1. 개 요


얼마전 유럽의 사용자들을 대상으로 한 프리미엄 서비스 SMS관련 애플리케이션이 발견되어 이슈
가 된 바 있다. 기존과 달리 중국과 러시아에 국한되지 않고 감염 범위를 다양하게 가져간 측면에서 화제가 되었는데 최근 해당 악성 애플리케이션의 변종이 또다시, 출현하여 감염 범위 확장에 대한 심각성이 더욱 고조되고 있다. 이러한 추세라면 얼마 지나지 않아 곧 유럽을 뛰어넘어 훨씬 다양한 국가에서 수 많은 악성 애플리케이션들이 활동을 시작할 것이라는 추정이 가능하다. 잉카인터넷 대응팀에서는 해당 변종을 다수 확보한 상태이고, 지속적으로 업데이트를 수행 중이다.
  

참고로 국내에 공식적인 감염 사례가 보고되지는 않았으며, 외산 안드로이드 기반 악성파일이 악용하는 프리미엄 SMS 기능은 국내 환경과 차이가 있기 때문에 직접적인 피해가 발생할 가능성은 낮은 편이다. 

[참고]안드로이드 악성 애플리케이션 유럽 상륙
http://erteam.nprotect.com/220

2. 유포 경로 및 감염 증상

이번에 출현한 변종의 경우 기존의 악성 애플리케이션의 유포 경로와 뚜렷한 차이점을 보이는데 바로 구글의 안드로이드 마켓을 통해 유포가 시도되었다는 점이다. 물론, 블랙마켓 및 3rd Party 마켓을 통해서도 유포가 이루어지며, 안드로이드 마켓 측에서는 현재 해당 악성 애플리케이션들을 모두 차단시켜 놓은 상태이다.
 
기존에 발견되었던 유럽을 대상으로한 악성 애플리케이션은 총 8개국을 감염 대상으로 삼고 제작되었다. 그러나, 이번에 발견된 변종의 경우 그보다 대폭 상승한 총 18개국을 감염 대상으로 하고 있다.

※ 감염 대상 국가 (총 18개국)

 - 아제르바이잔
 - 아르메니아
 - 영국
 - 벨라루스
 - 독일
 - 그루지아
 - 이스라엘
 - 카자흐스탄
 - 키르키스스탄
 - 라트비아
 - 리투아니아
 - 러시아
 - 폴란드
 - 타지키스탄
 - 우크라이나
 - 프랑스
 - 체코
 - 에스토니아

또한, 해당 악성 애플리케이션의 경우 기존에 유포되었던 것들과는 다르게 다양한 애플리케이션을 통해 한꺼번에 유포를 시도하였다. "게임", "월 페이퍼" 등 다양한 종류를 통하여 동일한 악성 기능을 가지는 총 27개의 악성 애플리케이션들이 구글의 안드로이드 마켓에 등록된 것으로 알려졌다.

이미지 출처 : Symantec Blog


※ 안드로이드 마켓에 등록된 악성 애플리케이션 목록 (총 27개)

Corazon LLC:
 - Horoscope (horoscope.android)
 - Horoscope (com.corazon.horoscope)

Corelly LLC:
 - Horoscope (com.corelly.horoscope)

Ranzy LLC:
 - Twilight (com.Twilight.wallpapers)
 - Puss in Boots (com.Puss.Boots.wallpapers)
 - Moneyball (com.Moneyball.wallpapers)

Astrolog LLC:
 - Sim City Deluxe FREE (com.astrolog.sim.city.deluxe.free)
 - Need for Speed Shift FREE (com.astrolog.need.forspeed.shift.free)
 - Great Little War Game FREE (com.astrolog.great.little.war.game.free)

Logastrod:
 - Cut the Rope (com.Cut.the.Rope)
 - Angry Birds (com.Angry.Birds)
 - Assassins Creed (com.Assassins.Creed)
 - Talking Tom Cat (com.Talking.Tom.Cat)
 - NEED FOR SPEED Shift (com.nsf.Shift)
 - Where is My Water? (com.swampy.Water)
 - Great Little War Game (com.Great.little.War.Game)
 - World of Goo (com.World.Goo)
 - Shoot The Birds (com.Shoot.The.Birds)
 - Riptide GP (com.Riptide.GP)
 - Talking Larry the Bird (com.Talking.larry.Bird)
 -  Bag It! (com.Bag.It)
 - Talking Larry the Bird (com.Talking.Larry.Bird)
 - Angry Birds (com.Angry.Birds.free)

Allwing Concept:
 - TETRIS (com.tetris.free)
 - Pool Master Pro (com.Pool.Master.free)
 - Reckless Racing (com.Reckless.Racing.free)
 - Paradise Islad (com.Paradise.Island.free)

유포에 동원된 악성 애플리케이션들은 무료 게임, 월 페이퍼 등으로 위장되었기 때문에 일반 사용자들의 경우 쉽게 현혹되어 해당 악성 애플리케이션들을 다운로드 할 수 있다.

해당 악성 애플리케이션의 악성 동작은 이미 출현한 바 있는 프리미엄 서비스 SMS 관련 악성 애플리케이션과 동일하다. 차이점이 있다면 애플리케이션 실행 시 아래와 같은 URL을 통해 추가적인 APK파일 다운로드 및 설치 시도 등이 있으나, 현재는 해당 URL이 차단되어 더이상의 다운로드는 불가능한 상태이다.

※ 추가 APK 파일 다운로드 URL

http://(생략)/app/riptide.apk

※ 최초 다운로드 조건

☞ 감염된 스마트폰의 국가 코드 정보가 위에서 언급한 18개국의 국가 코드와 일치하지 않을 경우.


아래의 그림은 해당 악성 애플리케이션에 대한 실행 화면이다.


 

 

 

해당 애플리케이션은 위 그림과 같이 최초 감염된 후 실행 시 추가적인 APK 파일에 대한 다운로드 및 설치를 시도하게 된다. 그 후 "3"번 과정을 거치기 전 감염된 스마트폰의 국가 코드 정보를 조회 후 위 에서 설명한 18개의 국가 코드 정보와 일치 경우 아래의 일부 코드와 같이 프리미엄 SMS 서비스에 특정 내용이 포함된 문자 메시지를 발송해당 프리미엄 SMS 서비스 측으로 부터 문자 메시지를 회신 받을 경우 사용자 몰래 해당 SMS를 삭제하게 된다.

 


또한, 만일 감염된 스마트폰의 국가 코드정보가 내부에 정의된 18개의 국가 코드 정보와 일치하지 않을 경우에는 "4"번 항목과 같이 재차 특정 URL에서 추가적인 APK 파일에 대한 다운로드를 시도하게 된다.

3. 예방 조치 방법

해당 악성 애플리케이션의 특징은 기존의 유포 방식과 다르게 구글의 안드로이드 마켓을 이용했다는 점, 감염 대상 국가가 중국, 러시아 등의 특정 국가에 국한되지 않고 점점 그 대상을 확대해 나가고 있다는 점, 마지막으로 한번에 여러 종류의 악성 애플리케이션을 제작하여 유포를 시도했다는 점 이렇게 세가지로 요약해 볼 수 있다. 여기서 구글의 안드로이드 마켓에 등록된 해당 악성 애플리케이션들은 모두 다운로드 횟수에서 상위를 차지하고 있는 카테고리인 "무료 게임", "월 페이퍼" 등의 종류로 업로드 되어 있어 일반 사용자들의 경우 쉽게 현혹되어 감염될 수 있다는 점도 주목할만 하다.

이러한 악성 애플리케이션의 경우 위장 등의 사회공학 기법을 사용하고 정상 마켓을 통해 서비스 된다는 점 때문에 일반 사용자들의 경우 악성 여부를 식별해 내기가 매우 까다로울 수 있다. 때문에 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.EUsendSMS.A
- Trojan-SMS/Android.EUsendSMS.B

 


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

기존에도 중국을 중심으로 특정 프리미엄 SMS 서비스를 이용한 과금 유발 형태의 악성 애플리케이션이 다수 발견된 사례가 있었다. 이러한 프리미엄 SMS 서비스는 국내에선 실시되고 있지 않은 서비스이며, 다양한 이동통신사 및 망사업자 등의 조건이 충족되는 국가에서 실시되고 있는 서비스이다. 그런데 최근 다양한 국가의 사용자들을 대상으로하는 프리미엄 SMS 과금 유발 형태의 악성 애플리케이션이 발견되었으며, 향후 이와 유사한 변종 형태의 SMS 관련 악성 애플리케이션이 출현할 것으로 전망되고 있어 외산 애플리케이션 다운로드에 사용자들의 각별한 주의가 요망되고 있다.

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 해외 블랙마켓, 3rd Party 마켓 등을 통해 유포가 이루어지고 있으며, 특정 애플리케이션의 설치본 형태로 제작되었다. 실제로 해당 악성 애플리케이션을 설치하면 특정 애플리케이션에 대한 다운로드 여부를 묻는 화면이 출력된다.

■ 간략 정보

아래의 그림은 해당 악성 애플리케이션 설치 시 출력될 수 있는 권한 요구 화면이다.


설치본 형태로 제작된 애플리케이션이기 때문에 별다른 권한은 요구하지 않고 있으며, SMS 발송을 위해 아래와 같은 권한만을 요구하고 있다.

※ 전체 권한

 - <uses-permission  android:name="android.permission.SEND_SMS"  > </uses-permission>


해당 악성 애플리케이션에 대한 설치가 완료된 후 실행하게 되면 아래의 그림과 같은 실행화면을 볼 수 있다.


위 그림을 살펴보면 알 수 있듯이 "geared" 라는 특정 애플리케이션에 대한 다운로드 여부를 묻고있으며, "Next" 버튼 클릭 시 아래의 그림과 같은 게임 애플리케이션에 대한 다운로드 및 설치를 진행할 수 있다.
  

◆ 추가적으로 다운로드 및 설치되는 게임 애플리케이션(geared)

  ▶ 권한 요구


  ▶ 실행 화면

  

또한, 해당 악성 애플리케이션의 실행화면에서 "Rules" 버튼을 클릭하게 되면 아래의 그림과 같이 사용자들의 입장에서 쉽게 지나칠 수 있는 약관 형태의 "Rules" 화면을 출력하게 된다.


위 약관을 자세히 살펴보면 1번 항목 등에서 특정 컨텐츠 접근 및 SMS 과금 형태에 대한 설명이 기재되어있다. 그러나 일반 사용자들은 보기 불편한 위와같은 약관을 자세히 보지 않고 쉽게 지나쳐 버리게 되며, 제작자는 이러한 측면을 악용하고 있다.

한가지 특이한 점은 해당 악성 애플리케이션이 추가적으로 다운로드되는 게임 애플리케이션의 설치본 형태를 띄고 있으면서도 두가지 애플리케이션이 서로 패키지명이 다르다는 것이다.

※ 패키지명 비교

 - 악성 애플리케이션 : com.depositmobi
 - 게임 애플리케이션 : com.scoreloop.games.geared


■ 상세 정보

위에서 설명한 프리미엄 SMS 과금 유발 형태의 악성 기능은 아래의 일부 코드를 통해 구현되어 있다.

화면을 클릭하시면 확대된 화면을 보실 수 있습니다.


위와 같은 SMS 발송 등의 악성 기능은 애플리케이션이 실행된 후 버튼에 대한 클릭이 진행되면 바로 동작하게 되며, 사용자는 SMS 발송에 대한 확인이 불가능하다. 위와 같은 Direct SMS Deliver 코드 형태로 발송된 SMS의 경우 발신함에 그 기록이 남지 않기 떄문이다.

또한, 해당 악성 애플리케이션은 위 일부 코드와 같이 감염된 스마트폰의 망사업자 등에 대한 확인 코드가 실행되며, 이를 바탕으로 화면에 뿌려주는 언어를 설정하게된다. 화면에 뿌려주는 언어는 "Raw" 폴더내의 "countries.cfg" 파일에 정의되어 있으며, 추가적인 게임 애플리케이션(geared)에 대한 다운로드 시 URL 파싱을 위해 사용되는 "sms.cfg" 파일 또한 동일한 폴더내에 존재하고 있다.

※ 게임 애플리케이션(geared) 다운로드 URL

 - http://moyandroid.net/(생략)/download.php?id=(생략)

아래의 일부 코드는 위에서 설명한 다양한 국가 고유 코드에 대해 선언된 변수 값이다.


3. 예방 조치 방법

위와 같은 SMS 관련 악성 애플리케이션은 현재 유포되고 있는 안드로이드 악성 애플리케이션에서 주류를 이루고 있다. 다만, 최근 발견된 악성 애플리케이션의 경우 다양한 사회공학 기법 활용과 더불어 감염 대상을 특정 국가의 사용자에 국한하지 않고 여러 국가의 사용자들을 감염 대상으로 하고 있다는 점이 주목할만하다. 일반 사용자들의 경우 나날이 고도화되고 있는 안드로이이드 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 최선의 방법이될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

최근 발견되고 있는 악성 애플리케이션들은 단순 정보 수집 단계에서 이제는 사용자 몰래 특정 악성 기능들을 수행하여 이용 과금을 유발해 금전적 피해를 줄 수 있는 단계로 위험 범위가 확산되고 있다. 이러한 와중 중국의 SMS 프리미엄 서비스 가입을 통한 과금을 유발하는 악성 애플리케이션이 발견되어 사용자들의 각별한 주의가 요망되고 있다.

[[주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견]

http://erteam.nprotect.com/181
  

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 현재 구글 안드로이드 마켓에는 존재하지 않으며, 중국의 블랙마켓, 3rd Party 마켓등을 중심으로 유포될 수 있다.

위와 같은 악성 애플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 출력할 수 있다.


※ 전체 권한

- android:name="android.permission.READ_CONTACTS"

- android:name="android.permission.RESTART_PACKAGES"

- android:name="android.permission.INTERNET"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.RECEIVE_SMS"

- android:name="android.permission.WRITE_EXTERNAL_STORAGE"

- android:name="android.permission.ACCESS_NETWORK_STATE"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.READ_SMS"

- android:name="android.permission.WRITE_SMS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘을 생성하며, 해당 아이콘을 클릭 시 아래의 그림과 같은 실행화면을 출력한다.
  

▶ 실행 아이콘


▶ 실행 화면

  

■ 상세 분석

해당 악성 애플리케이션은 SMS 관리를 위해 아래와 같은 1개의 리시버를 등록하며, 높은 우선순위를 책정해 놓을 수 있다.

※ Receiver 등록

- com.talkweb.comm.SmsReceiver


또한, 해당 악성 애플리케이션은 감염 후 특정 이동통신 등의 프리미엄 서비스 가입을 진행할 수 있으며 가입 절차는 해당 프리미엄 서비스 가입 요청 전화번호로 SMS 전송을 통해 이루어진다.

※ 세부 가입 절차

- 서비스 공급자에게 서비스 가입 SMS 전송
- 서비스 공급자는 해당 SMS에 대한 상세 설명 등의 응답(SMS 회신)
- 사용자는 서비스 공급자의 응답 SMS에 "Y" 문장을 포함한 SMS 회신이 필요하다.

위와 같이 프리미엄 서비스 가입 절차가 이루질 경우 해당 악성 애플리케이션은 사용자 몰래 해당 서비스 공급자로부터 회신되는 SMS를 확인 후 "Y" 등의 SMS 회신을 통해 사용자의 인증 없이 가입 절차를 마무리할 수 있다. 또한, 이러한 진행 상황을 사용자가 알 수 없도록 아래의 일부 코드를 통해 관련 SMS에 대한 삭제를 진행한다.


지난번 이슈가 되었던 프리미엄 서비스 가입 악성 애플리케이션과는 조건문에 서비스 번호가 한개더 추가된다는 차이점있다.

3. 예방 조치 방법

해당 악성 애플리케이션은 중국 사용자들을 타겟으로 제작되었기 때문에 당장 국내에서 피해 사례가 발생하진 않을 것으로 예상된다. 다만, 악성 애플리케이션은 언제든지 재패키징을 통해 또다른 악성 애플리케이션으로 "재탄생"이 가능하기 때문에 언제든지 피해가 발생할 수 있다.

이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이 될 수 있을것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.GO108.A


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect