1. 개 요


최근 해외 보안 업체에 의해 안드로이드 OS 기반의 스마트기기 사용자 중 일본 여성 사용자들을 대상으로한 악성 애플리케이션에 대한 보고가 있었다. 보통 이성을 대상으로 하거나 선정적인 주제로 사용자들을 현혹시킬 목적을 가지는 경우 대부분 그 대상이 남성이 주를 이뤘으나 이번 악성 애플리케이션은 여성 사용자들을 대상으로 했다는 점에서 주목할만 하다. 또한, 해당 악성 애플리케이션은 일본 여성 사용자들을 대상으로 유포가 이루어지고 있지만 애플리케이션 자체는 국내 환경의 스마트폰에서도 설치가 이루어질 경우 개인정보 등에 대한 유출이 이루어질 수 있는 만큼 애플리케이션의 선별적인 설치에 있어 사용자들의 각별한 주의가 요망되고 있다.

  

2. 유포 및 감염 증상


해당 악성 애플리케이션은 2가지의 유포 방식을 가진다고 알려져 있다.


하나는 돈을 쉽게 벌 수 있는 방법과 관련한 제목의 스팸성 이메일을 발송하여, 내부에 포함된 링크 클릭을 유도하는 방법이며, 또다른 하나의 방법은 다른 남성과의 소개를 주선하는 스팸메일의 링크 클릭을 유도하는 방법이다. 두가지 방법 모두 링크 클릭을 통해 악성 애플리케이션에 대한 다운로드 및 설치를 유도하게 된다.

▶ 분석 정보

※ 전체 악성 동작 요약

- IMEI 정보 수집 및 외부 유출 시도
- 주소록 정보 수집(이름, 전화번호, 이메일 계정) 및 외부 유출 시도
- 특정 사이트 접속 [http://58.(생략).(생략).229//(생략)/addressBookRegist] (정보유출 URL)


해당 악성 애플리케이션은 설치 시 아래의 그림과 같이 특정 권한을 요구하게 된다.


아래의 그림은 "AndroidManifest.xml" 파일 내부에 선언된 전체 권한을 보여주고 있다.


해당 악성 애플리케이션은 "환경설정" -> "응용프로그램" -> "응용프로그램 관리"를 통해 아래의 그림과 같이 설치 여부를 확인할 수 있다.

  

해당 악성 애플리케이션은 내부에 별도의 리시버나 서비스는 등록되어 있지 않으며, 실행 시 아래의 그림과 같이 1 -> 0 으로 카운팅 후 특정 메시지를 메인 액티비티에 뿌려주는 것으로 생명주기를 다하게 된다.


위의 카운팅은 아래의 일부 코드를 통해 반복 실행 형식으로 구현되어 있으며, 이와 함께 개인 정보 및 단말기 정보를 수집하여 외부 특정 사이트로 유출을 시도하게 된다.


아래는 각종 정보 수집 및 수집된 정보의 외부 유출을 시도하는 코드의 일부분을 보여주고 있다.

클릭할 경우 확대된 화면을 보실 수 있습니다.


※ 정보 유출 코드의 상세 정보

빨간색 박스는 아래의 일부코드와 같이 타 클래스 참조를 통해 IMEI 정보를 수집하고 있다.


초록색 박스는 감염된 스마트폰의 전화번호를 수집하고 있다.

파란색 박스는 안드로이드 OS 버전의 분기점이 존재하는데 Android 1.6 이전과 이후 버전으로 분기하게 된다. 그 이유는 안드로이드 OS가 버전업 되면서 주소록 수집에 사용되는 API의 변경이 있었기 때문이다. 해당 악성 애플리케이션은 이와 같이 분기점을 두어 모든 버전에서 주소록 정보를 수집할 수 있도록 구성되어 있다.

아래의 코드는 감염된 스마트폰이 Android 1.6 버전 이상일 경우일때, 주소록 정보를 수집하기 위한 코드의 일부를 보여주고 있다.

클릭할 경우 확대된 화면을 보실 수 있습니다.


위 코드를 통해 주소록 정보에서 이름, 전화번호, 이메일 계정 정보를 수집하고 있는 것을 확인할 수 있다.


해당 악성 애플리케이션은 추가적인 스팸발송 등의 악의적인 목적을 위해 각종 정보(주소록, IMEI 등의 개인/단말기 정보)를 불법 수집하는 기능을 수행하는 것으로 추정되고 있다.

3. 예방 조치 방법

점점 세계 각국에서 실질적으로 금전적 목적 등을 가지는 악성 애플리케이션의 유포 및 감염 사례가 보고되고 있다. 위의 악성 애플리케이션 또한 국내 스마트폰 환경에서도 정보 수집 및 유출 등의 악성 동작이 충분히 가능하다.

우리나라도 언제까지 스마트폰 악성 애플리케이션으로 부터 안전하다는 보장이 없다는 것이다. 현재까지는 스마트폰의 안전한 사용을 위한 인식 등이 제대로 갖춰져 있지 않은 상태에서 각종 마켓 등 웹을 통해 전세계에 보급되고 있는 애플리케이션의 설치가 가능하다. 그러므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.Loozfon.A
- Trojan-Spy/Android.Loozfon.B





저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

최근 지진에 의해 일본에서 발생한 쓰나미 피해를 악용해 사회공학 기법을 통한 금전 피해 사례가 증가함에 따라 사용자들의 주의를 요하고 있다. 일본의 지진 피해자들을 돕는다는 목적을 빙자한 불법 모금 등 국내외에서 여러 가지 유형의 피해 사례가 발생하고 있으며, 실제로 국내에서는 불법 모금 관련 사이트 운영자들이 입건되는 등의 사건이 있었다.

  

일본 대지진 돕자며 기부금 가로챈 일당 입건

http://www.mydaily.co.kr/news/read.html?newsid=201103181109165524

  

허위 불법 모금 행위는 주로 SNS(Social Network Services) 등을 통해 이루어졌으며관련한 홍보 글을 통해 여러 사람들에게 금전적 피해를 유발하여 지진 피해자들의 침통한 고통 속에서 씁쓸함을 더하고 있다.

이러한 가운데 최근에는 일본의 쓰나미로 인한 피해를 악용해 특정 프로그램 배포 및 유료 과금을 목적으로 한 사이트가 운영되고 있어 주의가 필요하다.

아래의 그림과 같이 쓰나미로 인해 충격적인 피해 상황을 보여주는 이미지를 배경으로 한 사이트에 접속하게 되면 더 많은 피해 이미지를 보기 위한 사이트로 접근을 유도하게 된다.

추가적인 이미지를 보기 위해 "See it All Here" 링크를 클릭하면 아래의 그림과 같이 특정 프로그램 다운로드 페이지로 이동하게 된다.

위 그림의 적색박스를 보면 일반 사용자들은 구글어스를 다운로드 하는 것으로 인식할 수 있다. 주의할 사항은 구글어스는 무료라는 점이다. 일단 다운로드를 클릭해보자.

새로운 버전임을 강조하며, 결제를 유도하고 있다.

보통 이러한 사회공학 기법을 악용할 때는 악성파일의 추가적인 다운로드 혹은 이용 과금 결제 등의 금전적 피해를 유발하는 경우가 대부분이다. 세계적으로 애도의 물결이 흐르고 있는 이러한 국가적 재앙을 악용해 금전적 이득을 취하려는 행위는 정말 파렴치한 수법이 아닐 수 없으며, 사용자들은 이제 국가적, 사회적으로 큰 이슈가 발생할 때에는 이러한 사회공학 기법의 악성파일로부터 안전할 수 있도록 매번 주의를 기울여야 할 필요가 있다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법의 악성파일에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect