1. 한국인을 노린 스마트 보안위협 증대


잉카인터넷 대응팀은 마치 "구글 코리아에서 배포하는 안드로이드 전용 모바일 보안 업데이트 내용처럼 조작"된 악성 문자 메시지가 국내 불특정 다수의 스마트폰 이용자들에게 또 다시 유포된 정황을 포착하였다. 해당 문자메시지는 2012년 11월 27일 "구글 코리아 서비스 신규앱 출시 인터넷 향상 업데이트" 문자 메시지로 위장 배포됐던 안드로이드 악성파일(KRFakePK)의 변종으로 파악되었고, 작년부터 최근까지 꾸준히 변종이 유포되고 있는 실정이다. 2012년 12월 12일에는 한국인터넷진흥원(KISA)의 "폰키퍼"로 위장했던 사례도 보고된 바 있으며, 근래들어 구글 코리아 서비스로 사칭한 유사형태가 지속적으로 발견되고 있는 상황이다. 특히, 최근 발견된 악성파일의 경우 안랩(ahnlab)의 스마트뱅킹 보안 서비스인 [V3 Mobile PLUS 2.0] 프로그램처럼 보이도록 조작하는 등 국내 이용자를 노린 한국 맞춤형으로 특별히 제작되고 있다는 점에 주목된다. 더불어 해당 안드로이드 기반 악성파일이 분산서비스거부(DDoS) 공격기능을 기본 탑재하는 등 공격자가 뚜렷한 목적과 의도성을 가지고 있다는 점과 언제든 좀비 스마트폰을 이용한 모바일 DDoS 공격이 현실화될 수 있다는 점에서 시사하는 바가 크다고 할 수 있다.


[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가
http://erteam.nprotect.com/368

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[주의]롯데리아 앱 위장 KRSpammer 변종 출현!
http://erteam.nprotect.com/361

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

2. 안드로이드 기반 악성파일 유포과정

2012년 10월 경부터 국내 스마트폰 이용자들을 노린 안드로이드 악성파일이 본격적으로 유포돼고 있으며, 2013년 1월에는 국내 안드로이드 스마트폰 이용자들 겨냥한 악성파일이 급증하고 있는 상황이다.

악성파일은 먼저 구글코리아나 국내에서 서비스 중인 "폰키퍼"나 "V3 모바일" 보안프로그램처럼 위장해서 문자메시지와 단축URL 서비스를 이용해서 연속적으로 유포를 시도 중이다.


2013년 01월 23일 발견된 형태는 google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭이라는 문자내용과 해외의 단축 URL 서비스를 조합하여 안드로이드 악성파일을 설치하도록 유도하는 문자메시지 형태가 발견되었다. 공격자는  유포 서버의 IP주소가 차단되면 계속해서 새로운 IP주소를 만들어서 악성 APK 파일을 전파시키고 있다.

현재까지 잉카인터넷 대응팀이 확인한 공격자의 서버 IP주소는 다음과 같은데, 거의 동일한 대역폭을 사용하고 있다는 것을 알 수 있다. 

- 103.21.208.160
- 103.21.208.162
- 103.21.208.164
- 103.21.210.215
- 103.21.210.219
- 103.21.210.220

IP 주소는 중국에서 사용하고 있으며, 할당된 IP 대역폭은 다음과 같다.

- 103.21.208.0 ~ 103.21.211.255

공격자는 국내 ISP망에서 접속이 차단되면 지속적으로 IP주소를 변경하여 운영하고 있기 때문에 상기 대역폭 범위에서 지속적인 변종 공격이 진행될 것으로 전망된다. 만약 가능하다면 해당 IP 대역폭을 사전에 감지할 수 있도록 조치하거나 차단할 수 있다면 어느정도 예방도 가능할 수 있을 것으로 보인다. 물론 공격자는 언제든 새로운 공격 서버를 구축할 수 있다.


google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭이라는 내용으로 가장하여 전파된 안드로이드 악성파일은 설치시 다음과 같은 절차를 통해서 사용자 스마트 단말기에 설치가 진행된다.

애플리케이션 설치과정에서는 Google Mobile 제목으로 아래와 같은 권한 내용을 보여준다.

[설치]가 완료되면 다음과 같이 마치 "AhnLab V3 Mobile PLUS 2.0" 제품처럼 조작된 화면을 사용자에게 보여주지만, 실제로는 DDoS 기능을 보유한 악성파일에 감염되게 된다.


악성파일은 중국 DNS 소재(ns14.dns.com.cn) gzqtmtsnidcdwxoborizslk.com (TCP Port 2700-2799) 사이트로 접속을 시도하며, 스마트폰에 수신되는 문자메시지(SMS)를 감시하게 되며, 문자메시지 명령어에 따라 DDoS 기능을 수행할 수 있게 된다.

- #m : 해당 문자열로 시작할 시 특정 번호로 SMS 무단 발송

- #b : 시간 확인 및 변수 할당

- #u : 특정 사이트를 공격 목표로 DDoS 기능 수행

- #e : 스레드 실행 여부 확인 및 지연

- #t : 감염된 스마트폰의 전화번호 확인



http://www.gzqtmtsnidcdwxoborizslk.com/ 사이트는 현재 국내에서 접속이 가능하기 때문에 공격자의 명령에 따라 DDoS 공격기능이 활성화될 수 있을 것으로 우려되어, 한국인터넷진흥원(KISA)에 해당 도메인 접속 차단을 요청하였다.


3. 대응방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRFakePK.A
- Trojan/Android.KRFakePK.B
- Trojan/Android.KRFakePK.C
- Trojan/Android.KRFakePK.D
- Trojan/Android.KRFakePK.E
- Trojan/Android.FakeV3.B
- Trojan/Android.FakeV3.C

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


저작자 표시
신고
Posted by nProtect
1. 국내 안드로이드 스마트폰 이용자를 노린 위협 증대


잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 직접 겨냥 악성파일을 추가로 발견하였다. 이번에 발견된 KRSpammer 변종 악성파일은 파리바게뜨, 카페베네, 피자헛, 다빈치커피, 롯데리아 안드로이드 앱 이벤트를 위장하여 국내 특정 사용자들에게 배포되었다. 악성파일 제작자는 국내 이용자들의 소액결제 승인 문자메시지를 몰래 가로채기 하여 불법적으로 인터넷 결제를 시도하는 등의 사이버 범죄를 시도하고 있으며, 일부에서는 실제 피해도 발생하고 있는 것으로 알려진 상태이다. 잉카인터넷 대응팀은 nProtect Mobile for Android 무료제품에 긴급 업데이트하였으므로, 이용자들은 최신 버전으로 업데이트하여 전체 검사를 수행해 보는 것을 적극 권장한다.



★ 현재 유명 회사를 사칭해서 변종이 지속적으로 유포 중입니다. 혹시 이와 관련된 문자메시지를 받으시는 경우 isarc@inca.co.kr 주소로 관련 정보를 신고해 주시면 신속히 분석하고 대응해 드리겠습니다.

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

◈ 환급금조회 사칭, 파리바게뜨 앱 위장 등 지속적인 변종 출현중!

각종 피싱 SMS를 이용하여 해당 악성 애플리케이션의 변종이 지속적으로 출현하고 있다. 이번에는 유명 제빵 업체로 위장한 피싱 SMS를 통해 유포 시도가 이루어졌으며, 수집된 정보의 유출 IP만이 기존의 악성 애플리케이션과 상이하다. 아래의 그림은 해당 제빵 업체에서 홈페이지를 통해 공지중인 피싱 주의 알림중 일부이다.


카페베네를 위장한 안드로이드 악성앱도 보고된 상태이다.

 





악성파일 제작자는 그외에도 다양한 유명 국내업체를 사칭해서 악성앱을 전파할려고 시도했던 것으로 보인다. 아래와 같이 국내 다수의 기업 아이콘을 악용하였다.



2013년 01월 09일 다빈치 커피의 무료 이벤트로 위장한 변종이 추가발견됐다.


2013년 01월 11일에는 롯데리아 쿠폰 위장한 형태가 추가 발견됐다.


2. 요금과다청구 환급금조회 사칭 악성파일 정보


악성파일은 얼마전 발견되었던 안드로이드 악성파일(KRSpammer) 변종과 비슷한 방식으로 전파되었는데, 이번에는 [고객님! 요금과다청구 환급금조회 http://tinyurl.com/(일부생략) ☜클릭] 내용으로 사용자로 부터 악성 URL 링크 클릭을 유도하고 있다.

현재 악성 링크가 정상적으로 작동되고 있어, 일부분을 강제로 모자이크 처리한 상태이며, 기존의 변종과 동일하게 Dropbox 서비스를 통해서 "SmartBilling.apk" 파일이 설치시도 되고 있다.

※ 파리바게트 위장형과 카페베네 위장형 변종은 파일명이 "SmartBill.apk" 이다.

 



안드로이드 스마트폰의 경우 APK 설치가 진행되며, 인터넷 익스플로러 브라우저에서는 아래와 같이 다운로드가 시도된다.


현재까지 확인된 바에 의하면 악성파일은 2가지 변종 형태로 제작되었으며, 2012년 11월 24일과 11월 25일 경에 배포된 것으로 추정된다. 기존과 동일하게 "스마트청구서" 형태의 변종 1개와 새로운 이름의 "e-청구서" 형태가 확인된 상태이다.


또한, 악성파일 내부에는 동일하게 다음과 같은 아이콘 리소스를 포함하고 있어 여러가지 형태로 변종 제작이 시도되고 있다는 것을 예측할 수 있다. 이번에는 "bkg_nok.png""icon_sexy.png" 등이 추가되었다.


새롭게 발견된 변종은 각각 "스마트청구서" 와 "e-청구서" 이름으로 제작 배포되었다.


설치 후 실행되면 모두 아래와 같이 가짜 에러화면을 동일하게 보여주며, 사용자로 하여금 단순 서버 접속 장애로 보이도록 위장하지만, 이는 의도된 가짜 메시지로 이용자를 속이기 위한 과정이고, 이후 이용자의 SMS(MMS) 메시지를 감시하기 시작한다.


이번 Trojan/Android.KRSpammer.F 변종은 Trojan/Android.KRSpammer.D 변종에서 아래와 같이 감시대상 발신번호가 일부 더 추가되었고, 정보 유출 IP주소 등이 변경되었다.

[Trojan/Android.KRSpammer.D]

"15880184" : 옥션
"16000523" : 모빌리언스
"15990110" : 11번가
"15663355" : 다날
"15665701" : G마켓
"15880184" : 옥션
"15990110" : 11번가
"15665701" : G마켓
"16001705" : 모빌리언스
"15663357" : 다날
"16000523" : 모빌리언스
"15663355" : 다날
"019114"   : LG텔레콤
"15997474" : 11번가 도서
"15663357" : 다날
"15991552" : 문자통
"16008870" : 피망
"15883810" : 한게임
"16443333" : 아이템 베이
"15448881" : 인포 허브
"15445553" : 인포 허브
"16443333" : 아이템 베이
"16008870" : 피망
"15663355" : 다날
"15883810" : 한게임
"16001705" : 모빌리언스
"16000523" : 모빌리언스
"16441006" : 서울 신용 평가 정보
"15771006" : 서울 신용 평가 정보
"15663357" : 다날
"0190001813" : 국번 없음
"15660020" : 엔씨소프트
"16001522" : 나이스 신용 평가 정보
"15885188" : 꾸민새 네트워크
"15883610" : 중앙일보
"15885984" : 다우페이
"15885412" : 뿌리오 고객센터
"16449999" : 국민은행
"15992583" : 아이엠페이
"15885180" : 넷마블

[Trojan/Android.KRSpammer.F]

"0220093777" : 문자 나라
"15992583" : SK M&C
"16004748" : 문자 조아
"15663315" : 대부도 펜션 빌리지

수집된 문자 정보 등은 다음과 같은 IP주소로 무단 유출 시도된다.


- 27.126.185.86
- 49.212.203.91

악성파일은 홍콩과 일본 등의 특정 호스트로 정보를 유출 시도한다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


 


저작자 표시
신고
Posted by nProtect

1. 국내 안드로이드 보안위협 신호탄


2012년 10월 26일 한국내 안드로이드 스마트폰 이용자를 직접적으로 겨냥한 안드로이드 악성파일이 구글 플레이 마켓에서 배포되고 있던 정황이 공식적으로 처음 확인되었다. 이 내용은 스마트폰 정보보호 민관합동 대응반을 통해서 신속하게 정보공유가 진행되었고, 유관기관들과 긴밀한 긴급대응이 진행되었다. 이번에 발견된 안드로이드 악성파일은 한글 소개서비스는 물론 대담하게도 정부기관을 사칭하여 설치를 유도했다는 점에서 더 큰 충격을 주고 있다. 이에 잉카인터넷 대응팀은 확보된 안드로이드 악성파일에 대해서 nProtect Mobile for Android 제품에 [Trojan-SMS/Android.KRSpammer]라는 대표 진단명으로 변종 탐지 및 치료기능을 긴급 업데이트한 상태이고 유사변종 출현 및 이상징후에 예의주시를 하고 있다.
 

해당 안드로이드 악성파일은 마치 스팸(Spam) 및 금융권 피싱 등을 차단하는 용도의 안드로이드 보안 애플리케이션처럼 위장하였으며, 개발자는 STech 이라는 필명을 사용하여 ▶Spam Guard, ▶Spam Blocker, ▶Stop Phishing!! 이라는 3가지 종류의 앱을 구글 플레이 마켓에 등록해 둔 상태이다. 특히, 코드 내부에는 국내 이통사와 보안업체 아이콘을 포함하고 있어, 처음부터 의도적으로 국내 이용자를 노려 제작된 것으로 추정된다.

※ <참고>스마트폰 정보보호 민관합동 대응반
방송통신위원회와 한국인터넷진흥원(KISA)이 스마트폰 보안위협의 신속한 정보공유와 선제적인 대응협력 체제 구축을 위하여 보안업체, 이동통신사, 단말기 제조사 등의 실무진들이 함께 참여하는 민관 스마트폰 정보보호 협력구성 특별 조직체이다.

2. 안드로이드 악성파일 정보

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

안드로이드 악성파일은 방송통신위원회(방통위)를 사칭해 마치 (스팸문자 차단 애플리케이션)처럼 위장된 내용과 단축 URL링크 주소를 클릭하도록 유도하는 형태로 배포되었고, 연결된 링크는 STECH 이라는 개발자가 등록한 구글 플레이(Google play) 마켓으로 연결된다. 구글 플레이 마켓에는 Spam Guard, Spam Blocker, Stop Phishing!! 등 3가지가 등록되어 있다.



특히, Spam Guard 프로그램의 경우 우리나라 태극기 이미지를 이용하여 프로그램 아이콘에 사용하였고, 최근까지도 국내에서 매우 극성을 부리고 있는 금융권 사칭 피싱과 스팸문자 피해를 필터링할 수 있는 프로그램처럼 소개를 하고 있어, 국내 상황을 익히 잘 알고 있는 사람이나 조직의 소행으로 어느정도 추정이 가능하다.



안드로이드 악성파일 내부에는 다음과 같은 다양한 아이콘 리소스 이미지를 포함하고 있는데, 이중에는 국내 유명 보안업체와 이동통신사 등의 아이콘을 포함하고 있어 제작자는 여러형태로 위장된 내용을 이용하려 했던 것으로 보인다.


위에서 언급된 3가지 악성 애플리케이션(Spam Guard, Spam Blocker, Stop Phishing!!)은 모두 동일한 정보에 대한 외부 유출 시도를 하며, 큰틀에서 악성 동작과 관련한 코드는 대부분 동일하다.

※ 전체 악성 동작

☞ 특정 외부 사이트로 단말기 및 SMS 정보 유출

※ 전체 유출 정보

☞ 감염된 스마트폰의 전화번호
☞ 감염된 스마트폰의 망사업자명(통신사명)
☞ 특정 번호에서 발신된 SMS


또한, 3가지 악성 애플리케이션 모두 아래와 같이 동일한 권한을 필요로 하고 있다.


해당 악성 애플리케이션들은 내부에 아래와 같은 3가지의 리시버를 등록하고 있으며, 해당 리시버의 동작을 통해서 악의적인 기능이 수행된다.

※ 등록된 리시버

☞ SMSService
 - SMS, MMS 수신시 동작한다.
 - 내부에 정의된 특정번호로 SMS가 수신될 경우 해당 정보에 대한 유출을 시도한다.

☞ RebootService
 - 재부팅시 동작한다.
 - 재부팅되면 메인액티비티를 실행하여 해당 애플리케이션이 동작하도록 한다.

☞ KeepAlive
 - 애플리케이션 실행 시 알람메니저를 통한 리시버 호출로 동작한다.
 - 지속적으로 인텐트를 수신받아 외부 특정 서버와의 통신 및 특정 정보 유출을 시도한다.


또한, 해당 악성 애플리케이션은 아래의 그림과 같이 리시버에 대한 우선순위를 설정하여, 다른 애플리케이션의 리시버보다 우선적으로 동작할 수 있도록 설정하고 있다. (BINARY_INTEGER 최대값 2147483647로 설정)


악성 애플리케이션이 실행되면 아래의 그림과 같이 한글로 사용문구가 표기된 메인 액티비티가 출력되지만, 실제로 스팸차단 기능은 전혀 포함하지 않고 있으며, 오직 스마트폰 이용자의 전화번호, 통신사 정보, 특정 번호에서 수신된 SMS 내용 등이 미국의 IP 주소로 전송 시도 되고 있다.


해당 악성 애플리케이션은 실행과 동시에 아래의 일부코드를 통해 특정 외부 사이트로 전화번호, 망사업자명 등의 정보를 유출 시도하며, KeepAlive 리시버를 통해 기능이 수행된다.


또한, 아래의 SMSService 리시버 일부 코드를 통해 수신되는 SMS에 대한 감시 후 내부에 저장된 특정 번호와 발신 번호가 동일할 경우 외부 사이트로 해당 SMS에 대한 내용을 유출 시도하게 된다.

 

※ 내부에 등록된 감시용 발신번호

15445553, 15448881, 15660020, 15663355, 15663357, 15665701, 15771006, 15880184, 15883610, 15885188, 15990110, 15991552, 15997474, 16000523, 16001522, 16001705, 16008870, 16441006, 16443333


해당 전화번호들은 휴대폰 소액결제 전문업체, 인터넷 쇼핑몰, 온라인 게임업체, 온라인 게임아이템 거래업체 등의 번호로 사용자에게 수신된 결제 내역이나 중요정보 등이 무단유출되는 피해를 입을 수 있다.


구글 플레이 마켓에서 발견된 3가지 악성 애플리케이션은 종류에 따라서 사용되는 IP주소가 각기 조금씩 다르고, 현재는 한국인터넷진흥원(KISA)에 의해서 모두 차단이 된 상태이다.

☞ 50.18.59.8 (Spam Blocker)
☞ 54. 243.187.198 (Stop Phishing!)
☞ 50.18.59.185 (Spam Guard)

정보가 유출 시도 되는 IP는 아래의 그림과 같이 미국에 소재하고 있다.


3. 안드로이드 악성파일 보안대비

그동안 해외(중국, 러시아 등) 이용자를 노린 안드로이드 악성파일은 매우 다양하고 많은 변종형태가 발견되어 보고된 바 있지만, 처음부터 의도적으로 국내 안드로이드 스마트폰 이용자를 주요 표적으로 제작된 악성파일 형태가 발견된 것은 공식적으로 처음이다.

이는 국내 스마트폰 이용자를 겨냥한 보안위협의 신호탄이라 할 수 있으며, 앞으로 다양한 형태의 보안위협으로 진화될 수 있을 것으로 예상된다. 따라서 이용자들은 스마트폰용 보안제품을 설치하여 정기적으로 업데이트 및 검사를 수행하도록 하는 노력이 중요하며, 의심스러운 애플리케이션이 발견되면 정부 및 보안업체 등에 신속히 신고하고 상담을 받는 것도 중요하겠다.

잉카인터넷 대응팀은 이번에 발견된 악성파일 3종을 nProtect Mobile for Android 제품에 Trojan-SMS/Android.KRSpammer.A, Trojan-SMS/Android.KRSpammer.B, Trojan-SMS/Android.KRSpammer.C 로 긴급업데이트를 완료한 상태이다.

또한, 일반 사용자들의 경우 백그라운드 상태에서 동작하는 악성 애플리케이션을 육안으로 식별해 내기란 매우 어려울 수 있다. 때문에 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 주의와 노력이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

저작자 표시
신고
Posted by nProtect

1. 개 요


최근 국내 가수 싸이의 강남스타일이 전세계적으로 엄청난 인기를 누리고 있다. 미국 빌보드 차트에서는 매주 한국인 가수 최초의 1위 탄생에 관심이 모아지고 있으며, 이미 유럽, 호주, 중국 등지 에서는 각국 차트 1위를 석권하고 있다. 이러한 와중에 해외 보안 업체 등을 통해 중국에서 강남스타일의 인기를 이용하는 악성 애플리케이션 출현에 대한 보고가 있었다. 민감할 수 있는 개인 정보에 대한 유출 위험이 있다는 보고이며, 해외 비공식 마켓을 이용하는 사용자들은 이와 같은 강남스타일 위장형 악성 애플리케이션에 대한 각별한 주의가 요망되고 있다.

  

2. 악성 애플리케이션 정보

해당 악성 애플리케이션은 공식 마켓(구글 플레이)에서는 배포되지 않고 있으며, 아래의 그림과 같이 해외의 비공식 마켓 등을 통해 유포가 이루어지고 있다.


■ 설치 정보

해당 악성 애플리케이션은 설치 시 아래의 그림과 같은 특정 권한을 요구한다.

아래는 전체 권한을 담고 있는 AndroidManifest.xml의 일부 코드이다.

해당 악성 애플리케이션은 아래의 그림과 같은 아이콘 및 크기를 가지며, 설치 완료 후 "환경설정" -> "애플리케이션 관리"에서 확인할 수 있다.

■ 분석 정보

해당 악성 애플리케이션은 설치가 완료된 후 실행하면 아래의 그림과 같은 메인화면을 출력하게 된다.

위 그림과 같이 붉은색 박스의 버튼을 클릭하게 되면 오른쪽 그림과 같이 mp4파일을 다운로드 받게 된다. 이때 다운로드되는 mp4파일은 악성파일이 아닌 강남스타일의 뮤직비디오 파일이다.

mp4파일의 다운로드가 완료되면 아래의 그림과 같은 실행화면으로 전환되며, 실행 시 강남스타일 뮤직비디오가 재생된다.

위 그림들과 같은 동작들은 특별히 악의적인 목적을 가진 악성동작이라고 보기 어렵다. 다만, 해당 악성 애플리케이션은 위 그림과 같은 뮤직비디오 파일 다운로드 및 실행 등의 동작과 함게 아래와 같은 일부 코드를 통하여 특정 정보에 대한 수집 및 수집된 정보의 외부 사이트 유출과 같은 악의적인 동작을 수행하게 된다.

 
※ 유출되는 전체 정보

imei
imsi
감염된 스마트폰의 전화번호
스마트폰의 제조사 정보
스마트폰의 모델 정보
애플리케이션 버전 정보
현재 시간 정보

※ 유출시도 URL

hxxp://(생략).(생략).(생략).(생략)/(생략)/starttimekeycount.php

3. 예방 조치 방법

해당 악성파일은 아직까지 국내에 유입된 정황이나, 특별한 피해사례는 보고되지 않고 있다. 물론, 중국 사용자들을 대상으로 제작된 애플리케이션이고 수집되는 정보들 또한 제작당시 악의적인 목적을 가지고 수집 및 외부 유출 시도를 하지 않았을 수 있다. 유효성 검사나 사용자 중복 등록 방지 등을 위해 수집할 수 있기 때문이다. 그러나, 어떠한 목적을 가지든 개인적인 정보들을 아무런 동의 없이 수집하는 행위는 불법적인 악성동작으로 간주할 수 있으며, 이러한 정보들이 각종 사이버 범죄에 이용되고 있기 때문에 애플리케이션의 제작자 및 사용자들은 제작/배포 및 사용에 각별한 주의를 기울여야 한다.

또한, 일반 사용자들의 경우 백그라운드 상태에서 동작하는 악성 애플리케이션을 육안으로 식별해 내기란 매우 어려울 수 있다. 때문에 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 주의와 노력이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

☞ Trojan/Android.InfoStealer.C


저작자 표시
신고
Posted by nProtect

1. 개 요


최근 해외에서 SMS Zombie로 일컬어지는 악성 애플리케이션이 발견되어 화제가 되고 있다. 악성 애플리케이션에 대한 스마트폰 보안 위협의 민감성이 약화되고 있는 시점에 중국에서는 약 50만대 가량의 단말기가 해당 악성 애플리케이션에 감염된것으로 추산되고 있으며, 이에 따른 막대한 금전적 손실이 있을것으로 예상되고 있다. 물론 해당 악성 애플리케이션은 중국의 안드로이드 OS기반 스마트폰 사용자만을 대상으로 동작하고 있는 만큼 국내에서 별다른 피해는 발생하지 않을 것으로 예상된다. 다만, 해외에서는 이미 금전적 이득을 목적으로 이러한 악성 애플리케이션의 실제 유포 및 감염 동작이 이루어지고 있다는 점에서 상당히 주목할만 하다고 할 수 있다.

  
2. 유포 및 감염 동작



해당 악성 애플리케이션은 아래의 그림과 같이 현재도 중국의 비공식 마켓 등을 통해서 유포가 이루어지고 있다.

위와 같은 비공식 마켓을 통해 다운로드 및 설치가 가능한 악성 애플리케이션은 실제로 SMS 무단 발송, 각종 정보 수집 등의 악성 동작을 하는 추가적인 악성 애플리케이션에 대한 설치를 유도하는 동작을 수행한다.

아래의 그림은 해당 악성 애플리케이션에 대한 설치 화면이다.

위 화면을 보면 설치 시 필요 권한이 나타나 있지 않고 설치 완료 후 "열기" 버튼도 비활성화 되어 있다. 이는 해당 악성 애플리케이션이 월페이퍼 형태로 제작되어 있고 기능 동작에 필요한 추가적인 권한은 메니페스트 정의가 아닌 코드상의 동적 등록 절차에 따른 것이다. 또한, 서비스로만 동작되기 때문에 별도의 런처가 등록되지 않아 "열기" 버튼도 활성화 되지 못한 것이다.

아래의 그림은 해당 악성 애플리케이션에 대한 AndroidManifest.xml 코드중 권한과 관련된 일부이다.

▶ Dropper 형태의 숙주 악성 애플리케이션 분석

해당 코드를 살펴보면 월페이퍼의 서비스 동작에 필요한 권한 이외에는 따로 등록된것이 없다. 결국 해당 악성 애플리케이션은 설치만으로는 스스로 동작하지 못하며, 아래의 그림과 같이 "배경화면" -> "라이브 배경화면"의 붉은색 월페이퍼를 선택해야 동작하게 된다.

위의 절차와 같이 해당 월페이퍼를 실행하면 아래의 그림과 같이 추가적인 애플리케이션 설치를 유도하는 AlertDialog가 화면에 출력된다.

위 그림의 오른쪽 버튼은 "취소", 왼쪽 버튼은 "확인" 버튼이다. 확인 버튼을 클릭하게 되면 아래의 그림과 같이 해당 악성파일 내부에 포함되어 있는 추가적인 파일의 설치를 시도하게 된다.

위 그림과 같이 해당 파일은 그림파일로 위장하고 있지만 실제로는 APK 파일이다. 결국 "확인" 버튼 클릭을 통해 그림파일로 위장된 추가적인 악성 애플리케이션의 설치가 진행될 수 있으며, Dropper 형태의 숙주 악성 애플리케이션의 악성 동작은 여기까지가 전부이다.

▶ 실제적인 악성 동작을 수행하는 추가적인 악성 애플리케이션 분석

아래의 그림은 내부에 포함되어 있던 추가적인 악성파일의 설치 화면이다.

해당 악성 애플리케이션 또한 서비스로만 동작되므로 위 그림과 같이 "열기" 버튼은 비활성화 되어 있다. 아래의 그림은 해당 악성 애플리케이션의 권한을 확인할 수 있는 AndroidManifest.xml 파일의 일부 코드이다.

설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같이 서비스로 로드되어 있는 것을 확인할 수 있다.

또한, 기기관리자 권한을 얻기 위해 아래의 그림과 같이 기기 관리자 활성화 창을 출력하게 된다.

위 그림과 같이 "활성화", "취소" 버튼이 모두 존재하고 있으나 실제로는 "활성화" 버튼만이 정상적으로 동작한다. "취소" 버튼을 클릭하게 될 경우 아래의 일부 코드에 의해 지속적으로 위 그림과 같은 기기 관리자 활성화 창만을 출력하게 된다.

결국 해당 악성 애플리케이션은 "활성화" 버튼 클릭 유도를 통해 기기 관리자 권한을 얻게되며, 이를 통해 애플리케이션 삭제 등과 같은 권한을 획득하게 된다.

※ 기기 관리자 권한 획득

보통 악성 애플리케이션이 기기 관리자 권한을 획득하는 경우는 자신의 생명력 유지를 위함이 대부분이다. 기기 관리자 권한을 획득할 경우 일반적인 언인스톨 과정을 통해서는 아래의 그림과 같이 삭제가 불가능하다.


※ 삭제 방법

이러한 종류의 애플리케이션은 악성과 정상 모두 존재할 수 있으며, 삭제를 위해서는 아래의 그림과 같은 방법이 필요하다.

☞ "환경 설정" -> "장소 및 보안" -> "기기 관리자 선택"


위 그림과 같이 해당 메뉴로 이동한 후 클릭 -> "비활성화"를 진행한다. 물론 "비활성화"를 클릭하여도 해당 악성 애플리케이션의 경우는 비활성화 체크 화면에서 다음 단계로 넘어가지 않는다. 이는 악성 애플리케이션의 내부 코드에 의해 비활성화에 대한 클릭리스너로 인한 증상이므로 신경쓰지 말고 홈버튼을 길게 누른 후 "작업 관리자" -> "실행중인 프로그램 모두 종료" -> 프로그램 탭에서 "해당 악성 애플리케이션 삭제"를 진행한다.

위와 같이 기기 관리자 권한 획득, 프로세스 로딩과 함께 해당 악성 애플리케이션은 설치 후 아래의 그림과 같은 특정 경로에 "phone.xml" 파일을 생성하게 된다.

해당 파일("phone.xml")은 아래의 일부 코드에 의해 내부에 특정 키워드를 포함해 생성되며, 중국어 간자체로 인코딩되어 있다.

아래의 그림은 phone.xml의 내부에 실제로 포함된 내용을 보여주고 있으며, 해당 파일의 파싱 작업 등을 통해 은행계좌 정보와 같은 금융권 정보 및 모바일 거래 정보에 대한 탈취를 시도할 수 있다.(SMS 감시에 의해 수행된다.)

위와 같은 절차가 마무리된 후 해당 악성 애플리케이션은 아래의 그림과 같이 감염된 스마트폰의 내부 정보를 수집하여 특정 번호(13093632006)로 SMS를 사용자 몰래 무단으로 발송하게 된다.

※ SMS 발신 상세 내용

- 1.5V:Model(모델정보:sdk);os(os버전정보);Language(사용언어);NET(네트워크사용정보:3G/wifi)

또한, 네트워크가 사용불가능 하거나 wifi가 아닌 3G를 사용하고 있을 경우는 아래의 일부 코드에 의해 특정 문구가 포함된 SMS를 동일한 번호로 사용자 몰래 무단 발송하게 된다.

이외에도 해당 악성 애플리케이션은 감염된 스마트폰의 루팅 여부를 확인한 후 아래의 일부 코드를 통해 동일한 번호로 SMS를 무단으로 발송하게 된다.

해당 악성 애플리케이션은 본격적인 정보 탈취 기능 수행을 위해 SMS 감시 기능도 수행하게 된다. AndroidManifest.xml상에는 이를 위한 권한이 선언되어 있지 않다. 그럼에도 불구하고 이와 같은 기능이 수행 가능한 이유는 AndroidManifest.xml이 아닌 아래와 같이 내부 코드상에 SMS 감시 관련 리시버를 동적으로 등록해 놓았기 때문이다.

해당 악성 애플리케이션은 SMS 감시를 위한 리시버가 AndroidManifest.xml에 포함될 경우 여러가지 보안 솔루션에 의해 Filter될 가능성이 존재하기 때문에 이와 같은 동적 등록 절차를 따랐을 가능성이 높다.

이렇게 등록된 SMS 관련 리시버는 수신되는 모든 SMS에 대한 감시를 수행하며, 미리 생성된 "phone.xml" 내부에 포함된 키워드와 파싱 비교 작업 후 조건이 충족될 경우 아래의 일부 코드를 통해 특정 번호로 해당 SMS를 사용자 몰래 무단 발송하게 된다.

위와 같이 악성 애플리케이션 입장에서 특정 조건이 충족되는 SMS는 특정 번호로 무단 발송된 후 사용자가 알 수 없도록 아래의 일부 코드를 통해 몰래 삭제 조치 된다.

3. 예방 조치 방법

위와 같이 실제적으로 악성 동작을 수행하는 악성 애플리케이션을 1차적인 Dropper가 내부에 포함하고 있는 경우 해당 Dropper가 수정될 경우 지속적인 보안 위협을 가지고 있을 수 있다. 더불어 감염될 경우 기기 관리자 권한 획득을 요구하는 위와 같은 악성 애플리케이션의 경우는 Zombie란 진단명에 어울리게 일반 사용자의 경우 삭제하기 조차 어렵다.

때문에 이러한 수많은 보안 위협으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단명 현황

- Trojan/Android.SMSZombie.A
- Trojan/Android.SMSZombie.B
- Trojan/Android.SMSZombie.C



 

저작자 표시
신고
Posted by nProtect

1. 개 요


올해들어 안드로이드 악성 애플리케이션은 작년에 비해 본격적으로 지능적인 감염 증상 형태를 보이고 있다. 예년에는 단말기 기기 정보, SMS, 위치 정보 등에 대한 수집 및 유출이 마치 테스트 과정을 거치듯 단편적으로 이루어 졌다면, 올해 들어서는 이러한 악의적인 기능들이 통합되어 동작하거나, 실행 아이콘을 등록하지 않는 등 감염 후 증상에서 지능적인 동작 형태를 보이고 있는 것이다. 물론, 소위 이러한 악성 애플리케이션들이 모두 제작시 "악의적인 의도"를 가지고 만들어지는 것은 아니다.

  

정상적인 사용 용도로 만들어진 애플리케이션들이 악용될 수 있는 코드 혹은 기능이 삽입되어 있거나 권장하지 않는 프로그래밍 기법을 통해 제작될 경우 "악성 애플리케이션"으로 분류되기도 한다.

최근 국내 안드로이드 관련 커뮤니티 사이트(까페 등)에서 공유되고 있는 애플리케이션 중 "악성 애플리케이션"으로 분류되고 있는 경우가 점차 늘고 있으며, 보통 이러한 경우가 위에서 설명한 악성 진단 케이스이다. 제작 의도와 상관없이 개인 정보 등에 대한 수집 및 유출이 악성 판단의 근거가 될 수 있기 때문이다.

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

잉카인터넷 대응팀에서는 국내외를 가리지 않고 모든 보안 위협에 대비하기 위해 해외의 비공식 마켓을 포함하여 국내에서도 악성 애플리케이션에 대한 유포가 가능한 커뮤니티 사이트를 중심으로 관제 범위를 지속적으로 확장하고 있다.

2. nProtect Mobile for Android 업데이트 현황

아래의 그림은 2012년 1/4 분기 동안 국내외의 비공식 마켓 및 관련 커뮤니티 사이트 등을 중심으로 수집된 악성 의심 샘플의 nProtect Mobile for Android 제품 업데이트 반영 현황이다.

▶ 1월 수집 및 업데이트 통계


▶ 2월 수집 및 업데이트 통계


▶ 3월 수집 및 업데이트 통계

상기의 그림을 통해서 지속적으로 유포되고 있는 안드로이드 악성 애플리케이션의 현황에 대한 파악이 가능하며, 특히 특정 기간 및 이슈에 국한된 유포 범위가 아닌점으로 미루어보아 안드로이드 악성 애플리케이션에 대한 유포 범위가 전반적인 수준으로 자리잡고 있음이 확인 가능하다.

3. 마무리

최근 실행 아이콘을 생성하지 않아 애플리케이션의 동작 여부를 사용자가 인지하지 못하게 하는 형태의 안드로이드 악성 애플리케이션이 지속적으로 발견되고 있다. 이는 기존의 안드로이드 악성 애플리케이션과 뚜렷한 차이점으로 볼 수 있으며, 취약점 및 봇 개념 등과 결합된 형태의 악성 코드가 탑재되는 등 지능적인 감염 증상을 유발할 수 있어 점차 이러한 형태로 트랜드화된 안드로이드 악성 애플리케이션의 지속적인 유포 가능성을 추정해볼 수 있다.

[이슈]전화오면 일어나는 좀비폰, 한국 이용자 겨냥 시도?
http://erteam.nprotect.com/266

[정보]실행 아이콘 없는 안드로이드 앱의 허와 실
http://erteam.nprotect.com/271

때문에 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

저작자 표시
신고
Posted by nProtect

1. 개 요


일반적으로 사용자들은 특정 애플리케이션을 사용하기 원할때 다운로드 및 설치 후 생성된 아이콘(LAUNCHER)을 클릭하여 실행하게 된다. 그러나 일부 악용의 소지가 있는 애플리케이션 혹은 제작시 악의적인 목적을 가지고 만든 악성 애플리케이션은 필요에 따라 실행시 사용될 수 있는 아이콘(LAUNCHER)을 아예 제외하는 경우가 있으며, 사용자는 이 경우 어떤 애플리케이션이 어떠한 목적으로 가지고 언제 실행되었는 확인하기가 힘들다.

최근 이렇게 은밀한 실행 방법을 띄는 애플리케이션들이 지속적으로 발견되고 있으며, 이같은 애플리케이션은 대부분 악의적인 목적을 가지고 제작되는 경우가 대부분이기 때문에 사용자들의 선별적인 다운로드 습관 함양 및 스마트폰 보안성에 대한 인식이 무엇보다 중요해지고 있다.

이번에 소개할 악성 애플리케이션의 경우 애초에 악의적인 목적을 가지고 제작된것은 아니지만 위에서 설명한 것과 같이 실행 아이콘이 존재하지 않으며, 사용시 어떠한 의도 및 목적을 가지느냐에 따라 개인 정보에 대한 보안성에 많은 취약점을 노출할 수 있기 때문에 사용자들은 사용에 각별한 주의가 필요하다.
 
전화오면 일어나는 좀비폰, 한국 이용자 겨냥 시도?
http://erteam.nprotect.com/266

  

2. 유포 및 감염 증상

해당 악성 애플리케이션은 구글 정식 마켓을 통해서는 배포되고 있지 않으며, 해외 파일공유 사이트 및 제작사 홈페이지를 통해서 배포되고 있다. 마켓이 아닌 상태에서 APK파일 자체가 배포되기 때문에 PC상에서도 해당 악성 애플리케이션을 다운로드 할 수 있다.

아래의 그림과 같이 제작사의 홈페이지에서 해당 악성 애플리케이션에 대한 SDK 버전별 다운로드 링크 및 메뉴얼을 제공하고 있다.

  

◈ 설치 화면


해당 악성 애플리케이션은 설치시 아래의 그림과 같이 특정 권한들을 요구하게 된다.

 
※ 전체 권한

- android:name="android.permission.GET_TASKS"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.INTERNET"
- android:name="android.permission.CALL_PHONE"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.WRITE_CONTACTS"
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.ACCESS_FINE_LOCATION"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="com.android.browser.permission.READ_HISTORY_BOOKMARKS"
- android:name="android.permission.MODIFY_PHONE_STATE"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.DISABLE_KEYGUARD"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.MODIFY_AUDIO_SETTINGS"

설치가 완료되면 개요 부분에서 설명한것과 같이 LAUNCHER가 존재하지 않아 별도의 실행 아이콘은 보이지 않는다. 이로인해 사용자들 스스로 해당 애플리케이션을 설치하지 않은 이상 자신의 스마트폰에 이와같은 프로그램이 설치되어 있는지 여부를 바로 확인하기 어렵다. 다만, "환경설정" -> "응용프로그램" -> "응용프로그램 관리"에서 아래의 그림과 같은 아이콘을 통해 설치여부를 확인할 수 있다.

  

◈ 악성 기능 분석


해당 악성 애플리케이션의 전체적인 악성 기능을 아래와 같이 몇가지로 요약해볼 수 있다.

※ 전체 악성 기능

- SMS 수신 감시 및 수집
- 위치 정보 수집
- 통화내역 정보 수집
- 인터넷 사용 정보 수집
- IMEI, 안드로이드 OS SDK 등의 단말기 정보 수집
- 홈페이지 가입 시 입력한 계정 정보(ID/PW) 수집
- 수집된 정보의 외부 유출 시도
- 기타 증상(내부적으로 사용된 코드에 의해 배터리 과다 사용)

해당 악성 애플리케이션이 위와 같은 악의적인 기능을 수행하기 위해서는 우선, 설치 후 회원가입 및 별도의 활성화 과정을 거쳐야한다. 회원가입은 제작사 홈페이지에서 가능하며 보안성을 위한 확인 절차는 전무하다. 아래의 그림은 회원가입 시 필요한 기입정보이다.

계정생성은 위 그림과 같이 간략한 정보만 기입하면 가능하기 때문에 많은 시간이 소요되지 않는다. 감염시킬 스마트폰을 잠시만 사용자 몰래 사용할 수 있다면 손쉽게 홈페이지 접속 후 설치 및 계정생성을 진행할 수 있다.

해당 악성 애플리케이션은 별도의 활성화 과정을 위해 몇가지 브로드캐스트 리시버 등록(전화 발신 이벤트 등의 감지)을 통한 Client 활성화 방법을 사용하고 있다. 이때, 브로드캐스트 리시버에서 "전화 발신 이벤트"를 감지시 특정 발신 번호(#123456*)가 분기 조건부로 따른다.

위에서 설명한 조건부를 충족시키기 위해 다이얼에 특정 발신 번호(#123456*)를 입력한 후 "통화" 버튼을 누르게 되면 해당 악성 애플리케이션이 활성화 되며, 아래의 일부 코드와 같이 각종 정보 입력 및 저장을 위한 DB 파일(SPYOO.db)을 생성하게 된다.

또한, 해당 악성 애플리케이션은 DB생성과 동시에 아래의 그림과 같이 메인 설정 화면을 출력하게 된다.

위와 같은 메인 화면에서 Email Address와 Password 를 입력 후 "Login" 버튼을 클릭하게 되면 해당 악성 애플리케이션은 내부의 악성 서비스들을 실행하게 되며, 해당 악성 서비스들로 인해 유출되는 모든 정보가 제작사의 웹 페이지로 전송되게 된다. 아래의 그림은 악성 서비스가 실행된 상태의 프로세스 정보이다.

또한, 해당 악성 애플리케이션은 메인 화면과 같이 "Setting" 버튼을 통해 내부 기능의 커스터마이징을 위한 설정 기능을 제공하고 있으며, 조정이 가능한 설정 값들은 아래의 그림과 같다.


"Setting" 항목에서 설정할 수 있는 기능은 위 그림에서 보는바와 같이 "애플리케이션 활성화 및 Secret Key 설정", "모니터링 포워딩", "통화 내역 확인", "SMS 사용 내역 확인", "웹 사이트 사용 내역 확인", "위치 정보 확인" 기능들에 대한 적용 여부이다. 아래의 그림을 통해 DB에 저장된 각 설정 값의 일부를 확인 할 수 있다.


또한, GPS의 경우 세부 설정이 가능한데 "일정시간 마다 위치정보를 체크"하거나 "일정 거리 이동시 마다 위치정보를 체크" 하는 등의 설정이 가능하다. 다만, 이러한 세부 기능을 구현하는 API가 뛰어난 정밀성을 보장하지는 못한다.

설정을 모두 완료한 후 "Exit" 버튼을 클릭하게 되면, 해당 악성 애플리케이션은 저장된 설정값과 함께 백그라운드 상태에서 리시버와 서비스가 지속적으로 동작하는 상태로 숨겨지게 된다.

이렇게 해당 악성 애플리케이션에 대한 설정 및 활성화 작업이 종료되면 이제 본격적으로 아래의 일부 코드들을 통해 "SMS 정보 수집", "위치 정보 수집", "통화 내역 정보 수집", "인터넷 사용 정보 수집", "IMEI, SDK 버전 등의 단말기 정보 수집" 등의 악의적인 기능들을 수행하게 된다.


아래의 그림을 통해 수집된 각 정보의 DB 저장 상태를 일부 확인 할 수 있다.


수집된 각 정보는 위와 같이 악성 애플리케이션에 의해 생성된 DB에 저장된 후 아래의 일부 코드를 통해 리스트화 되어 IMEI 값과 함께 외부 사이트로 해당 정보들을 유출 시도하게 된다.


아래의 그림은 수집된 각 정보들이 유출 시도될 때의 디버깅 캡쳐 화면이다.


위에서 해당 악성 애플리케이션에 의해 수집된 정보를 제작사의 홈페이지를 통해 확인 할 수 있다고 언급하였다. 제작사의 홈페이지에서 생성한 계정정보를 입력 후 로그인 하게되면 아래의 그림과 같이 수집된 정보들을 실시간으로 열람 및 확인 할 수 있다.


제작사의 홈 페이지에서는 위와 같은 위치 정보 뿐만 아니라, 수신된 SMS 정보, 통화 내역 정보, 인터넷 사용 정보 등을 모두 열람할 수 있다. 그러나 현재는 위치 정보를 제외하면 모두 유료 결제 후에 열람이 가능하다.

해당 악성 애플리케이션의 주된 감염 증상은 위와 같이 여러 정보들에 대한 수집 및 외부 유출이라고 볼 수 있다. 다만 이와는 별개로 권장하지 않는 내부 API 사용 방법에 의해 배터리의 급속한 소모 또한 사용자 입장에서는 원치 않는 악성 감염 증상이라고 볼 수 있다.

해당 악성 애플리케이션은 서비스 등의 일부 백그라운드 상태에서의 동작을 위해 WakeLock을 사용한다. 다만, 해당 API의 경우 사용시 급속한 배터리의 소모를 유발할 수 있어 acquire() 후 반드시 해제 하는 등 후처리가 따라야 이러한 증상을 막을 수 있다.

물론 제작사 측에서 이러한 배터리 소모를 의도하고 API를 사용하였다고 추정되지는 않지만 이러한 점으로 인해 애플리케이션 사용시 원치 않는 결과가 도출된다면 사용자 입장에서는 충분히 악의적인 동작으로 볼 수 있다.

3. 예방 조치 방법

위와 같은 애플리케이션은 사용에 필요한 "계정 생성에 별다른 본인 확인 절차가 없다는점", "절차의 간단함으로 인해 인증 과정에 많은 시간이 소요되지 않는다는 점", "설치 후 별도의 실행 아이콘이 존재하지 않는다는 점" 이렇게 3가지 점때문에 악용의 소지가 다분하다고 볼 수 있다.

예전에 블로그를 통해 사용자 몰래 수신되는 SMS를 특정 휴대폰으로 포워딩하는 악성 애플리케이션에 대해 소개한 바 있으며, 이번에 소개한 악성 애플리케이션의 보안 위협성이 그때와 같다고 볼 수 있다.

악성파일 유포 기법중 가장 널리 사용되는 사회공학 기법이 별게 아니다. 특정인이 사용자 몰래 감염을 원하는 스마트폰에 간단하고 빠른 절차를 악용하여 해당 악성 애플리케이션을 설치 후 활성화 시켰다고 가정해 보자. 사용자는 의도치 않게 눈뜨고 코베이는 격으로 자신의 개인 정보를 고스란히 남에게 양도하게 될것이다.

때문에 이러한 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 볼 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.



 

저작자 표시
신고
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 국내 유명 포털 2곳에서 운영중인 몇몇 인터넷 커뮤니티 사이트에서 "악의적인 기능을 가진 안드로이드용 애플리케이션(앱)이 무분별하게 배포"되고 있는 것을 다수 발견하였다. 잉카인터넷은 이미 2012년 01월 06일에도 국내 유명 자료실을 통해서 안드로이드 기반 악성파일이 유포된 것을 국내 최초로 공식 보고한 바 있다. 현재 유포 중인 악성파일들은 회원수가 약 100만명에 육박하는 대형 커뮤니티도 포함되어 있으며, 악성파일이 포함된 게시글의 조회수가 수천회 이상되고 있어, 다수의 감염자가 존재할 것으로 우려된다.



특정 포털 사이트에서는 커뮤니티 게시판에 첨부되어 있는 파일을 다운로드 시도할 때 악성파일 여부를 체크하는 기능을 제공하고 있는데, 현재 유포 중인 악성 안드로이드 파일을 안전한 파일로 평가해 주고 있어 안드로이드 기반의 파일에 대한 보안 검증 절차를 강화해야 할 것으로 보인다.

잉카인터넷 대응팀은 방송통신위원회와 한국인터넷진흥원(KISA)이 민간업체와 함께 운영하는 스마트폰 정보보호 민관 합동대응반에 해당 내용을 긴급하게 공유하였으며, 유포지에 대한 신속한 차단 공조 체제를 진행하고 있다.
 


● 안드로이드 악성파일 실제 유포과정 최초 공개
http://erteam.nprotect.com/257

안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

● 안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

● 잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
http://erteam.nprotect.com/237

2. 유포 현황 및 내용

최근까지 잉카인터넷 대응팀이 파악한 바에 의하면 국내 포털 사이트에서 운영하는 커뮤니티 사이트를 포함해서 스마트폰 전문 인터넷 커뮤니티에서도 악성파일이 유포 중인 것을 다수 확인한 상태이다. 또한, 국내 파일 공유 서비스인 Torrent 사이트에서도 악성파일이 유포 중인 것도 확인한 상태이다.

지금까지는 국내에 안드로이드 악성파일이 존재할 가능성을 매우 낮게 점쳐왔지만, 잉카인터넷 대응팀이 파악한 바에 의하면 매우 폭 넓게 유포 중인 것을 공식적으로 확인한 상태이다. 

■ A 포털사 인터넷 카페 ①

회원수가 약 100만명에 육박하는 이곳은 안드로이드 관련된 유명 커뮤니티 사이트로 다수의 안드로이드 파일들이 배포되고 있다. 이 중에 특정 게임앱이 악의적인 종류로 확인되었는데, 현재까지 약 2,700 여명이 해당 게시물을 열람한 상태이다.

해당 앱은 중국 모바일 앱을 전문적으로 공유하는 사이트를 통해서 국내에 유입된 것으로 추정되는데, 국내 특정 사용자가 중국 사이트에서 악성앱을 정상 프로그램으로 오인하고 유통시킨 것으로 추정된다.



또한, 동일한 커뮤니티에서는 또 다른 등록자가 별도의 게시판에 등록한 배경화면 관련 앱 중에서도 악성파일이 추가 발견되기도 하였다.



■ A 포털사 인터넷 카페 ②

동일한 포털 사이트에서 운영중인 또 다른 커뮤니티 사이트에서도 또 다른 악성파일이 발견되었는데, 이곳은 약 70 만명의 회원이 가입되어 있는 곳이다. 이곳에서는 스마트폰으로 사진을 찍을 때 소리가 나지 않도록 하는 앱에서 악성파일이 발견되었고, 현재까지 약 3,000 여명이 해당 게시글을 조회한 상태이다.



■ A 포털사 인터넷 카페 ③

A 포털사의 3번째 인터넷 카페는 회원수가 약 50만명 정도 가입되어 있으며, 유포 중인 악성파일은 A 포털사 인터넷 카페 1에서 발견된 것과 동일한 것이 유포 중인 것으로 파악되었다.

■ B 포털사 인터넷 카페 ①

또 다른 B 포털사가 운영하는 스마트폰 정보 공유 커뮤니티 카페는 회원수가 약 30만명 정도 가입되어 있는 곳이며, A 포털사에서 유포 중인 것이 동일하게 첨부되어 사용자들에게 유통되고 있는 것으로 발견되었다.

이 커뮤니티에서는 게시글에 첨부된 파일을 다운로드 시도시 다음과 같이 악성파일 여부를 체크하는 기능이 제공 중이나, 해당 악성파일은 안전한 파일이라고 안내하고 있어 사용자가 정상적으로 파일 받기가 가능하다.



■ 스마트폰 전문 인터넷 커뮤니티

다양한 스마트폰 팁과 정보들을 자유롭게 공유하고 의견을 교류하는 회원제 일반 커뮤니티 사이트에서도 포털 카페 사이트에서 유포 중인 것과 동일한 악성파일들이 다른 사용자에 의해서 배포되고 있는 것이 발견되었다.

회원을 가입하면 첨부된 파일을 다운로드할 수 있으며, 포인트제로 운영을 하고 있다.


■ 토렌트(torrent) 다운로드 사이트

국내의 파일 공유 서비스인 특정 토렌트 사이트에서도 포털 사이트를 통해서 유포 중인 동일한 악성 파일이 동일하게 유통되고 있는 것이 발견되었다.


인터넷을 통해서 해외 안드로이드 마켓에서 국내로 유입되어 공유가 시작된 안드로이드 앱들은 이렇듯 여러 경로를 거쳐서 다양하게 배포되고 있는 상황이다. 따라서 악성파일이 유명 사이트에 공유가 되면 연쇄적으로 공유가 가능하게 되는 구조로 파악되었다. 그러므로 하나의 악성파일이 여러 경로를 통해 불특정 다수에게 감염이 될 가능성이 높을 것으로 예상된다.

3. 결론

유포된 파일들은 해외 모바일 전문 광고 Air Push 라는 형태의 광고성 기능을 이용해서 개인정보를 수집하는 형태의 악성파일이며, 해외 안드로이드 보안 제품 중에는 해당 모듈만 전용으로 탐지하는 기능을 제공하는 보안 제품도 존재한다.

악성파일 중에는 이러한 형태를 Adware 라는 형태로 분류하기도 하며, 개인정보를 불법적으로 수집 시도하여 또 다른 수익모델로 악용하는 경우는 Trojan 으로 재분류될 수 도 있다. 국내의 경우 개인정보보호법과 관련하여 모바일 제품들의 과도한 정보 수집에 대한 기준안 마련도 시급해 보인다.

잉카인터넷 대응팀은 단순 광고 기능외에 ▶사용자의 개인정보를 수집하여 외부로 유출을 시도하는 경우와 ▶불필요하게 과도한 설치 권한(퍼미션)을 요구하는 등 보안상 침해 우려가 있는 경우 모두 악성파일로 분류하고 있으며, 해외의 Anti-Virus 제품들도 이러한 형태를 악성으로 분류하는 쪽으로 정책을 확대 개선하고 있다.


수집되는 단말기 개인정보는 아래 코드 분석 이미지와 같고, 안드로이드 단말기 환경에 따라 코드 실행이 정상적으로 작동되지 않을 수 있을 것으로 분석되어진다. 이처럼 해외의 안드로이드 악성파일이 국내에 다수 유입되고 있다는 점에서 앞으로 또 다른 악성파일이 언제든지 유입되어 전파될 가능성은 매우 높아졌다는 것을 반증하는 사례이기도 하다.

- 국가코드명
- 통신망 사업자 번호
- 전화번호
- IMEI (International Mobile Equipment Identity)
- 제조사

 


잉카인터넷 대응팀은 국내에서도 안드로이드 악성파일이 실제로 유입되어 사용자가 인지하지 못하는 동안 다양한 공유채널을 통해서 간접 유포 및 감염이 이뤄지고 있는 것을 공식적으로 발견한 상태이다. 그러므로 안드로이드 기반 단말기를 사용하는 이용자들은 nProtect Mobile for ANDROID 제품을 최신버전으로 업데이트하여 정기적으로 악성파일 존재 여부를 체크하는 습관이 필요하다.


nProtect Mobile for ANDROID 제품은 안드로이드 Play 스토어 마켓을 통해서 무료로 설치 및 사용이 가능하며, 현재까지 약 6,000 여종의 안드로이드 악성파일을 탐지하고 치료할 수 있는 기능을 보유하고 있으며, 새로운 악성파일을 수시로 업데이트하고 있다.

스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
Posted by nProtect
1. 개 요


최근 스마트폰의 관리 목적을 가지고 사용될 수 있는 형태로 위장된 안드로이드 악성 애플리케이션이 발견되어 해외에서 이슈
가 되고 있다. 해당 악성 애플리케이션은 감염될 시 사용자의 특정 정보를 수집할 수 있으며, 외부로 유출 또한 시도를 할 수 있으므로 사용자들의 각별한 주의가 요망되고 있다. 최근 안드로이드 운영체제의 스마트폰 OS 시장 점유율이 늘어나면서 관련한 애플리케이션이 우후죽순적으로 늘어남에 따라 이를 이용한 악성 애플리케이션 유포 또한 기승을 부리고 있다. 사용자 스스로의 선별적 다운로드 자세가 요구되고 있는 시점이다.

  

2. 감염 증상

해당 악성 애플리케이션은 해외를 중심으로 유포되고 있으며, 설치 시 아래의 그림과 같이 특정 권한 등을 요구하게 된다.


※ 전체 권한

- android:name="android.permission.GET_TASKS"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.BLUETOOTH"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.GET_ACCOUNTS"


해당 악성 애플리케이션은 설치가 완료되면 아래와 같은 아이콘을 가지게 되며, 해당 아이콘을 통해 애플리케이션을 실행하게 되면 아래의 그림과 같은 스마트폰 관리 애플리케이션으로 위장된 화면을 보여주게 된다.
  

■ 아이콘 화면


■ 실행 화면

  

위와 같은 설치 과정 및 실행이 모두 완료되면 해당 애플리케이션은 아래와 같은 악의적인 동작을 수행하게 된다.

※ 악의적인 동작

- 스마트폰 단말기 기기정보 수집
- 사용자의 이름 및 이메일 계정 정보 수집
- 수집된 정보의 외부 유출 시도


  ▶ 스마트폰 단말기 기기정보 수집

해당 악성 애플리케이션은 아래의 일부 코드를 통해 IMEI, 단말기 제조사, 모델 등의 정보를 수집하게된다.


수집된 정보는 위의 일부 코드와 같이 MD5 해쉬화 과정을 통해 암호화 되어 외부로 유출 시도 된다.

  ▶ 사용자의 이름 및 이메일 계정 정보 수집

해당 악성 애플리케이션은 아래의 일부 코드를 통해 사용자의 이름 및 구글 등 이메일 계정에 대한 수집 과정을 진행하게 된다.


  ▶ 수집된 정보의 외부 유출 시도

또한, 해당 악성 애플리케이션은 위와 같이 수집된 정보들을 아래의 특정 URL을 통해 외부로 유출 시도를 진행할 수 있다.

※ 외부 유출 시도 URL

☞ http://push.(생략).com/push(생략)
  

3. 예방 조치 방법

위와 같이 정상 애플리케이션으로 위장된 형태의 악성 애플리케이션은 일반 사용자의 경우 육안상으로 악성 여부를 쉽게 판단하기가 어렵다. 나날이 민감해지고 있는 개인 정보의 유출과 관련해 안전한 스마트폰 사용을 위해서는 아래의 "스마트폰 보안 관리" 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

 - Trojan-Spy/Android.FakeBatteryDoctor.A




저작자 표시
신고
Posted by nProtect

1. 개 요

 

최근 악의적인 목적을 가지고 스마트폰 단말기 정보 등의 탈취를 시도하는 악성 애플리케이션이 다수 발견되고 있다. 이러한 가운데 해외에서 E-mail 계정 및 비밀번호 탈취를 시도하는 악성 애플리케이션이 발견되어 사용자들의 주의를 요망하고 있다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 정상 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 E-mail계정과 비밀번호를 입력 후 로그인 하게될 경우 계정정보가 외부로 유출될 수 있다.
  

2. 유포 경로 및 감염 증상

해외를 중심으로 각종 블랙 마켓, 3rd Party 마켓 등을 통해 유포될 수 있으며, 국내에서는 해당 동영상 스트리밍 서비스 업체의 사업이 진행되지 않아 특별한 감염 및 피해 사례는 나타나지 않고 있다.

해당 악성 애플리케이션은 설치시 아래와 같은 권한들을 요구하게 된다.

 
※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INJECT_EVENTS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.DUMP"
- android:name="android.permission.GET_TASKS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.


위와같이 모든 설치 과정이 완료된 후 해당 악성 애플리케이션을 실행하면 아래의 그림과 같은 실행화면을 보여주게 된다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 애플리케이션으로 위장한 형태이므로 아래의 그림과 같이 육안상으로 정상 애플리케이션과 구별이 가능하다.


위 그림을 자세히 살펴보면 레이아웃 구성에서 차이점이 있는것을 확인할 수 있다. 우선 상단 부분의 "스마트폰 상태바"가 정상 애플리케이션의 경우 존재하나 악성 애플리케이션의 경우 존재하지 않는다. 또한, 정상 애플리케이션의 경우 진행되는 "프로그레스바"가 안드로이드에서 제공되는 일반 프로그레스바를 사용하고 있으나, 악성 애플리케이션의 경우 디자인된 프로그레스바를 사용하고 있다. 마지막으로 "인 화면의 이미지에 검은색 테두리""loading 텍스트의 유무"로도 구별이 가능하다.

위의 과정을 거쳐 애플리케이션 로딩이 완료되면 아래의 그림과 같이 메인 로그인 창이 출력된다.


위 그림을 자세히 살펴보면 마찬가지로 정상/악성 애플리케이션 간에 차이를 육안상으로 확인할 수 있다. "스마트폰 상태바"와 "이메일 계정 정보 입력창" 등 다양한 부분에서 차이점이 발견된다.

이때, 악성 애플리케이션의 경우 위 그림에서 로그인을 위한 계정 정보 입력 후 "Sign in" 버튼을 클릭하면 아래의 일부 코드에 의해 Email, Password가 저장된 EditText 값을 아래와 같은 특정 외부 URL로 유출 시도를 할 수 있다.


※ 이메일 계정 정보 유출 시도 URL

http://erofolio.[생략].biz/login.php

위 그림과 같은 로그인 과정 진행이 진행될때 해당 악성 애플리케이션은 이메일 계정 입력 시 어떠한 계정 정보를 입력해도 로그인 과정을 완료할 수 있으나, 정상 애플리케이션의 경우 해당 업체의 계정정보를 입력하지 않으면 아래의 그림과 같이 로그인 과정을 완료할 수 없다.

 


위 그림을 살펴보면 정상 애플리케이션의 경우 해당 업체의 계정 정보 이외의 정보 입력 시 로그인에 실패함을 확인할 수 있으며, 악성 애플리케이션의 경우 계정 정보 존재 유무에 상관없이 무조건 위 그림과 같은 창을 출력하게 된다. 또한, 악성 애플리케이션의 경우 위 그림과 같은 "Cancel" 버튼을 클릭할 경우 해당 악성 애플리케이션에 대한 삭제를 진행할 수 있다.

3. 예방 조치 방법

일반 사용자들은 동영상 스트리밍 서비스 업체의 정상 애플리케이션이 어떻게 구성되어 있는지 모르는 경우가 많다. 해당 악성 애플리케이션의 경우 이러한 점을 악용해 최대한 정상 애플리케이션과 유사한 화면을 구성하여 사용자들을 속일 수 있으며, 이로인해 유출될 수 있는 이메일 계정 정보는 다양한 목적을 가지고 악용될 수 있다. 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.FakeNefilix.A





저작자 표시
신고
Posted by nProtect