 간주할 수 있으며, 이러한 정보들이 각종 사이버 범죄에 이용되고 있기 때문에 애플리케이션의 제작자 및 사용자들은 제작/배포 및 사용에 각별한 주의를 기울여야 한다.

또한, 일반 사용자들의 경우 백그라운드 상태에서 동작하는 악성 애플리케이션을 육안으로 식별해 내기란 매우 어려울 수 있다. 때문에 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 주의와 노력이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

☞ Trojan/Android.InfoStealer.C


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 해외 보안 업체를 통해 지하철 요금 지불과 관련하여 결제카드의 리셋 기능을 지원하는 애플리케이션에 대한 정보가 공개된 바 있다. 해당 애플리케이션은 NFC 기능을 통해 결제카드에 대한 리셋 기능을 수행하며, 실제로 해외 지하철역에서 선불요금이 만료된 결제 카드에 대한 리셋 시연을 보이는 영상까지 공개되어 있다. 물론 국내에서 정상적인 동작을 기대하기는 어렵고 해당 애플리케이션이 악성이 아닌 POC(개념증명)를 위해 준비되었다는 점에서 약간의 거리는 있겠지만 날로 확산되어 가고있는 안드로이드 보안 위협에 대한 사용자들의 인식 전환을 위해서는 한번쯤 짚고 넘어가 볼 수 있는 문제일 수 있다.

※ 실제 시연 동영상

http://vimeo.com/49664045

※ NFC[Near Field Communication]

10cm 이내의 가까운 거리에서 다양한 무선 데이터를 주고받는 통신 기술

2. 유포 및 동작 설명

해당 애플리케이션은 아래의 그림과 같이 구글 정식 마켓을 통해 다운로드가 가능하다.


해당 애플리케이션을 다운로드하여 설치하면 아래의 그림과 같이 NFC제어 관련 권한을 요구하는 화면이 출력된다.


아래의 그림은 전체 권한 선언을 포함한 AndroidManifest.xml 파일의 일부 내용이다.


해당 애플리케이션은 위 그림에서 확인이 가능하듯 Android SDK 2.3.3 이상 버전에서 정상적인 동작이 가능하다. 또한, Main 액티비티외에 추가적으로 탭형식으로 구성된 2개의 액티비티가 존재하고 있음을 확인할 수 있으며, 별도의 리시버나 서비스는 등록되어 있지 않다.

해당 애플리케이션은 Manifest에 정의된 내용으로 미루어 보아 아래의 일부 코드와 같이 NFC 기능 동작을 위한 Action이 추가된 필터를 제외하고는 특별한 동작을 수행하지 않음을 확인할 수 있다.


위와 같은 설정 등을 전제로 해당 애플리케이션이 실행되면 아래의 그림과 같이 TabActivity로 구성된 메인화면을 볼 수 있다.


지하철 패스 카운트(총 10번 사용가능)가 모두 소진된 카드를 해당 애플리케이션을 통해 스캔하게 되면 아래의 일부 코드 등을 통해 다시 총 10번이 사용가능하도록 지하철 패스 카운트를 리셋하게 된다.


해당 애플리케이션의 이러한 리셋 기능은 Tag ID를 얻어 MifareUltralight API를 통한 입출력 기능 등으로 구현되어 있으며, 위에서 언급한 시연 동영상 처럼 실제 해외 지하철역에서 사용 가능한것으로 확인되고 있다.

3. 마무리

해외 보안 업체 등을 통해 안드로이드 보안 위협과 관련하여 위와 같은 POC개념의 애플리케이션들이 지속적으로 보고되고 있다. 그만큼 악용가능한 범위가 넓다는 반증일 수 있다. 실제적으로 유비쿼터스화 되고 있는 실생활에서 스마트폰을 이용해 모든 제어가 가능해지고 있는 만큼 개인 스마트폰의 보안 위협에 대한 제고는 반드시 이루어져야하나, 일반적으로 사용자들의 스마트폰에 대한 보안 인식은 아직까지 이에 미치지 못하고 있는 실정이다.

좀 더 편하고 좀 더 즐거운 생활을 가능하게 해주는 스마트 기능이 좀 더 불편하고 좀 더 안전하지 못한 상황을 초래하지 않게 하기 위해서는 아래와 같은 기본적인 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 해외 보안 업체에 의해 안드로이드 OS 기반의 스마트기기 사용자 중 일본 여성 사용자들을 대상으로한 악성 애플리케이션에 대한 보고가 있었다. 보통 이성을 대상으로 하거나 선정적인 주제로 사용자들을 현혹시킬 목적을 가지는 경우 대부분 그 대상이 남성이 주를 이뤘으나 이번 악성 애플리케이션은 여성 사용자들을 대상으로 했다는 점에서 주목할만 하다. 또한, 해당 악성 애플리케이션은 일본 여성 사용자들을 대상으로 유포가 이루어지고 있지만 애플리케이션 자체는 국내 환경의 스마트폰에서도 설치가 이루어질 경우 개인정보 등에 대한 유출이 이루어질 수 있는 만큼 애플리케이션의 선별적인 설치에 있어 사용자들의 각별한 주의가 요망되고 있다.

  

2. 유포 및 감염 증상


해당 악성 애플리케이션은 2가지의 유포 방식을 가진다고 알려져 있다.


하나는 돈을 쉽게 벌 수 있는 방법과 관련한 제목의 스팸성 이메일을 발송하여, 내부에 포함된 링크 클릭을 유도하는 방법이며, 또다른 하나의 방법은 다른 남성과의 소개를 주선하는 스팸메일의 링크 클릭을 유도하는 방법이다. 두가지 방법 모두 링크 클릭을 통해 악성 애플리케이션에 대한 다운로드 및 설치를 유도하게 된다.

▶ 분석 정보

※ 전체 악성 동작 요약

- IMEI 정보 수집 및 외부 유출 시도
- 주소록 정보 수집(이름, 전화번호, 이메일 계정) 및 외부 유출 시도
- 특정 사이트 접속 [http://58.(생략).(생략).229//(생략)/addressBookRegist] (정보유출 URL)


해당 악성 애플리케이션은 설치 시 아래의 그림과 같이 특정 권한을 요구하게 된다.


아래의 그림은 "AndroidManifest.xml" 파일 내부에 선언된 전체 권한을 보여주고 있다.


해당 악성 애플리케이션은 "환경설정" -> "응용프로그램" -> "응용프로그램 관리"를 통해 아래의 그림과 같이 설치 여부를 확인할 수 있다.

  

해당 악성 애플리케이션은 내부에 별도의 리시버나 서비스는 등록되어 있지 않으며, 실행 시 아래의 그림과 같이 1 -> 0 으로 카운팅 후 특정 메시지를 메인 액티비티에 뿌려주는 것으로 생명주기를 다하게 된다.


위의 카운팅은 아래의 일부 코드를 통해 반복 실행 형식으로 구현되어 있으며, 이와 함께 개인 정보 및 단말기 정보를 수집하여 외부 특정 사이트로 유출을 시도하게 된다.


아래는 각종 정보 수집 및 수집된 정보의 외부 유출을 시도하는 코드의 일부분을 보여주고 있다.

클릭할 경우 확대된 화면을 보실 수 있습니다.


※ 정보 유출 코드의 상세 정보

빨간색 박스는 아래의 일부코드와 같이 타 클래스 참조를 통해 IMEI 정보를 수집하고 있다.


초록색 박스는 감염된 스마트폰의 전화번호를 수집하고 있다.

파란색 박스는 안드로이드 OS 버전의 분기점이 존재하는데 Android 1.6 이전과 이후 버전으로 분기하게 된다. 그 이유는 안드로이드 OS가 버전업 되면서 주소록 수집에 사용되는 API의 변경이 있었기 때문이다. 해당 악성 애플리케이션은 이와 같이 분기점을 두어 모든 버전에서 주소록 정보를 수집할 수 있도록 구성되어 있다.

아래의 코드는 감염된 스마트폰이 Android 1.6 버전 이상일 경우일때, 주소록 정보를 수집하기 위한 코드의 일부를 보여주고 있다.

클릭할 경우 확대된 화면을 보실 수 있습니다.


위 코드를 통해 주소록 정보에서 이름, 전화번호, 이메일 계정 정보를 수집하고 있는 것을 확인할 수 있다.


해당 악성 애플리케이션은 추가적인 스팸발송 등의 악의적인 목적을 위해 각종 정보(주소록, IMEI 등의 개인/단말기 정보)를 불법 수집하는 기능을 수행하는 것으로 추정되고 있다.

3. 예방 조치 방법

점점 세계 각국에서 실질적으로 금전적 목적 등을 가지는 악성 애플리케이션의 유포 및 감염 사례가 보고되고 있다. 위의 악성 애플리케이션 또한 국내 스마트폰 환경에서도 정보 수집 및 유출 등의 악성 동작이 충분히 가능하다.

우리나라도 언제까지 스마트폰 악성 애플리케이션으로 부터 안전하다는 보장이 없다는 것이다. 현재까지는 스마트폰의 안전한 사용을 위한 인식 등이 제대로 갖춰져 있지 않은 상태에서 각종 마켓 등 웹을 통해 전세계에 보급되고 있는 애플리케이션의 설치가 가능하다. 그러므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.Loozfon.A
- Trojan-Spy/Android.Loozfon.B





저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


 

잉카인터넷 대응팀은 최근 해외에서 Bot 기능이 있는 것으로 화제가 되었던 악성파일을 분석하여 관련된 내용을 일부 공개하게 되었다. 이와 같은 안드로이드 악성 파일은 아직까지 국내에 정식 감염된 피해 사례는 보고된 바 없는 상태이다. 이번 악성파일은 공격자의 지능화된 무선 명령 및 지시에 따라 다양한 정보 유출 기능 등을 수행할 수 있는 이른바 좀비폰 역할이 가능한 종류로 한단계 진화된 형태로 볼 수 있다. 특히, 해당 악성파일은 "한국의 이동통신사망(APN)을 체크 시도"하는 기능이 있어 국내 사용자로 대상 범위를 확대하고자 하는 또 다른 시도가 아닌가 조심스럽게 추정되고 있어, 잉카인터넷 대응팀은 관련 정보 수집을 계속 진행 중이다.


 

- 한국 이동통신사의 APN 이용, 국내를 겨냥용 안드로이드 악성파일 신호탄?
- 잠들지 않는 좀비폰 당신의 일거수 일투족을 엿볼 수 있다.
- DDoS 공격, 악성스팸 전파, 통화 음성 녹음 등 개인정보 유출 시도


국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중
http://erteam.nprotect.com/259

안드로이드 악성파일 실제 유포과정 최초 공개
http://erteam.nprotect.com/257

안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

2. 유포경로 및 감염 증상

현재 안드로이드 기반의 악성 애플리케이션들은 이전과 다르게 3rd party 마켓 등 각종 블랙마켓과 정식 구글마켓을 가리지 않고 유포가 이루어지고 있다. 오픈 지향성이 안드로이드의 매우 큰 강점이지만 이와 동시에 보안적인 측면에서 다소 위협이 된다는 것은 부인할 수 없는 사실이다.

다만, 구글정식 마켓을 통해 유포되는 악성 애플리케이션들은 블랙마켓 등과 다르게 대부분 제작 당시 악의적인 목적을 가지고 만들어졌다기 보다 다소 악의적인 용도로 사용될 소지가 있는 기능들이 포함되어 악성 애플리케이션으로 진단되고 있는 경우도 많다.

이번에 이슈가된 악성 애플리케이션의 경우는 중국의 비공식 안드로이드 마켓을 통해 유포
가 이루어진 것으로 알려졌으며, 메인 아이콘을 구글 등의 정식 서비스 애플리케이션으로 위장한 만큼 제작초기부터 악의적인 목적으로 만들어진 실제적인 악성 애플리케이션이라고 볼 수 있다.

  

◈ 설치 단계

해당 악성 애플리케이션은 다운로드 후 설치시 아래의 그림과 같이 다양한 권한을 요구한다.

 

 

※ 전체 권한

- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.MODIFY_PHONE_STATE"
- android:name="android.permission.CALL_PHONE"
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
- android:name="android.permission.RECORD_AUDIO"
- android:name="android.permission.CAMERA"
- android:name="android.permission.MODIFY_AUDIO_SETTINGS"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.WRITE_CONTACTS"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.ACCESS_FINE_LOCATION"
- android:name="android.permission.ACCESS_LOCATION_EXTRA_COMMANDS"
- android:name="android.permission.ACCESS_MOCK_LOCATION"
- android:name="android.permission.UPDATE_DEVICE_STATS"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.DISABLE_KEYGUARD"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.KILL_BACKGROUND_PROCESSES"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.WRITE_APN_SETTINGS"
- android:name="android.permission.BLUETOOTH"


또한, 위에서 설명했듯이 해당 악성 애플리케이션은 아래의 그림과 같이 메인 아이콘을 구글의 것과 유사한 이미지를 도용해 정상 애플리케이션인것 처럼 위장하고 있으며, 설치 후 별도의 실행 아이콘은 존재하지 않는다. 해당 악성 애플리케이션의 설치 여부는 "환경설정" -> "응용프로그램" -> "응용프로그램 관리"에서 확인할 수 있다.

 

  


◈ 악성 기능 분석

해당 악성 애플리케이션은 위에서 설명한것과 동일하게 실행 아이콘이 없으므로 별도의 실행 명령 없이 내부적으로 백그라운드 상태에서 동작할 수 있는 리시버와 서비스 기능에 의존할 수 밖에 없다.

우선, 해당 악성 애플리케이션의 전체적인 악성 기능을 아래와 같이 몇가지로 요약해볼 수 있다.

※ 전체 악성 기능

- Bot 기능 수행
- 사용자 몰래 수신되는 SMS 감시
- 단말기 등의 정보 수집(IMEI, IMSI, 단말기 위치정보)
- 사용자 몰래 공격자에게 SMS 발송 (요금 부과 피해 가능)
- 통화내용 녹취
- 단말기 화면 저장
- 다국적 APN(Access Point Name) 체크
- 특정 패키지명 프로세스 종료 시도
- 단말기 조건에 따라 재부팅 시도

전체적인 악성 기능에 대해 하나하나 살펴보도록 하겠다.

㉠ 좀비 폰(Bot) 기능 수행 및 사용자 몰래 수신되는 SMS 감시

전체 악성 기능에서 설명한 Bot 기능의 경우 아래의 일부 코드와 같이 특정 명령자에 의해 악성기능 동작 조건을 충족하는 SMS(악성 기능 수행 명령어 포함, "*" 로 시작되는 문자열의 SMS 체크)를 수신하게 되면 수행될 수 있다. 즉, 특정 SMS 수신을 통해서 좀비 폰 기능이 활성화 되는 것이다.

 


명령자에 의해 악성기능 동작 조건을 충족하는 SMS가 수신되면 위의 일부 코드가 수행되어 조건 체크 및 악성 기능 수행 후 해당 SMS는 사용자 몰래 삭제된다.

㉡ 단말기 등의 정보 수집

해당 악성파일은 아래의 일부 코드에 의해 IMEI, IMSI, 단말기 위치정보 등을 수집하게 된다.


또한, 수집되는 정보는 내부에 존재하는 Resource 등의 XML 파싱과 SMS 발송 등을 통해 외부로 유출 시도가 이루어진다.

㉢ 사용자 몰래 SMS 발송

해당 악성 애플리케이션은 수집된 정보 및 전달된 명령어의 수행 여부를 명령자에게 SMS형태로 전달하게 되는데 이때, 아래의 일부 코드가 수행된다.


위와 같은 코드를 사용하여 문자를 발송하게 되면 SMS 발신함 등에 기록이 남지 않기 때문에 일반 사용자들은 SMS 발송 여부를 확인하기 어렵다.

㉣ 통화내용 녹취

해당 악성 애플리케이션은 감염 후 리스너를 통해 통화 상태 변경에 대한 체크를 지속적으로 진행하며, 조건을 충족하게 되면 아래의 일부 코드를 통해 통화내용을 녹취해 .amr 형태의 파일로 저장하게 된다.


㉤ 화면 저장

해당 악성 애플리케이션은 악성 서비스 등록을 통해 아래의 일부 코드를 수행하여 지속적인 조건 체크 후 스크린샷 캡쳐 동작을 진행하며, 캡쳐파일은 .jpg 형태로 저장 된다.


㉥ 네트워크(APN) 설정 체크 

해당 악성 애플리케이션은 공격자의 의도대로 원활한 악성 기능 수행을 위해 네트워크(APN) 설정을 체크하게 되는데 통신망 사업자 정보 등을 체크 후 내부에 존재하는 XML 파일에서 각 통신망 사업자에 해당하는 APN(Access Point Name) 정보를 추출하여 아래의 일부 코드를 통해 설정을 확인하는 방식을 사용하고 있다.

※ APN(Access Point Name)

- APN은 휴대정보단말기 등을 휴대전화 네트워크에 연결하여 데이터 통신을 할 때 필요한 대상을 지정하는 문자열이다.

 


이때, 파싱되는 XML파일을 살펴보면 아래의 그림과 같이 중국내 사용 가능한 APN 정보가 포함되어 있으며 web.sktelecom.com, ktfwing.com 등의 국내 APN 정보도 포함되어 있는 것을 확인할 수 있다.

※ 내부에 포함된 APN, MMS 설정 정보

[중국]
- http://mmsc.monternet.com
- http://mmsc.myuni.com
- http://www.wo.com.cn
- http://mmsc.vnet.mobi
- http://mms.emome.net

[대만]
- http://mms.catch.net.tw
- http://mms.kgtmms.net.tw/mms/wapenc

[홍콩]
- http://mms.peoples.com.hk
- http://mobile.three.com.hk
- http://3gmms.pccwmobile.com
- http://mms.smartone-vodafone.com

[한국]
- http://always.ktfwing.com
- http://mmsc.ktfwing.com
- web.sktelecom.com
- smart.nate.com
- http://omms.nate.com

 


㉦ 특정 프로세스 종료

해당 악성 애플리케이션은 구동중인 특정 애플리케이션에 대한 종료 기능을 수행할 수 있는데 이때 사용되는 코드는 아래의 그림과 같다.


다만, 위에서 사용된 프로세스 종료 관련 API는 안드로이드 SDK 2.1 이하 버전에서만 정상적으로 동작하므로 현재로서는 동작하지 않는것으로 볼 수 있다.

㉧ 재부팅 시도

해당 악성 애플리케이션은 기본적으로 재부팅이 이루어져야 완벽한 동작을 보장한다. 때문에 감염시 아래의 일부 코드를 통해 재부팅을 시도할 수 있는데 해당 악성 애플리케이션의 경우 재부팅과 관련된 "android.permission.REBOOT" 권한을 가지고 있지 않으며, 해당 기능은 루팅된 스마트폰에서만 정상 동작이 가능하다.

 

  

3. 예방 조치 방법

해당 악성 애플리케이션은 코드분석 완료 후 아래와 같은 국내 단말기 환경에서 실제 감염 및 명령 테스트 과정을 거쳤으나, 정상적인 동작이 확인되지는 않았다.

※ 테스트 환경

- 겔럭시S (진저브레드 이상)
- 겔럭시S2 (진저브레드 이상)
- 넥서스원 (진저브레드 이상)


다만, 이와 같은 Bot 기능 기반의 악성 애플리케이션은 언제든지 악성파일 제작자에 의해 좀 더 다양한 악성 기능이 포함되어 제작 및 유포가 이루어질 수 있으며, 기능적인 측면으로 인해 일반 사용자의 경우 감염 여부에 대한 확인이 어렵다. 때문에 이러한 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

최근 스마트폰에 대한 보안 위협이 증가하며, 관련한 악성 애플리케이션도 기하 급수적으로 늘어나고 있다. 스마트폰 악성 애플리케이션에 대한 보안 위협이 증가하면서 성 애플리케이션은 초기 단계에서 벗어나 자신의 생존 주기를 늘리기 위해 다양한 기법들을 사용하고 있다. 그중 가장 널리 사용되는 방법은 아주 기초적이면서도 일반 사용자들은 감염 사실을 알아차리기 어려운 백그라운드 동작 기법이다. 최근 사용자 몰래 백그라운드 상태에서 동작하며, SMS를 무단 발송 하거나 스마트폰의 기기 정보 등을 무단으로 수집 및 외부유출을 시도하는 악성 애플리케이션이 뚜렷한 증가 추세를 보이고 있다.
  

2. 유포 경로 및 감염 증상

위와 같은 악성 애플리케이션은 아직 국내에서는 전파되지 않고 있으며, 특별한 감염사례 또한 보고되지 않고 있다. 아직까지 악성 애플리케이션은 국내가 아닌 중국이나, 러시아를 중심으로 블랙마켓, 3rd Party 마켓 등을 통해 유포되고 있으나, 향후 인터넷을 통해 얼마든지 국내에도 유포가 가능할 수 있다.

아래에서 설명할 악성 애플리케이션은 위와 같이 사용자 몰래 백그라운드에서 악성 동작을 수행하는 대표적인 종류의 악성 애플리케이션이다.

이러한 악성 애플리케이션은 자신의 악성 코드 구현을 위해 몇가지 권한을 필요로 한다.

■ 권한 요구 및 설치 시 특징

우선 모든 애플리케이션은 설치 시 아래의 그림과 같이 몇몇 특정 권한들을 요구할 수 있다.


※ 전체 권한

- android:name="android.permission.SEND_SMS"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.WRITE_APN_SETTINGS"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.BROADCAST_PACKAGE_REMOVED"
- android:name="android.permission.BROADCAST_PACKAGE_ADDED"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INTERNET"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.KILL_BACKGROUND_PROCESSES"


위에서 설명한 권한중 "SMS와 관련된 권한", "스마트폰 기기 정보 수집 등에 필요한 READ_PHONE_STATE 권한" 등은 대부분의 악성 애플리케이션에서 요구하는 권한들이며, "KILL_BACKGROUND_PROCESSES 권한"은 특정 애플리케이션 종료를 위해 사용될 수 있는 권한이다.


위에서 설명한 악성 애플리케이션은 설치 후 별도의 실행 아이콘이 없다. 위 그림과 같이 Main 액티비티에 대한 "LAUNCHER"부분이 정의되어 있지 않기 때문이다.

이러한 악성 애플리케이션의 경우 설치 완료 후 응용프로그램 관리에서 아래의 그림과 같이 설치 여부를 확인할 수 있다.


■ 악성 동작 확인

위와 같은 악성 애플리케이션은 대부분 특정 애플리케이션이나 다양한 목적의 광고를 위해 사용자 몰래 SMS를 무단 발송하는 기능
을 가지고 있으며, 무단 발송 코드 수행을 위해 해당 스마트폰의 전화번호 목록, 스마트폰 기기 정보 등을 수집할 수 있다. 또한 수집된 스마트폰 기기 정보를 외부로 유출하여 해당 정보를 기반으로 복제폰을 만드는 등 다양한 목적을 가지고 악용할 수 있다.

아래의 일부 코드를 통해 imei 및 스마트폰 모델, 안드로이드 플랫폼 및 SDK 버전, 전화번호 목록 등을 수집하고 외부에 유출 시도를 하는 기능을 수행할 수 있다.

클릭하시면 확대된 화면을 보실 수 있습니다.


정보 수집 및 유출과 함께 가장 많이 악용되고 있는 SMS 발송 기능은 아래의 일부 코드를 통해 수행될 수 있다.
  

ㄱ. SMS 발송


ㄴ. MMS 발송


위와 같이 특정 조건에 따라 SMS 혹은 MMS를 구분하여 무단 발송 기능을 수행할 수 있다.
  

또한, 해당 악성 애플리케이션은 아래의 일부 코드를 통해 실행중인 애플리케이션 목록을 수집 후 애플리케이션을 강제 종료할 수 있는 기능을 수행할 수 있다.

 


위 코드를 통해 SDK 버전 8(안드로이드 2.2버전)을 기준 조건으로 실행중인 애플리케이션을 강제 종료 시도하는 기능에 대한 확인이 가능하다. 2.2버전을 기준 조건으로 설정한 이유는 해당 버전을 기준으로 강제 종료에 대한 API가 변경되었기 때문이다.

※ 2.2 이상 버전에서는 killBackgroundProcesses() 메서드로 프로세스를 종료할 수 있으나, 2.1 이하 버전에서는 restartPackage() 메서드로 프로세스 종료를 진행할 수 있다.

3. 예방 조치 방법

최근 유포되고 있는 악성 애플리케이션은 위와 같이 사용자 몰래 특정 악성 동작을 진행하는 트랜드가 주를 이루고 있다. 또한, 아직까지는  정밀한 기법을 통해 위와 같은 악성 동작을 수행하는 애플리케이션이 출현하지는 않고 있다. 다만, 현재와 같은 테스트 수준의 악성코드 구현을 통해 지속적으로 애플리케이션을 통한 악성 동작 POC(Proof of Concept)가 진행되고 있는 만큼 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하여 사용자 스스로 안전한 스마트폰 사용을 위해 주의를 기울이는 것이 스마트폰 보안을 위한 최선의 방법이될 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.AdSms.F






저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

모바일 보안 위협이 지속적으로 증가하고 있는 가운데 최근 안드로이드 악성 애플리케이션중 SMS와 관련된 악성 애플리케이션의 유포가 눈에 띄게 증가하고 있다. 여러가지 감염 증상을 가지는 악성 애플리케이션에 SMS 발송 기능이 추가되거나 사용자 몰래 SMS에 대한 무단 발송 등 단일적인 감염 증상 까지 적용 범위도 넓어져가고 있다. 이러한 악성 애플리케이션에 감염될 경우 사용자 모르게 지속적인 이용 과금이 부과되거나 특정 광고 용도로 사용되는 등 여러가지 피해가 유발될 수 있다.

아래의 그림은 최근 1주일 동안 접수 및 수집된 악성 애플리케이션에 대한 종류별 유포 추이 그래프이다.

[1주일 동안 악성 애플리케이션의 유포 추이 그래프]
  

2. 유포 경로 및 감염 증상

이러한 악성 애플리케이션은 해외의 각종 블랙마켓, 3rd party 마켓 등을 주요 유포 경로로 사용하고 있다.

최근 유포 되고 있는 SMS 관련 악성 애플리케이션은 쉽고 간단한 유포와 지속적인 변종 제작을 위해 재패키징 기법 보다는 단일적으로 순수 악성 애플리케이션을 제작하여 유포하는 경우가 대부분이다.

아래의 그림은 최근 유포되고 있는 SMS 관련 악성 애플리케이션중 러시아 사용자들을 주요 타겟으로한 악성 애플리케이션에 대한 설치 화면이며, 현재 다수의 변종을 지속적으로 유포하고 있는 종류이다. 또한, 설치 시 아래와 같은 권한 요구 화면을 보여줄 수 있다.


※ 전체 권한

- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.CAMERA"
- android:name="android.permission.CHANGE_CONFIGURATION"
- android:name="android.permission.EXPAND_STATUS_BAR"
- android:name="android.permission.CONTROL_LOCATION_UPDATES"
- android:name="android.permission.GET_ACCOUNTS"
- android:name="android.permission.BATTERY_STATS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.READ_CALENDAR"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.READ_FRAME_BUFFER"
- android:name="com.android.browser.permission.READ_HISTORY_BOOKMARKS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.STATUS_BAR"
- android:name="android.permission.SYSTEM_ALERT_WINDOW"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.WRITE_CONTACTS"
- android:name="android.permission.WRITE_CALENDAR"

설치가 완료되면 아래의 그림과 같은 아이콘이 생성되며, 실행시 아래와 같은 메인화면을 보여줄 수 있다.
  

◆ 아이콘


◆ 실행 화면

  

해당 악성 애플리케이션은 설치 후 메인화면의 버튼 클릭을 진행하면 아래의 일부 코드로 인해 SMS 발송이 진행되며, 수신 번호 지정은 Dialog 파싱 기법을 사용하고 있다.


SMS 발송은 위 일부 코드와 같이 스레드 실행 방식을 통해 사용자 몰래 무단적으로 SMS 발송이 이루어지게 된다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 의도적으로 제작되는 경우가 대부분이므로 애플리케이션 다운로드 시 설명부분에 SMS와 관련한 내용을 고의적으로 누락시킬 가능성이 높다. 또한, 해당 악성 애플리케이션은 사용자 몰래 SMS 발송 등 악의적인 기능을 수행하기 때문에 사용자가 위와 같은 감염 증상을 인지하기가 매우 어렵다.

이와 같은 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 악성 애플리케이션 중 루팅을 시도 하는 종류가 여럿 발견되었으나 그간 안드로이드 SDK 2.2버전 이상에서는 정상적으로 루팅 동작이 수행되는 종류는 없었다. 이러한 와중에 진저브레드(안드로이드 SDK 2.3버전)의 취약점을 이용한 악성 애플리케이션이 해외에서 출현하여 사용자들의 각별한 주의가 요망되고 있다. 해당 악성 애플리케이션은 중국의 사용자들을 타겟으로 제작되었으나, 진저브레드의 취약점이 노출된 만큼 변종 악성파일의 출현 가능성이 높고, 잉카인터넷 대응팀은 변종도 10여종 발견을 한 상태이다.

  

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 정상 애플리케이션에 대한 재패키징 형태이다. 구글 안드로이드 마켓을 통해서는 유포가 이루어지고 있지 않으것으로 파악되었으며, 각종 블랙마켓, 3rd Party 마켓 등을 위주로 유포되고 있는 것이 확인되었다.

해당 악성 애플리케이션을 다운로드 받은 후 설치를 시도하면 아래와 같은 권한 요구 화면을 출력한다.


※ 전체 권한

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.READ_LOGS"

- android:name="android.permission.DELETE_CACHE_FILES"

- android:name="android.permission.ACCESS_CACHE_FILESYSTEM"

- android:name="android.permission.WRITE_SECURE_SETTINGS"

- android:name="android.permission.ACCESS_NETWORK_STATE"

- android:name="android.permission.INTERNET"

- android:name="android.permission.WRITE_EXTERNAL_STORAGE"

- android:name="android.permission.MOUNT_UNMOUNT_FILESYSTEMS"

- android:name="android.permission.READ_OWNER_DATA"

- android:name="android.permission.WRITE_OWNER_DATA"

- android:name="android.permission.WRITE_SETTINGS"

- android:name="com.android.launcher.permission.INSTALL_SHORTCUT"

- android:name="com.android.launcher.permission.UNINSTALL_SHORTCUT"

- android:name="android.permission.RECEIVE_BOOT_COMPLETED"

- android:name="android.permission.RESTART_PACKAGES"

설치가 모두 완료되면 아래의 그림과 같은 실행 아이콘이 생기며, 실행 시 해외 유명 연예인들의 사진을 보여준다. 월페이퍼 기능은 없으며, 사진중에는 국내 유명 연예인의 사진도 다수 포함되어 있다.
  

◆ 실행 아이콘 (변종의 경우 아이콘의 화면이 다르다.) 

 


해당 악성 애플리케이션은 다양한 종류의 변종이 존재하며, 모두 위와 같은 2가지 종류의 아이콘을 사용한다.

◆ 실행 화면 (유명 연예인들의 사진들을 보여주는 애플리케이션이다.)


  

■ 상세 분석

해당 악성 애플리케이션의 감염 증상은 아래와 같이 요약해 볼 수 있다.

※ 감염 증상

1. IMEI/IMSI 등의 기기정보, 전화번호, /proc/cpuinfo를 통한 프로세스, CPU타입, 모델, 제조사 등의 정보 수집

2. 수집한 정보의 외부 유출

3. 루팅을 위한 SDK 버전 정보 획득

4. 루트권한 획득

5. 추가적인 apk 파일 다운로드 및 설치 시도
  

◆ 정보 수집 코드

우선 설치가 완료되면 한개의 리시버(GameBootReceiver)와 함께 정상을 포함한 다수의 Activity가 등록되며, 아래의 일부 코드들을 통해 스마트폰에 대한 기기정보 외 다수의 정보를 수집 후 외부로 유출할 수 있다.


◆ 진저브레드 취약점을 통한 루트 권한 획득

해당 악성 애플리케이션은 이미 알려진 Gingerbreak 루팅 기법을 이용해 아래의 일부 코드와 같이 진저브레드의 취약점을 통한 루트 권한 획득 시도를 할 수 있다.


해당 악성 애플리케이션은 루트 권한을 얻기 위해 악성 애플리케이션 내부 패키지에 포함된 "gbfm.png"파일을 이용한다. 해당 파일은 확장명을 "png" 형태로 위장한 ELF 파일이며, 이러한 ELF 파일을 통한 쉘 명령으로 비로소 루트 권한 획득이 가능해질 수 있는 것이다.

추가적으로 "gbmf.png" 파일은 "GingerBreak For Me"의 약어로 추정된다고 알려졌다.

◆ 추가적인 apk 파일 다운로드 시도

해당 악성 애플리케이션은 외부 C&C 서버와의 연결을 통해 아래의 일부 코드와 같이 외부에서 특정 apk파일을 다운로드 받을 수 있으며, 진저브레드 취약점을 통해 획득한 루트권한으로 루트 쉘 명령에 의한 추가 패키지 설치를 시도할 수 있다.

※ 추가적인 apk 파일 다운로드 URL

-
http://apk.(생략)/apk/(년월일)/19225910801.apk
  

3. 예방 조치 방법

진저브레드의 취약점이 노출되면서 향후 지속적으로 루트 권한을 훔칠 수 있는 악성 애플리케이션의 출현 빈도가 높아질 수 있다. 이러한 악성 애플리케이션에 감염될 경우 사용자의 스마트폰에서는 원치 않는 다양한 악의적인 기능이 동작될 수 있다.

악성 애플리케이션이 스마트폰의 루트 권한을 획득한다면 어떠한 추가적인 피해가 발생할지 짐작하기 어렵다. 때문에 이러한 스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.GingerMaster.A
- Trojan-Spy/Android.GingerMaster.B
- Trojan-Spy/Android.GingerMaster.C
- Trojan-Spy/Android.GingerMaster.D
- Trojan-Spy/Android.GingerMaster.E
- Trojan-Spy/Android.GingerMaster.F
- Trojan-Spy/Android.GingerMaster.G
- Trojan-Spy/Android.GingerMaster.H
- Trojan-Spy/Android.GingerMaster.I
- Trojan-Spy/Android.GingerMaster.J
- Trojan-Spy/Android.GingerMaster.K

 



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

최근 발견되고 있는 악성 애플리케이션들은 단순 정보 수집 단계에서 이제는 사용자 몰래 특정 악성 기능들을 수행하여 이용 과금을 유발해 금전적 피해를 줄 수 있는 단계로 위험 범위가 확산되고 있다. 이러한 와중 중국의 SMS 프리미엄 서비스 가입을 통한 과금을 유발하는 악성 애플리케이션이 발견되어 사용자들의 각별한 주의가 요망되고 있다.

[[주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견]

http://erteam.nprotect.com/181
  

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 현재 구글 안드로이드 마켓에는 존재하지 않으며, 중국의 블랙마켓, 3rd Party 마켓등을 중심으로 유포될 수 있다.

위와 같은 악성 애플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 출력할 수 있다.


※ 전체 권한

- android:name="android.permission.READ_CONTACTS"

- android:name="android.permission.RESTART_PACKAGES"

- android:name="android.permission.INTERNET"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.RECEIVE_SMS"

- android:name="android.permission.WRITE_EXTERNAL_STORAGE"

- android:name="android.permission.ACCESS_NETWORK_STATE"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.READ_SMS"

- android:name="android.permission.WRITE_SMS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘을 생성하며, 해당 아이콘을 클릭 시 아래의 그림과 같은 실행화면을 출력한다.
  

▶ 실행 아이콘


▶ 실행 화면

  

■ 상세 분석

해당 악성 애플리케이션은 SMS 관리를 위해 아래와 같은 1개의 리시버를 등록하며, 높은 우선순위를 책정해 놓을 수 있다.

※ Receiver 등록

- com.talkweb.comm.SmsReceiver


또한, 해당 악성 애플리케이션은 감염 후 특정 이동통신 등의 프리미엄 서비스 가입을 진행할 수 있으며 가입 절차는 해당 프리미엄 서비스 가입 요청 전화번호로 SMS 전송을 통해 이루어진다.

※ 세부 가입 절차

- 서비스 공급자에게 서비스 가입 SMS 전송
- 서비스 공급자는 해당 SMS에 대한 상세 설명 등의 응답(SMS 회신)
- 사용자는 서비스 공급자의 응답 SMS에 "Y" 문장을 포함한 SMS 회신이 필요하다.

위와 같이 프리미엄 서비스 가입 절차가 이루질 경우 해당 악성 애플리케이션은 사용자 몰래 해당 서비스 공급자로부터 회신되는 SMS를 확인 후 "Y" 등의 SMS 회신을 통해 사용자의 인증 없이 가입 절차를 마무리할 수 있다. 또한, 이러한 진행 상황을 사용자가 알 수 없도록 아래의 일부 코드를 통해 관련 SMS에 대한 삭제를 진행한다.


지난번 이슈가 되었던 프리미엄 서비스 가입 악성 애플리케이션과는 조건문에 서비스 번호가 한개더 추가된다는 차이점있다.

3. 예방 조치 방법

해당 악성 애플리케이션은 중국 사용자들을 타겟으로 제작되었기 때문에 당장 국내에서 피해 사례가 발생하진 않을 것으로 예상된다. 다만, 악성 애플리케이션은 언제든지 재패키징을 통해 또다른 악성 애플리케이션으로 "재탄생"이 가능하기 때문에 언제든지 피해가 발생할 수 있다.

이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이 될 수 있을것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.GO108.A


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect