1. 개 요

 

 잉카인터넷 대응팀은 최근 해외 웹 사이트에서 다량의 안드로이드 악성 애플리케이션이 제작되고 서버에 업로드 되어 있는 정황을 포착하였다. 해당 사이트에 업로드 되어 있는 안드로이드 애플리케이션들은 모두 동일한 재패키징 형태의 악성 애플리케이션이며, 이미 잉카인터넷에서는 모든 악성 애플리케이션에 대한 진단/치료 기능을 제공하고 있다. 업로드 되어 있는 악성 애플리케이션들은 대부분 채팅형 애플리케이션이거나 잘 알려진 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 감염될 수 있는 위험이 있다.

물론, 해당 애플리케이션은 러시아에서 제작되고 그 대상도 러시아 사용자들을 주 타겟으로 하고 있어 국내에서의 감염 피해는 크지 않을 것으로 판단된다.

다만, 최근 국내에서도 안드로이드 악성 애플리케이션이 정식 마켓을 통해 유포가 이루어지는 등 향후 보안 위협성이 상당히 큰만큼 사용자들은 안드로이드 애플리케이션의 다운로드 및 설치에 각별한 주의를 기울여야할 것으로 보인다.

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

2. 유포 경로 및 악성 애플리케이션 정보

아래의 그림은 현재 특정 해외 사이트에 대량으로 안드로이드 악성 애플리케이션이 업로드된 상태를 보여주고 있다.

 

해당 사이트의 하위경로에 모두 위와 같은 악성 애플리케이션들이 업로드되어 있으며, 손쉽게 코드상으로 해당 애플리케이션에 대한 추가적인 다운로드 및 설치를 유도할 수 있다. 업로드된 해당 악성 애플리케이션들은 모두 아래와 같은 패키지 코드가 동일하게 추가되어 있다.

추가적으로 등록된 위와 같은 패키지는 해당 악성 애플리케이션들이 실행됨과 동시에 특정 번호로 사용자 몰래 SMS 무단 발송을 시도하게 된다. 아래의 코드는 내부에 포함된 XML파일에서 SMS를 수신할 번호와 내용을 추출하여 무단 발송 시도하는 코드를 보여주고 있다.

또한, 업로드되어 있는 악성 애플리케이션들은 모두 재패키징된 형태의 악성 애플리케이션으로 실행화면이 아래의 그림과 같이 대부분 유사한 것이 특징이다.(유명 스마트폰 게임 등의 아이콘으로 위장한 경우도 있다.)

 


3. 마무리

이러한 재패키징 형태의 악성 애플리케이션들은 누구나 손쉽게 만들 수 있고 다량 제작도 가능하다. 또한, 정상적인 애플리케이션을 수정하여 재배포도 가능하기 때문에 상당히 보안상 취약할 수 있다. 문제는 현재 해외를 중심으로 이러한 재패키징 형태의 악성 애플리케이션이 무분별하게 제작되어 유포되거나 유포를 앞두고 있다는 것이다.

안드로이드 애플리케이션의 경우 다운로드시 일반 사용자들은 공식적인 구글 마켓을 이용할 수도 있고, 비공식적인 서드파티 마켓을 이용할 수도 있기 때문에 이러한 형태의 악성 애플리케이션이 국내에 유입되거나 제작이 이루어질 경우 감염 범위는 걷잡을 수 없이 늘어날 수 있을 것이다.

현재로서는 이러한 악성 애플리케이션들의 다운로드 차단 등의 수단은 한계가 있을 수 있다. 때문에 다양한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
 



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

최근 발견되고 있는 악성 애플리케이션들은 단순 정보 수집 단계에서 이제는 사용자 몰래 특정 악성 기능들을 수행하여 이용 과금을 유발해 금전적 피해를 줄 수 있는 단계로 위험 범위가 확산되고 있다. 이러한 와중 중국의 SMS 프리미엄 서비스 가입을 통한 과금을 유발하는 악성 애플리케이션이 발견되어 사용자들의 각별한 주의가 요망되고 있다.

[[주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견]

http://erteam.nprotect.com/181
  

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 현재 구글 안드로이드 마켓에는 존재하지 않으며, 중국의 블랙마켓, 3rd Party 마켓등을 중심으로 유포될 수 있다.

위와 같은 악성 애플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 출력할 수 있다.


※ 전체 권한

- android:name="android.permission.READ_CONTACTS"

- android:name="android.permission.RESTART_PACKAGES"

- android:name="android.permission.INTERNET"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.RECEIVE_SMS"

- android:name="android.permission.WRITE_EXTERNAL_STORAGE"

- android:name="android.permission.ACCESS_NETWORK_STATE"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.READ_SMS"

- android:name="android.permission.WRITE_SMS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘을 생성하며, 해당 아이콘을 클릭 시 아래의 그림과 같은 실행화면을 출력한다.
  

▶ 실행 아이콘


▶ 실행 화면

  

■ 상세 분석

해당 악성 애플리케이션은 SMS 관리를 위해 아래와 같은 1개의 리시버를 등록하며, 높은 우선순위를 책정해 놓을 수 있다.

※ Receiver 등록

- com.talkweb.comm.SmsReceiver


또한, 해당 악성 애플리케이션은 감염 후 특정 이동통신 등의 프리미엄 서비스 가입을 진행할 수 있으며 가입 절차는 해당 프리미엄 서비스 가입 요청 전화번호로 SMS 전송을 통해 이루어진다.

※ 세부 가입 절차

- 서비스 공급자에게 서비스 가입 SMS 전송
- 서비스 공급자는 해당 SMS에 대한 상세 설명 등의 응답(SMS 회신)
- 사용자는 서비스 공급자의 응답 SMS에 "Y" 문장을 포함한 SMS 회신이 필요하다.

위와 같이 프리미엄 서비스 가입 절차가 이루질 경우 해당 악성 애플리케이션은 사용자 몰래 해당 서비스 공급자로부터 회신되는 SMS를 확인 후 "Y" 등의 SMS 회신을 통해 사용자의 인증 없이 가입 절차를 마무리할 수 있다. 또한, 이러한 진행 상황을 사용자가 알 수 없도록 아래의 일부 코드를 통해 관련 SMS에 대한 삭제를 진행한다.


지난번 이슈가 되었던 프리미엄 서비스 가입 악성 애플리케이션과는 조건문에 서비스 번호가 한개더 추가된다는 차이점있다.

3. 예방 조치 방법

해당 악성 애플리케이션은 중국 사용자들을 타겟으로 제작되었기 때문에 당장 국내에서 피해 사례가 발생하진 않을 것으로 예상된다. 다만, 악성 애플리케이션은 언제든지 재패키징을 통해 또다른 악성 애플리케이션으로 "재탄생"이 가능하기 때문에 언제든지 피해가 발생할 수 있다.

이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이 될 수 있을것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.GO108.A


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 유포되고 있는 안드로이드용 악성 어플리케이션은 정상적인 어플리케이션들을 재패키징하여 유포하는 것이 트랜드가 되어가고 있다. 정상적인 어플리케이션을 디컴파일 등의 과정을 통해 악성코드를 함께 삽입 후 다시한번 패키지화 하는것을 재패키징 기법이라 한다. 이러한 악성 어플리케이션에 감염될 경우 일반 사용자 입장에서는 육안상으로 악성 여부를 판별해 내기가 매우 어렵기 때문에 확산성을 가진 악성 어플리케이션이 등장할 경우 감염 범위는 기하급수적으로 늘어날 수 있다.

이러한 가운데 최근 웹을 통한 중국의 Video 스트리밍 서비스 어플리케이션으로 재패키징된 악성 어플리케이션이 발견되어 이슈가 되고 있다.

  

2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 지속적으로 유사 변종이 발견되고 있으며, 재패키징 악성 어플리케이션의 특성상 주로 각종 블랙마켓, 3rd party 마켓 등을 통해 유포가 이루어지고 있다.

우선, 해당 악성 어플리케이션은 안드로이드 SDK 1.6 이상 버전에서 안정적으로 구동될 수 있으며 설치 시도 시 아래의 그림과 같이 특정 권한 요구 화면을 보여주게 된다.


※ 전체 권한

"android.permission.INTERNET"                     
                                                              
"android.permission.ACCESS_NETWORK_STATE"         
                                                             
"android.permission.MOUNT_UNMOUNT_FILESYSTEMS"    
                                                              
"android.permission.SEND_SMS"                     
                                                              
"android.permission.WRITE_EXTERNAL_STORAGE"       
                                                              
"android.permission.RECEIVE_BOOT_COMPLETED"       
                                                             
"android.permission.RECEIVE_SMS"                  
                                                              
"android.permission.WRITE_SMS"                    
                                                              
"android.permission.READ_SMS"                     
                                                              
"com.android.launcher.permission.INSTALL_SHORTCUT"


또한, 설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.

  

■ 상세 분석

해당 악성 어플리케이션에 대한 설치 과정이 모두 완료된 후 실행되면 아래의 그림과 같은 일부 코드에 의해 추가적인 악성 어플리케이션이 다운로드 및 설치될 수 있다.


※ 추가적인 악성 어플리케이션 다운로드 URL

http://(생략).ku6.(생략)/(생략)/Android_video_201_gen_f001.apk

※ 추가 다운로드 악성 어플리케이션 간략 설명

아래의 그림은 위의 설명과 같이 추가적으로 다운로드 되어 실행될 수 있는 악성 어플리케이션에 대한 실행 화면 및 아이콘이다. 정상 어플리케이션과 상당히 유사하며, 스트리밍 서비스 또한 정상적으로 이루어지고 있다.

◆ 설치 후 실행 화면


◆ 설치 후 생성 아이콘


추가적으로 다운로드될 수 있는 악성 어플리케이션은 조건에 따라 광고 목적을 띄고 해당 악성 어플리케이션의 다운로드가 가능한 링크를 삽입하여 이메일이나 SMS 등을 통해 지인들이게 무작위 발송될 수 있다.

또한, 아래의 일부 코드를 통해 중국의 이동통신(China Mobile)측에 총 6개의 문자 메시지를 사용자 몰래 보낼 수 있다.

 


수신처로 지정되어 있는 특정 번호는 중국 이동통신(China Mobile)의 서비스 번호로서 문자 메시지 발송을 통해 "잔액, 모바일 데이터 확인 등의 각종 조회"가 가능하며, "무료 문자 메시지" 서비스 등을 신청할 수 있다. 이때 무료 문자 메시지 등 다수의 서비스 신청 시 일정 금액의 사용 요금이 매달 결제될 수 있으며, 신청된 무료 문자 메시지 등의 서비스는 자신 뿐만 아니라 다른 사용자도 이용이 가능하다.

위 그림을 통해 "8번" 항목의 메뉴를 문자 메시지 발송을 통해 요청한 것으로 추정되고 있으며, 각 메뉴 선택 시 해당 메뉴의 요청 결과를 문자 메시지로 다시 전달 받아볼 수 있다. 해당 악성 어플리케이션은 이러한 서비스 요청을 사용자 몰래 진행하기 위해 아래의 코드를 통하여 일부 회신되는 문자 메시지를 사용자 몰래 삭제할 수 있다.


위 그림의 적색 박스 부분과 같이 "10"으로 시작되는 발신번호를 가지는 문자 메시지를 BroadcastReceiver를 상속 받아 abortBroadcast()를 통해 모두 사용자 몰래 삭제처리 한다. 이렇게 되면 일반 사용자의 경우 자신의 스마트폰을 통해 특정 서비스 신청 등이 이루어지고 있는 상황을 인지할 수 없게 된다.

이 외에도 아래의 그림과 같이 스마트폰의 Sim카드 시리얼 번호를 수집하여 특정 외부 사이트에 유출 시도를 할 수 있으며,


유출된 정보는 복사 휴대폰 제작 등에 악용될 수 있다. 또한, 특정 코드 등을 통해 네트워크 동작 상태를 실시간으로 체크 후 동작하는 기능을 수행하기도 한다.

3. 예방 조치 방법

현재 안드로이드용 악성 어플리케이션의 경우 정상 어플리케이션으로 위장되어 유포되는 경우가 대부분이며, 이 가운데 재패키징을 통한 유포 기법이 주요 트랜드로 자리매김하고 있는 상황이다. 이러한 악성 어플리케이션은 특성상 일반 사용자들이 악성 여부를 판별하기에는 무리가 따른다. 때문에 안전한 스마트폰 사용을 위해 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android의 진단 현황

 - Trojan-SMS/Android.KuVideoSMS.A
 - Trojan-SMS/Android.KuVideoSMS.B

 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 안드로이드에 대한 보안 위협이 연일 이슈인 가운데 정상 어플리케이션에 악성 코드를 포함해 재패키징한 형태의 악성 어플리케이션이 지속적으로 출현하고 있어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성 어플리케이션은 특정 정상 게임 어플리케이션에 악성 코드를 포함 후 재패키징하여 다양한 정보 등을 탈취해 외부로 유출할 수 있는 만큼 안드로이드 기반의 OS가 탑재된 스마트폰 사용자들은 이번 글을 참고하여 최근 이슈가 되고 있는 스마트폰 보안 위협에 대해 좀 더 관심과 주의를 기울일 수 있도록 하자.
 

[[자료]Hello Kitty 바탕화면 어플로 위장된 안드로이드 악성 파일]
http://erteam.nprotect.com/171

[주의] 중국 안드로이드 게임으로 위장한 악성 어플 발견
http://erteam.nprotect.com/165

[주의]중국 안드로이드 QQ 게임으로 위장한 악성 어플 발견
http://erteam.nprotect.com/165

2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 "FastRacing" 이라는 안드로이드 게임에 악성 코드를 포함해 재패키징한 형태이며, SDK 1.6 버전 이상을 최소 동작 요구 조건으로 가지고 있다.

설치되면 크게 아래와 같은 악의적인 동작을 수행 할 수 있다.

※ 수행 가능한 악성 동작

 - 단말기 정보 수집
 - 발신/수신 통화 목록 수집
 - SMS 관련 정보 수집(읽기 등)
 - 수집된 정보가 저장된 .txt형태의 로그 파일을 외부 사이트에 전송 시도
 - SMS 송신
 - 사용자 모르게 통화 시도
 - 어플리케이션 설치/삭제
 - 봇 기능 수행
 - 위치 정보 접근


위와 같은 악성 어플리케이션의 경우 블랙마켓, 3rd pary 마켓 등을 중심으로 유포가 이루어질 수 있으며, 설치 시 아래와 같은 권한 요구 화면을 보여주게 된다.


※ AndroidManifest.xml에 포함된 권한 설명

- android:name="android.permission.INTERNET"
 -> 외부 인터넷 사이트와 통신을 수행하기 위한 권한
- android:name="android.permission.VIBRATE"
 -> 휴대폰 진동 제어 관련 권한
- android:name="android.permission.ACCESS_NETWORK_STATE"
 -> 네트워크 통신에 대한 권한
- android:name="android.permission.READ_PHONE_STATE"
 -> 스마트폰 단말기 정보 획득을 위한 권한
- android:name="com.android.vending.BILLING"
 -> 폰빌(휴대폰 결제 등)과 관련한 권한
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
 -> SDcard 등에 정보 저장을 위한 권한
- android:name="android.permission.ACCESS_COARSE_LOCATION"
 -> 개략적인 위치정보(Cell-ID, WiFi)에 접근을 허용하기 위한 권한
- android:name="android.permission.ACCESS_FINE_LOCATION"
 -> 상세한 위치정보(GPS)에 접근을 허용하기 위한 권한
- android:name="android.permission.RECEIVE_SMS"
 -> SMS 수신 관련 권한
- android:name="android.permission.SEND_SMS"
 -> SMS 송신 관련 권한
- android:name="android.permission.READ_SMS"
 -> SMS 읽기 관련 권한
- android:name="android.permission.CALL_PHONE"
 -> 통화 관련 권한
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
 -> 발신 접근 권한
- android:name="android.permission.DELETE_PACKAGES"
 -> 어플리케이션 삭제 관련 권한
- android:name="android.permission.INSTALL_PACKAGES"
 -> 어플리케이션 설치 관련 권한
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
 -> 재부팅 후 자동 실행 등 백그라운드 동작을 위한 권한


설치가 완료되면 아래의 그림과 같이 정상적으로 게임이 실행되어 일반 사용자들은 자신들의 스마트폰에 대한 악성 어플리케이션 감염 여부를 육안상으로 판별하기 어렵다.

 

■ 백그라운드 상태에서 수행되는 악성 동작 정밀 분석

설치가 완료됨과 함께 해당 악성 어플리케이션은 아래의 설명들과 같이 다양한 악성 동작을 수행하게 된다.

▶ 단말기 정보 수집

아래의 그림은 주요 키값 등의 조건에 따라  스마트폰 단말기의 IMEI, IMSI 등의 정보를 수집할 수 있는 코드의 일부분이다.


▶ 발신/수신 통화 목록 수집

아래의 그림은 악성 어플리케이션이 스마트폰 내의 발신/수신된 번호를 수집하는 과정을 보여주는 코드의 일부분이다.


위 그림에서 빨간색 선 부분의 권한을 기반으로 발신/수신 번호를 수집하여 "zjphonecall.txt" 파일에 모두 저장한다. 수신 번호의 경우 관련된 다른 Bean 클래스 단위와의 조건 여하에 따라 통화 목록을 저장하게 된다.

▶ SMS 관련 정보 수집

아래의 그림은 SMS 정보 수집과 관련한 코드의 일부분 이다.


SMS 발신자 번호, 수신 후 표시 번호, 본문 내용 등이 모두 수집되어 "zjsms.txt"파일에 저장된다.

▶ 수집된 정보가 저장된 .txt 형태의 로그 파일을 외부 사이트에 전송

아래의 그림은 수집된 SMS, 통화목록 등의 정보가 저장된 파일을 특정 사이트로 전송하기 위한 코드의 일부분 이다.

 

그림을 클릭하시면 확대된 화면을 보실 수 있습니다.


왼쪽 상단의 그림에서 빨간색 박스 부분은 수집된 정보가 저장된 파일이 존재하는 절대 경로이며, 파란색 박스 부분은 수집된 정보가 저장된 파일이 업로드될 URL 경로 이다. 해당 경로는 각 레퍼런스 값들이 합쳐져 생성된다.

▶ SMS 송신

아래의 그림은 수집된 SMS 정보들을 백그라운드 상태에서 송신하기 위한 코드의 일부분 이다.


▶ 사용자 모르게 통화 시도

아래의 그림은 악성 어플리케이션이 사용자 몰래 통화를 시도하는 부분과 관련한 코드의 일부분 이다.


위 그림의 파란색 박스 부분에서 사용자 몰래 통화를 시도하기 위한 레퍼런스를 참조 후 빨간색 박스 부분을 통해 통화 관련 기능을 구현하고 있다.

▶ 어플리케이션 삭제/설치

아래의 그림은 특정 어플리케이션에 대한 삭제 및 설치를 진행할 수 있는 코드의 일부분 이다.


특정 어플리케이션에 대한 삭제 및 설치를 진행함에 있어 기존의 악성 어플리케이션들과 다르게 별도의 루팅 기능이 존재하지 않는 것이 특징이다. 이부분은 내부에 로그 파일을 생성하는 부분도 마찬가지 이다.

▶ 봇 기능 수행

봇 기능은 DDoS 당시 많이 알려진 좀비 PC 개념을 생각하면 이해하기 쉽다. 명령을 내릴 수 있는 C&C(Command and Control)서버로 부터 특정 명령을 전달받아 해당 명령을 실행하는 것을 의미하는데 해당 악성 어플리케이션은 Receiver로 등록되는 Bean 객체가  BroadcastReceiver 상속 받아 봇 기능을 수행하게 된다. 이때,  BroadcastReceiver를 상속받아 수행하는 세부 기능들이 있는데 바로 위에서 설명한 "수집된 모든 정보를 로그로 저장해 외부 사이트에 전송, SMS 송신, 사용자 모르게 통화 시도, 어플리케이션 설치/삭제" 4가지의 악성 기능들이 그것이다.

또한, 해당 악성 기능들은 사용자 몰래 동작하기 위해 Service 클래스를 상속받아 동작하게 된다.

▶ 위치 정보 접근

아래의 그림은 위치 정보 접근과 관련한 코드의 일부분 이다.


위 그림의 빨간색 줄과 같은 권한과 클래스 등을 이용해 상세 위치 정보에 대한 접근이 가능하며, 봇 기능과 연계하여 악용될 가능성이 있다.

3. 예방 조치 방법

위와 같이 재패키징 형태를 취하는 악성 어플리케이션의 경우 일반 사용자들은 악성 여부를 육안 상으로 판별하기가 매우 어려우며, 향후 지속적으로 출현해 보안 위협으로 작용할 가능성이 높다. 이러한 악성 어플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


2011년 3월경 해외에서 발견된 것으로 기존에 분석된 내용을 정리해 본다. 이 것은 정상 Wallpaper 어플에 악성 기능을 추가해 재피키징한 형태이다. 해당 악성 어플리케이션은 예전에 언급한 "ADRD로 알려진 악성 어플리케이션"의 변종이며 대부분의 Wallpaper 어플리케이션들이 그러하듯 설치 후 별도의 아이콘 없이 사용자의 스마트폰에 존재하게 된다. 이러한 경우 사용자들은 자신의 스마트폰이 악성 어플리케이션에 의해 어떤 기능들이 동작하고 있는지 알 수 없는 상태가 되므로 피해 발생 상태에 대해서도 인지하지 못하게될 수 있다.

  


[새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요]

http://erteam.nprotect.com/122

2. 유포 경로 및 감염 증상

■ 정상 어플리케이션과 비교 분석

이와 같이 재피키징된 악성 어플리케이션의 경우 블랙 마켓, 3rd party 마켓을 중심으로 유포가 이루어지고 있으며, 다운로드 후 설치 시 아래의 그림과 같은 권한 요구 화면을 보여주게 된다.


아래의 그림은 요구 권한에 대한 선언 부분이다.


※ 권한 설명

 ㄱ. android.permission.WRITE_APN_SETTINGS
      - APN 설정을 위한 권한
 ㄴ. android.permission.RECEIVE_BOOT_COMPLETED
      - 재부팅 후 실행 등 백그라운드 동작을 위한 권한
 ㄷ. android.permission.ACCESS_NETWORK_STATE
      - 네트워크 접근을 위한 권한, 백그라운드 동작 시 사용 가능
 ㄹ. android.permission.READ_PHONE_STATE
      - 스마트폰 단말기 정보 획득을 위한 권한
 ㅁ. android.permission.WRITE_EXTERNAL_STORAGE
      - SD카드에 정보 입력 등을 위한 권한
 ㅂ. android.permission.INTERNET
      - 인터넷 사용을 위한 권한
 ㅅ. android.permission.MODIFY_PHONE_STATE
      - 스마트폰 단말기 정보 수정 등을 위한 권한

해당 악성 어플리케이션은 최소 동작 조건으로 안드로이드 플렛폼 2.1 버전을 요구하고 있으며, 설치 후 별도의 실행 아이콘을 가지고 있지 않는다. 또한, 재패키징 이전의 정상 어플리케이션의 경우 아래의 그림과 같이 별도의 권한 요구를 하지 않는다.


다만, "응용 프로그램" 메뉴로 이동하면 해당 Wallpaper 어플리케이션에 대한 아이콘을 별도로 확인할 수 있는데 정상, 악성 어플리케이션 모두 동일한 아이콘을 사용하고 있다.
  

  

아래의 그림은 해당 어플리케이션이 가지고 있는 정상 코드와 악성 코드 간의 구분 자료이다. 재피키징을 통해 삽입된 전체적인 악성 코드 부분에 대한 확인이 가능하다.

 


■ 상세 증상 분석

다운로드 및 설치가 완료되면 해당 악성 어플리케이션은 아래의 코드를 통해 IMEI, IMSI 정보를 탈취하는 동작을 하게 된다.


또한, 위와 같이 수집된 정보는 주기적으로 AlarmManager를 통해 아래와 같은 외부 사이트로 전송되는 것으로 확인되고 있다.


현재 추가적인 C&C서버 접속 등의 증상은 추가적인 분석작업이 진행되고 있으니 확인 사항에 대해서는 추후 갱신하여 제공할 수 있도록 하겠다.

해당 악성 어플리케이션은 ADRD로 알려진 기존의 악성 어플리케이션과 추가적인 파일 다운로드 시도 부분에서 차이가 있는데 위에서 설명한 외부 접속 사이트 URL 및 특정 변수 값 등을 참조해 DES 알고리즘을 통한 변환값 참조 후 파일 다운로드 시도 부분이 바로 그것이다. 아래의 그림은 DES 알고리즘을 이용한 암호화 관련 코드 부분의 일부이다.


또한, 해당 악성 어플리케이션에는 CMWAP, UNIWAP 설정 및 체크 관련 코드를 통한 APN 설정 부분이 존재하며, 이를 통해 중국 사용자를 대상으로 제작되었음이 추정 가능하다. 아래의 그림은 CMWAP, UNIWAP 설정 및 체크와 관련 코드의 일부이다.


위와 같은 악성 기능들은 모두 특정 권한 및 코드 등을 통해 스마트폰 시스템 백그라운드 상태에서 동작되며, 스마트폰 부팅시 마다 동작이 가능하도록 구성되어 있다. 아래의 그림은 해당 악성 어플리케이션 및 정상 어플리케이션에서 제공하는 정상 Wallpaper화면이다.


3. 예방 조치 방법

최근 유포되고 있는 악성 어플리케이션의 경우 "재패키징", "2중 패키징", "루팅 시도" 등 다양한 기법을 통해 스마트폰의 감염 유발을 시도하고 있다. 또한, 위에서 설명한 악성 어플리케이션과 같이 설치 후 아이콘이 존재하지 않는 경우도 대다수다. 이러한 경우 전문가가 아닌 일반 사용자의 경우 자신의 스마트폰에 어떠한 어플리케이션들이 설치되어 있는지, 그중에 악성 어플리케이션이 자신도 모르게 존재하고 있지는 않은지 등 스마트폰 상태에 대한 확인이 매우 여러운 것이 사실이다.

[nProtect Mobile for Android 진단 현황]

Trojan-Spy/Android.ADRD.D


위와 같은 악성 어플리케이션 등의 보안 위협으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 안드로이드용 악성 어플리케이션이 지속적으로 등장하고 있어 스마트폰의 보안 위협이 계속해서 증가되고 있다. 악성 어플리케이션 제작에는 최근 정상 어플리케이션에 악의적인 기능을 추가하는 "재패키징" 기법이 가장 널리 사용되고 있으며, 최근에는 이러한 재피키징 기법에 새로운 악성 APK 파일을 내부에 포함하는 "2중 패키징 기법"을 사용하는 사례가 속속 발견되고 있다. 이번 시간에는 중국 QQ게임을 재패키징하고 내부에 2중 패키징 기법을 사용한 형태의 악성 어플리케이션을 살펴보고 해당 기법을 사용하는 악성 어플리케이션에 대한 대비책을 마련하는 시간을 가져보도록 하자.

[[주의]2중 패키징된 안드로이드용 악성 어플리케이션 등장]
http://erteam.nprotect.com/163

2. 유포 경로 및 감염 증상

■ 정상 어플리케이션을 재패키징한 형태의 악성 어플리케이션

정상 어플리케이션에 악의적인 기능을 추가해 재패키징하는 형태의 악성 어플리케이션은 안드로이드 마켓, 블랙 마켓, 3rd party 마켓 등 넓은 유포 경로를 가질 수 있는 것이 특징이다.
  

 
해당 악성 어플리케이션은 설치 시 아래와 같은 권한 요구 화면을 보여주게 된다.

 

※ 코드에 포함된 권한 부분

  - android:name="android.permission.ACCESS_NETWORK_STATE"
    -> WiFi "ON" 체크 등 네트워크 통신에 관한 권한
  - android:name="android.permission.INTERNET"
    -> 외부 인터넷 사이트와 통신을 수행하기 위한 권한
  - android:name="android.permission.VIBRATE"
    -> 휴대폰 진동 제어 설정 권한
  

위 그림과 같은 권한 요구 과정을 거친 후 설치를 완료하면 아래의 그림과 같은 "QQ Game"의 메인화면을 볼 수 있다.


해당 악성 어플리케이션은 설치 완료 후 아래와 같은 아이콘을 사용하고 있으며, 사용중인 아이콘은 정상 어플리케이션의 아이콘과 같다.
  

<QQ 게임 아이콘>

설치가 완료되면 해당 어플리케이션은 내부의 코드를 이용해 추가적인 악성 APK 파일 설치를 위한 일련의 작업 과정을 거친다. 작업 과정에 사용될 추가적인 악성 APK 파일은 최초에 설치된 "QQ Game"의 APK 파일에 포함되어 있으며, 파일명 등은 아래의 그림을 참고 할 수 있도록 하자.


위 그림에는 두개의 적색 박스가 있으며, 각각의 파일은 APK, ELF(busybox는 압축된 형태의 파일) 파일이다. APK 파일의 경우 추가적인 악성 기능이 포함된 악성 어플리케이션이며, ELF 파일은 루팅 구문 구동을 위해 악용할 수 있는 리눅스 기반의 파일로 이해하면 쉬울 것이다.

위 설명에서 또 다른 악성 어플리케이션에 대한 설치를 위해 추가적인 작업 과정이 필요하며 위 그림은 그 과정에서 사용될 수 있는 파일이라 설명했다. 이제 해당 악성 어플리케이션에 대해 좀 더 세밀히 알아 보도록 하자.

설치된 악성 어플리케이션 내부에는 아래의 그림과 같이 리소스 부분을 따로 모아 선언해 놓은 부분이 있다.


위 그림의 "rageagainstthecage" 파일은 루팅을 위한 파일이며, 자세한 설명은 다음 부분에서 설명하도록 하겠다. 위 리소스를 참조하여 해당 악성 어플리케이션은 아래의 코드를 통해 "anserverb" 파일의 파일명을 "xxx.apk"로 바꾸게 된다.


또한, "xxx.apk" 파일의 설치를 위해 아래의 코드를 통해 앞전에서 미리 설명하였던 "추가적인 작업 과정"을 수행하게 된다. 여기까지 살펴보았다면 "추가적인 작업 과정"에 대해 어느정도 유추해 볼 수 있을것이다. 

"추가적인 작업 과정"은 바로 루팅을 위한 작업을 말한다. 아래의 코드를 통해 루팅 관련 작업 및 "xxx.apk"파일에 대한 설치를 진행하므로 참고할 수 있도록 하자.
  


◆ 압축 해제, 루팅 관련 작업, 추가적인 APK 파일 설치 관련 코드


☞ 위 그림에서 "SMSApp.apk"파일과 "xxx.apk"파일로 파일명이 변경되는 "anserverb"파일은 자체 코드내의 리소스 값이 같다. 따라서 동일한 파일임을 알 수 있다.



물론 위 그림에서 설명한 루팅 관련 작업은 "안드로이드 SDK 버전이 2.2 이하 버전"일 경우에만 정상적으로 동작 할 수 있으니 이점 참고할 수 있도록 하자.

여기 까지 설명한 모든 부분이 모두 충족되었다면 "xxx.apk"파일이 자동으로 설치되겠지만 이 경우 2중 패키지 파일에 대한 설명 글을 통해 설명했다시피 권한 요구 관련 화면은 출력되지 못한다.

■ 악성 어플리케이션 내부에 포함된 또 다른 추가적인 악성 어플리케이션
  

아래의 그림은 추가적으로 설치되는 악성 어플리케이션에 대한 권한 요구 화면이니 참고할 수 있도록 하자.


※ 코드에 포함된 권한 부분

  - android:name="android.permission.WRITE_SMS"
    -> SMS 등의 메시지를 작성하기 위한 권한
  - android:name="android.permission.RECEIVE_BOOT_COMPLETED"
    -> 휴대폰 부팅 후 어플리케이션의 자동 실행을 위한 권한
  - android:name="android.permission.VIBRATE"
    -> 휴대폰 진동 제어 설정을 위한 권한
  - android:name="android.permission.READ_SMS"
    -> SMS 등의 메시지를 읽기 위한 권한
  - android:name="android.permission.RECEIVE_SMS"
    -> SMS 등의 메시지 수신을 받아오기 위한 권한
  - android:name="android.permission.SEND_SMS"
    -> SMS 등의 메시지 송신을 위한 권한
  - android:name="android.permission.READ_PHONE_STATE"
    -> 휴대폰 단말기 정보 획득을 위한 권한
  - android:name="android.permission.DISABLE_KEYGUARD"
    -> 휴대폰의 Lock 상태인 KEYGUARD를 Disable 하기 위한 권한
  - android:name="android.permission.READ_CONTACTS"
    -> 주소록 등을 읽기 위한 권한
  - android:name="android.permission.WRITE_CONTACTS"
    -> 주소록 등을 쓰기 위한 권한
  - android:name="android.permission.INTERNET"
    -> 외부 인터넷 사이트와 통신을 수행하기 위한 권한
  - android:name="android.permission.ACCESS_NETWORK_STATE"
    -> 네트워크 상태 접근을 위한 권한
  - android:name="android.permission.CALL_PHONE"
    -> 전화 걸기 등 통화 관련 제어를 위한 권한
  - android:name="android.permission.WAKE_LOCK"
    -> Device Power 설정을 위한 권한
  - android:name="android.permission.RESTART_PACKAGES"
    -> 패키지에 대한 종료/재시작 등을 위한 권한
  - android:name="android.permission.WRITE_APN_SETTINGS"
    -> 네트워크 연결 등에 필요한 APN 설정 권한
  

추가적인 악성 어플리케이션의 경우 설치가 완료된 후 아래의 코드 등을 통해 SMS 수집 및 송신, 주소록 등의 정보 탈취, 단말기 정보 탈취, 실행중인 어플리케이션에 대한 정보 획득 및 특정 어플리케이션에 대한 실행 방해 동작 등의 악성 동작을 할 수 있다.

클릭하실 경우 확대된 화면을 보실 수 있습니다.


위에서 설명한 해당 악성 어플리케이션은 설치 후 별도의 아이콘을 가지고 있지 않는다. 다만, "응용프로그램 관리" 부분을 살펴보면 아래의 그림과 같이 어느 정도 구별이 가능하니 참고할 수 있도록 하자.


3. 예방 조치 방법

해당 악성 어플리케이션의 경우 중국 사용자들을 대상으로 제작된 게임 어플리케이션이며, 국내에서는 아직 해당 어플리케이션 등으로 인한 피해 상황은 보고되지 않고 있다. 다만 스마트폰 어플리케이션의 특성상 국내에서도 이러한 해외 어플리케이션 설치가 자유로우며, 동일한 형태의 악성 어플리케이션 등장이 충분히 가능해 추가적인 피해 발생이 전무할 것이라고 단언할 수 없다. 또한, 이러한 재패키징 및 2중 패키징 기법을 사용한 악성 어플리케이션의 경우 사용자 몰래 스마트폰에 설치 등을 시도 할 수 있으므로 일반 사용자들은 아래의 "모바일 보안 관리 수칙"을 준수하는 등 스스로 관심과 주의를 기울이는 것이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있다.

※ 모바일 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


2011년 06월 06일 잉카인터넷 대응팀은  이외에도 약 8종의 새로운 안드로이드용 악성파일을 추가로 발견하여 업데이트를 완료한 상태이다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 중국을 중심으로 한 해외에서 2중 패키징된 안드로이드용 모바일 악성 어플리케이션이 발견되어 사용자들의 주의를 요망하고 있다. 해당 악성 어플리케이션은 정상 파일 속에 악성 APK파일이 포함된 형태로 근래 발견된 사례가 없는 드믄 경우다. 감염될 경우 사용자가 모르는 사이 각종 정보를 탈취 당할 우가 있으니 이번글을 통해 해당 악성 어플리케이션에 대해 살펴보고 혹시 모를 피해에 대비할 수 있는 시간을 가져보도록 하자.


※ 2중 패키징의 의미 (APK : Android PacKage File)

 - 정상 APK 설치파일 내부에 악성 APK 파일이 포함되어 있는 형태.


2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 정상적인 어플리케이션에 악성 기능을 추가해 재패키징된 상태안드로이드 마켓, 블랙마켓, 3rd party 마켓 등을 통해 유포될 수 있다.

◆ 2중 패키징된 첫번째 APK 파일 다운로드 및 설치

위에서 설명한 유포 경로를 통해 다운로드가 가능한 APK파일은 분석 결과 휴대폰 배터리 잔량을 체크하는 정상 어플리케이션에 아래와 같은 권한 등의 악성 기능을 추가적으로 삽입한 형태이다. 아래의 그림과 함께 보면 권한 부분에 대한 이해가 더 쉬울 것이다.

                                                              <권한 부문> 

 

<설치 시 출력되는 권한 관련 부분>

"설치"를 누르고 진행을 하면 설치 과정이 종료된 후 아래의 그림과 같은 실행 화면을 볼 수 있다.
 

일부 모자이크 처리


이전 글에서 설명한 안드로이드용 모바일 악성 어플리케이션 처럼 많은 악성 어플리케이션들은 선정적인 이미지를 사용하는 경우가 많다. 설치 시 모든 언어가 중국어로 되어있는걸로 미루어보아 제작 출처는 중국으로 추정된다.

  

[선정적 제목의 Android용 모바일 악성 어플리케이션 유포 주의!]

http://erteam.nprotect.com/162
  

※ 다양한 형태의 안드로이드용 모바일 악성 어플리케이션에 의한 보안 위협

[스마트폰 보안 위협의 증대]
http://erteam.nprotect.com/149

[사용자 정보를 겨냥한 안드로이드 악성 앱 출현]
http://erteam.nprotect.com/123

[새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요]
http://erteam.nprotect.com/122

[사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의]
http://erteam.nprotect.com/98

[스마트폰 GPS 기능은 양날의 칼과 같다]
http://erteam.nprotect.com/25

[안드로이드용 모바일 악성프로그램 FakePlayer 변종 해외 등장!]
http://erteam.nprotect.com/18


일반 사용자들의 경우 해당 어플리케이션 설치 후 위와 같은 실행 화면에 대한 확인만 가능하나 실제로는 사용자 몰래 "특정 코드에 의해 감염 휴대폰에 대한 특정 조건 체크""패키지 인스톨 관련 코드를 진행"하게 된다.

◆ 2중 패키징된 두번째 APK 파일(첫번째 APK 파일 내부에 포함) 설치

첫번째로 설치된 악성 어플리케이션은 추가적인 조건이 갖춰질 경우 설치 권한 등의 코드에 의해 내부에 포함된 두번째 APK파일 설치를 시도하는 것으로 추정되고 있다.

※ 추가적인 조건

 - 루팅 시도 (안드로이드 2.2 이후 버전부터는 불가능)
 - 루팅 여부 확인


위에서 설명한 추가적인 조건은 아래와 같은 코드를 통해 구현되어 있다.


감염된 스마트폰이 어떠한 방식으로든 루팅 된다면 내부에 포함되어 있는 두번째 APK파일이 설치되지만 기본 설치 시 확인할 수 있었던 권한 부분은 이 경우 출력되지 않는다.

내부에 포함된 두번째 APK파일에 대한 권한 부분을 아래의 그림과 같이 첨부하니 참고할 수 있도록 하자.
 

클릭하실 경우 확대된 이미지를 확인하실 수 있습니다.

<권한 부분>

<설치 시 출력되는 권한 관련 부분>


내부에 포함되어 있는 두번째 APK파일은 설치가 완료 되어도 특별한 실행 화면 등은 존재하지 않는다. 다만, 위의 권한 부분을 보면 알 수 있듯이 사용자 몰래 "SMS, MMS 등의 메시지 송/수신"이 가능하며 이로인한 이용 과금 발생 등을 유발할 수 있다. 또한, "휴대폰의 위치 정보 및 통화 기록 등의 단말기 정보가 유출"될 수 있으며, "휴대폰 부팅시 자동으로 악성 어플리케이션이 실행"될 수 있다.

 

3. 예방 조치 방법

위에서 설명한 안드로이드용 모바일 악성 어플리케이션은 별도의 다운로드 없이 내부에 포함된 추가 패키지 설치를 시도하는 아주 드문 경우의 케이스라 할 수 있다. 이러한 악성 어플리케이션 또한, 기존과 마찬가지로 사용자 스스로 하기의 "모바일 보안 관리 수칙"을 준수하는 등 각자 관심을 가지고 주의를 기울이는 것이 안전을 위한 최선의 방법이라 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 안드로이드 운영체제에 대한 최신 보안 패치 필수 진행.

2. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
 
3. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect