1. 개 요

 

최근 스마트폰에 대한 보안 위협이 증가하며, 관련한 악성 애플리케이션도 기하 급수적으로 늘어나고 있다. 스마트폰 악성 애플리케이션에 대한 보안 위협이 증가하면서 성 애플리케이션은 초기 단계에서 벗어나 자신의 생존 주기를 늘리기 위해 다양한 기법들을 사용하고 있다. 그중 가장 널리 사용되는 방법은 아주 기초적이면서도 일반 사용자들은 감염 사실을 알아차리기 어려운 백그라운드 동작 기법이다. 최근 사용자 몰래 백그라운드 상태에서 동작하며, SMS를 무단 발송 하거나 스마트폰의 기기 정보 등을 무단으로 수집 및 외부유출을 시도하는 악성 애플리케이션이 뚜렷한 증가 추세를 보이고 있다.
  

2. 유포 경로 및 감염 증상

위와 같은 악성 애플리케이션은 아직 국내에서는 전파되지 않고 있으며, 특별한 감염사례 또한 보고되지 않고 있다. 아직까지 악성 애플리케이션은 국내가 아닌 중국이나, 러시아를 중심으로 블랙마켓, 3rd Party 마켓 등을 통해 유포되고 있으나, 향후 인터넷을 통해 얼마든지 국내에도 유포가 가능할 수 있다.

아래에서 설명할 악성 애플리케이션은 위와 같이 사용자 몰래 백그라운드에서 악성 동작을 수행하는 대표적인 종류의 악성 애플리케이션이다.

이러한 악성 애플리케이션은 자신의 악성 코드 구현을 위해 몇가지 권한을 필요로 한다.

■ 권한 요구 및 설치 시 특징

우선 모든 애플리케이션은 설치 시 아래의 그림과 같이 몇몇 특정 권한들을 요구할 수 있다.


※ 전체 권한

- android:name="android.permission.SEND_SMS"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.WRITE_APN_SETTINGS"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.BROADCAST_PACKAGE_REMOVED"
- android:name="android.permission.BROADCAST_PACKAGE_ADDED"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INTERNET"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.KILL_BACKGROUND_PROCESSES"


위에서 설명한 권한중 "SMS와 관련된 권한", "스마트폰 기기 정보 수집 등에 필요한 READ_PHONE_STATE 권한" 등은 대부분의 악성 애플리케이션에서 요구하는 권한들이며, "KILL_BACKGROUND_PROCESSES 권한"은 특정 애플리케이션 종료를 위해 사용될 수 있는 권한이다.


위에서 설명한 악성 애플리케이션은 설치 후 별도의 실행 아이콘이 없다. 위 그림과 같이 Main 액티비티에 대한 "LAUNCHER"부분이 정의되어 있지 않기 때문이다.

이러한 악성 애플리케이션의 경우 설치 완료 후 응용프로그램 관리에서 아래의 그림과 같이 설치 여부를 확인할 수 있다.


■ 악성 동작 확인

위와 같은 악성 애플리케이션은 대부분 특정 애플리케이션이나 다양한 목적의 광고를 위해 사용자 몰래 SMS를 무단 발송하는 기능
을 가지고 있으며, 무단 발송 코드 수행을 위해 해당 스마트폰의 전화번호 목록, 스마트폰 기기 정보 등을 수집할 수 있다. 또한 수집된 스마트폰 기기 정보를 외부로 유출하여 해당 정보를 기반으로 복제폰을 만드는 등 다양한 목적을 가지고 악용할 수 있다.

아래의 일부 코드를 통해 imei 및 스마트폰 모델, 안드로이드 플랫폼 및 SDK 버전, 전화번호 목록 등을 수집하고 외부에 유출 시도를 하는 기능을 수행할 수 있다.

클릭하시면 확대된 화면을 보실 수 있습니다.


정보 수집 및 유출과 함께 가장 많이 악용되고 있는 SMS 발송 기능은 아래의 일부 코드를 통해 수행될 수 있다.
  

ㄱ. SMS 발송


ㄴ. MMS 발송


위와 같이 특정 조건에 따라 SMS 혹은 MMS를 구분하여 무단 발송 기능을 수행할 수 있다.
  

또한, 해당 악성 애플리케이션은 아래의 일부 코드를 통해 실행중인 애플리케이션 목록을 수집 후 애플리케이션을 강제 종료할 수 있는 기능을 수행할 수 있다.

 


위 코드를 통해 SDK 버전 8(안드로이드 2.2버전)을 기준 조건으로 실행중인 애플리케이션을 강제 종료 시도하는 기능에 대한 확인이 가능하다. 2.2버전을 기준 조건으로 설정한 이유는 해당 버전을 기준으로 강제 종료에 대한 API가 변경되었기 때문이다.

※ 2.2 이상 버전에서는 killBackgroundProcesses() 메서드로 프로세스를 종료할 수 있으나, 2.1 이하 버전에서는 restartPackage() 메서드로 프로세스 종료를 진행할 수 있다.

3. 예방 조치 방법

최근 유포되고 있는 악성 애플리케이션은 위와 같이 사용자 몰래 특정 악성 동작을 진행하는 트랜드가 주를 이루고 있다. 또한, 아직까지는  정밀한 기법을 통해 위와 같은 악성 동작을 수행하는 애플리케이션이 출현하지는 않고 있다. 다만, 현재와 같은 테스트 수준의 악성코드 구현을 통해 지속적으로 애플리케이션을 통한 악성 동작 POC(Proof of Concept)가 진행되고 있는 만큼 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하여 사용자 스스로 안전한 스마트폰 사용을 위해 주의를 기울이는 것이 스마트폰 보안을 위한 최선의 방법이될 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.AdSms.F






저작자 표시
신고
Posted by nProtect

1. 개 요


최근 스마트폰 기기의 불법적인 정보 수집기능을 가지는 애플리케이션이 지속적으로 발견되고 있다. 스마트폰의 기기의 정보가 유출될 경우 다양한 방면에서 악용될 소지가 다분하며, 이는 곧 사용자의 보안 위협으로 작용될 것이다. 이러한 와중에 스마트폰 기기의 정보에 대한 불법적인 수집 및 외부 유출을 시도하는 악성 애플리케이션이 추가적으로 발견되어 사용자들의 각별한 주의가 요망되고 있다. 현재 안드로이드 악성 애플리케이션의 경우 특별한 진단 및 분류 정책 마련 등이 아직은 미비한 상태이며, 이러한 악성 애플리케이션의 경우 일반인들도 충분히 제작이 가능하기 때문에 스마트폰 보안 위협은 앞으로 지속적으로 증대될 전망이다.

  

2. 유포 경로 및 감염 증상

이러한 악성 애플리케이션의 경우 각종 블랙마켓, 3rd Party 마켓 등을 통해 주로 유포가 이루어질 수 있으며, 악의적인 목적을 가지지않고 제작될 경우 구글 안드로이드 마켓을 통해서도 유포가 이루어질 수 있다.

해당 악성 애플리케이션은 다운로드 후 설치 시 아래의 그림과 같은 권한 요구 화면을 보여줄 수 있다.


※ 전체 권한

android:name="android.permission.INTERNET"             

android:name="android.permission.ACCESS_NETWORK_STATE" 

android:name="android.permission.RECEIVE_BOOT_COMPLETED"

또한, 해당 악성 애플리케이션은 설치가 완료된 후 별도의 실행 아이콘은 존재하지 않으며 내부의 코드에 의해 아래의 그림과 같이 스마트폰 재부팅 후 자동실행될 수 있다.

  

■ 상세 분석

해당 악성 애플리케이션은 아래와 같은 감염 증상을 유발할 수 있다.

※ 감염 증상

1. IMEI, IMSI 정보 수집

2. 스마트폰 제조 업체 및 모델명 등의 정보 수집

3. 네트워크 연결상태 체크 후 수집된 정보 외부 유출 시도

4. 특정 애플리케이션에 대한 설치 여부 확인


해당 악성 애플리케이션의 경우 별도의 Receiver는 등록하지 않는다. 다만, BroadcastReceiver 상속을 통해 스마트폰 내의 다른 애플리케이션에 대한 Action 및 Event처리를 시도 할 수 있다.

"※ 감염 증상" 부분에서 설명한 것과 같이 해당 악성 애플리케이션은 스마트폰 기기에 대한 정보 수집 및 특정 애플리케이션에 대한 설치 여부 확인 등을 주요기능으로 하고있으며, 특정 애플리케이션에 대한 설치 여부 확인은 MD5 체크 수식을 통해 패키지명 파싱 등의 방법으로 진행된다.

아래의 일부 코드를 통해 해당 악성 애플리케이션은 스마트폰 기기에 대한 정보를 수집할 수 있다.

그림을 클릭하시면 확대된 이미지를 확인하실 수 있습니다.


또한, 위와 같이 수집된 정보는 아래의 일부 코드와 같이 특정 메소드 등을 통한 일련의 데이터링 과정을 거친 후 전역 변수로 선언된 URL 레퍼런스를 통해 외부로 유출 시도될 수 있다.

그림을 클릭하시면 확대된 이미지를 확인하실 수 있습니다.


3. 예방 조치 방법

이동 통신 수단의 발전에 따라 향후에는 각종 결제 및 정보에 대한 처리가 스마트폰을 통해 수행되는 등 휴대용 통신 수단에 대한 의존도가 늘어날 것으로 전망된다. 이에 따라 자연스럽게 다양한 목적에 의한 휴대용 통신 수단의 보안 위협 또한 비례하여 증대될 것이다.

갈수록 지능화 되는 이러한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황


- Trojan-Spy/Android.NetiSend.A





저작자 표시
신고
Posted by nProtect
1. 개 요


최근 개인정보에 대한 불법적인 유출 등으로 인하여 다양한 방면에서 소송이 진행되는 등 정보 유출에 대한 보안 이슈가 보안 위협의 중대한 화두로 자리매김하고 있다. 이러한 와중 다양한 음성 지원 안드로이드 애플리케이션에서 스마트폰 및 개인정보에 대한 불법적인 취득 기능이 확인되었으며, 이렇게 유출된 정보들은 복제 휴대폰, 스팸 광고에 사용되는 DB 거래 등의 목적으로 악용될 소지가 크기 때문에 사용자들의 각별한 주의가 요망되고 있다.

  

2. 유포 경로 및 감염 증상

보통 안드로이드 악성 애플리케이션의 경우는 구글 안드로이드 마켓 보다는 3rd Party 마켓 혹은 세계각지의 다양한 블랙마켓 등을 통해 유포되는 경우가 대부분이며, 해당 안드로이드 악성 애플리케이션 또한 마찬가지이다.

해당 안드로이드 악성 애플리케이션은 다운로드 후 설치 진행 시 아래의 그림과 같은 권한 요구 화면을 보여줄 수 있다.


※ 전체 권한

- android:name="android.permission.INTERNET"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.RECEIVE_BOOT_COMPLETED"

- android:name="android.permission.GET_ACCOUNTS"

설치가 완료된 후 해당 안드로이드 악성 애플리케이션은 아래의 그림과 같은 실행 아이콘을 생성한다.

 


생성된 실행 아이콘을 선택하면 아래의 그림과 같은 실행화면을 볼 수 있으며, 실행 후 해당 애플리케이션은 경고음이 울리는 등의 음성지원을 할 수 있게 된다.


또한, 위 그림 오른쪽 상단의 화살표 이미지를 선택하면, 아래의 그림과 같은 추가적인 음성 지원 애플리케이션 다운로드 광고 화면을 보여주게 된다.


■ 상세 분석

해당 악성 애플리케이션은 설치가 완료될 경우 StartAtBootServiceReceiver, MyReferrerReceiver 두개의 리시버를 등록하게 되며, 크게 아래와 같은 감염 증상을 유발할 수 있다.

※ 감염 증상

1. IMEI 수집
2. 안드로이드 계정, 국가번호, 통신망 사업자 등의 정보 수집
3. 전화번호 목록 수집
4. 수집된 정보에 대한 외부 유출 시도
5. AlarmManager를 통한 주기적인 동작

우선, 해당 악성 애플리케이션은 설치 후 실행 시 아래의 코드를 통해 IMEI 값 및 스마트폰에 저장된 전화번호 목록 정보를 수집할 수 있다.


또한, 해당 정보 이외에도 아래의 코드를 통해 안드로이드 계정, 국가번호, 통신망 사업자 등의 정보도 수집될 수 있다.

 


이렇게 수집된 정보들은 아래의 일부 코드를 통해 특정 외부 사이트로 전송될 수 있다.

클릭하시면 확대 화면을 보실 수 있습니다.


위에서 설명한 정보 수집 및 외부 사이트 전송은 AlarmManager를 통해 주기적인 동작이 가능하다.

3. 예방 조치 방법

해당 악성 애플리케이션의 경우 모든 악성 기능이 사용자 몰래 백그라운드 상태에서 동작되며 유출된 정보는 스팸 DB, 복제 휴대폰 제작 등의 악의적인 용도로 사용될 수 있다. 또한, 일반 사용자의 경우 육안상으로 악성 여부 판단 및 동작 중인 기능에 대한 확인이 어렵기 때문에 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.SndApps.A
 


 

저작자 표시
신고
Posted by nProtect
1. 개 요
 
최근에 유포되고 있는 안드로이드 악성 애플리케이션의 경우 대부분 SMS에 대한 Read, Write 등의 기능을 포함하고 있다. 하지만 이번에 확인된 안드로이드 악성 애플리케이션의 경우 감염되면 SMS 프리미엄 서비스 사용 과금을 유발해 사용자에게 금전적 피해까지 줄 수 있는 기능이 포함되어있어 각별한 주의를 요망하고 있다. 이와 같은 대부분의 악성 애플리케이션의 경우 악성 기능 동작에 대해 사용자가 인지할 수 없도록 다각적인 방법(?)을 이용하기 때문에 사용자 입장에서는 지속적인 패해를 입을 수 있다.
  

2. 유포 경로 및 감염 증상

위와 같은 악성 애플리케이션은 제작 시 중국 사용자들을 대상으로 하였음이 추정 되고있으며, 현재까지 국내에서는 특별한 피해 사례가 나타나지 않고 있다.

해당 악성 애플리케이션은 각종 블랙마켓, 3rd Party 마켓 등을 통해 유포될 수 있으며,  다운로드 후 설치 시 아래와 같은 권한 요구 화면을 출력할 수 있다.


※ 전체 권한

- android:name="android.permission.INTERNET"

- android:name="android.permission.ACCESS_NETWORK_STATE"

- android:name="android.permission.RECEIVE_SMS"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.RECEIVE_BOOT_COMPLETED"

설치가 모두 완료되면 아래의 그림과 같이 실행 아이콘이 생성된다.
 


또한, 해당 실행 아이콘을 누르면 아래의 그림과 같은 실행 화면을 볼 수 있다.


■ 상세 분석

해당 악성 애플리케이션은 아래와 같은 감염 증상을 유발할 수 있다.

※ 감염 증상

- 프리미엄 서비스 사용 비용을 유발하는 SMS 발신
- 특정 전화번호 발신의 SMS 수신 차단
- IMSI 수집
- 위치 정보 수집
- 수집된 정보의 외부 유출 시도
- 백그라운드 상태에서 동작 가능

해당 악성 애플리케이션은 아래의 일부 코드를 통해 프리미엄 서비스 사용 비용을 유발할 수 있는 전화번호에 대한 파싱 작업을 진행하며, 파싱된 전화번호로 SMS를 발신하게 된다. 또한, 발송되는 SMS의 내용 부분도 아래의 코드를 통해 함께 파싱되어 전송된다.


※ 프리미엄 요금을 부과하는 기타 악성 애플리케이션

[주의]중국 PPXIU 게임으로 위장한 안드로이드용 악성 파일 발견
http://erteam.nprotect.com/167

또한, 위와 같은 해당 문자를 발신하게 되면 선택한 메뉴에 대한 회신을 SMS 형태로 받을 수 있다. 이 과정에서 아래의 일부 코드를 통해 SMS를 회신하는 전화번호를 파싱 후 해당 전화번호로 전송 받을 수 있는 수신 이벤트 발생전 삭제하는 방법을 통하여 해당 SMS 회신을 차단할 수 있다.


※ 특정 전화번호 서비스의 SMS 회신을 차단하는 악성 애플리케이션

[주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견
http://erteam.nprotect.com/181

해당 악성 애플리케이션은 아래의 일부 코드를 통해 IMSI 정보를 수집할 수 있으며, 수집된 정보는 특정 외부 사이트로 유출 시도 될 수 있다.


위의 코드에서 특정 외부 사이트에 대한 URL을 다른 Class 소스를 통해 읽어드린 후 나머지 URL에 대한 부분을 완성시켜 수집된 정보에 대한 유출 시도를 할 수 있도록 한다.

이밖에도 해당 악성 애플리케이션은 getLatitude(), getLongtitude() 등의 메소드 구현을 통해 위도와 경도 정보 수집 방법을 이용하여 사용자의 위치정보를 수집할 수 있다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 SMS에 대한 발신 및 수신 처리, 위치정보 수집 등에 대한 모든 악성 기능을 사용자 몰래 동작 시킬 수 있으며 해당 악성 기능 동작으로 인해 사용자는 이용 요금 부과 등의 금전적 손실을 입을 수 있다. 이러한 모바일 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법일 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.LoveTrap.A



 

저작자 표시
신고
Posted by nProtect

1. 개 요 


최근 국내 모 기업의 회원 정보 유출 건이 연일 화제가 되고 있다. 개인 정보는 최근 정보 보안의 가장 큰 화두이며, 핵심이다. 해당 정보의 유출은 금전적 이득을 목적으로하며, 그에따라 금전적 피해로도 연결될 수 있다. 이러한 가운데 중국의 사용자들을 타겟으로한 다양한 정보 유출 기능의 애플리케이션이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 물론, 국내 사용자들을 대상으로 제작된 애플리케이션은 아니지만 각종 정보 탈취를 목적으로 하는 다양한 애플리케이션의 홍수속에서 이러한 애플리케이션들에 대한 선별적 구분 자세가 사용자들에게 요구되고 있는 것이 현실이다.

  

2. 유포 경로 및 감염 증상

위와 같은 악성 애플리케이션은 중국의 안드로이드 블랙마켓, 3rd Party 마켓 등을 중심으로 유포가 이루어지고 있으며, 해당 악성 애플리케이션은 설치 시 아래의 그림과 같이 다양한 권한을 요구할 수 있다.

 
※ 전체 권한

- android:name="android.permission.CALL_PHONE"

- android:name="android.permission.PROCESS_OUTGOING_CALLS"

- android:name="android.permission.INTERNET"

- android:name="android.permission.ACCESS_GPS"

- android:name="android.permission.ACCESS_COARSE_LOCATION"

- android:name="android.permission.ACCESS_COARSE_UPDATES"

- android:name="android.permission.ACCESS_FINE_LOCATION"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.READ_CONTACTS"

- android:name="android.permission.WRITE_CONTACTS"

- android:name="android.permission.ACCESS_WIFI_STATE"

- android:name="android.permission.PERMISSION_NAME"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.READ_SMS"

- android:name="android.permission.WRITE_SMS"

- android:name="android.permission.WAKE_LOCK"

- android:name="android.permission.RECORD_AUDIO"

- android:name="android.permission.WRITE_EXTERNAL_STORAGE"

- android:name="android.permission.DEVICE_POWER"

해당 악성 애플리케이션의 경우 설치 완료 후 별도의 실행 아이콘 등은 보이지 않으며, 아래의 그림과 같이 "응용 프로그램 관리" 메뉴에서 설치 여부를 확인할 수 있다.


■ 상세 분석

해당 악성 애플리케이션은 감염될 경우 크게 아래와 같은 감염증상을 유발할 수 있다.

※ 감염 증상

1. IMEI 등 단말기 정보 획득

2. SMS 정보 획득

3. SD 카드에 특정 정보 저장

4. SMS 문자 메시지 발송

5. GPS 기능 동작 및 사용자의 위치정보 수집

6. 수집된 각종 정보의 외부 발송

7. 통화목록 수집

8. 음성 통화 녹음

9. 백그라운드 실행

해당 악성 애플리케이션은 두개의 리시버(BootReceiver, AlarmReceiver)를 등록하게 된다. 이중 BootReceiver는 BroadcastReceiver 상속을 통해 해당 악성 애플리케이션의 백그라운드 동작을 가능하게 한다. 또한 WakeLock을 통해 잠금 상태 등의 경우에도 백그라운드 동작이 가능하게 할 수 있다.

해당 악성 애플리케이션은 일반적인 IMEI 정보 획득 코드를 통해 해당 정보를 수집하여, 아래의 일부 코드를 통해 해당 정보를 SMS 문자 메시지 전송 방법으로 유출할 수 있다.


해당 정보에 대한 SMS 메시지 전송 과정에서 위와 같이 수신 번호를 코드 내에 포함하고 있다.

또한, 해당 악성 애플리케이션은 아래의 일부 코드와 같이 Cell Id 확인 방법을 통해 사용자의 위치정보를 주기적으로 파악할 수 있는 GPS 기능을 수행할 수 있다.


이번 악성 애플리케이션은 위와 같은 일반적인 감염 증상 외에 아래의 일부 코드를 통해 스마트폰의 통화 상태를 확인 후 녹음하는 기능을 내부에 포함하고 있다.


이밖에도 "android.provider.CallLog.Calls.CONTENT_URI" 및 다양한 소스, 권한 등을 통해 통화 목록 수집 등의 정보 획득 기능 동작을 수행할 수 있으며, 획득한 여러가지 정보는 SD카드에 저장되어 특정 포트를 통해 외부 특정 URL로 전송될 수 있다.

※ 획득한 정보의 SD카드 저장 경로

- /sdcard/shangzhou/callrecord/

※ 정보가 전송되는 외부 특정 URL

- jin.(생략).com(Port : 2018)
- 외부 특정 URL에 대한 접속은 SocketService, AlarmManager를 통해 주기적으로 시도 된다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 내부에 "로케일 국가명 처리(중국, 간자체), 중국의 통신망 사업자 파악" 등과 같은 확인 코드가 포함되어있어 중국 사용자를 대상으로 제작되었음이 추정 가능하다. 다만, 이러한 악성 애플리케이션들은 각종 블랙마켓, 3rd Party 마켓 등을 통해 얼마든지 다운로드 및 추가 재패키징이 가능하므로 국내 사용자들도 이러한 애플리케이션에 대한 선별적 구분 자세가 반드시 필요한 상황이다.

다만, 일반 사용자의 경우 많은 관심과 노력이 따르지 않는다면 위와 같은 악성 애플리케이션에 대한 악성 여부 판단을 내리기 쉽지 않기 때문에 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 최소한의 노력은 반드시 필요하다. 

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.NickiSpy.A
- Trojan-Spy/Android.NickiSpy.B
- Trojan-Spy/Android.NickiSpy.C

 




저작자 표시
신고
Posted by nProtect