1. 개 요

 

 잉카인터넷 대응팀은 최근 해외 웹 사이트에서 다량의 안드로이드 악성 애플리케이션이 제작되고 서버에 업로드 되어 있는 정황을 포착하였다. 해당 사이트에 업로드 되어 있는 안드로이드 애플리케이션들은 모두 동일한 재패키징 형태의 악성 애플리케이션이며, 이미 잉카인터넷에서는 모든 악성 애플리케이션에 대한 진단/치료 기능을 제공하고 있다. 업로드 되어 있는 악성 애플리케이션들은 대부분 채팅형 애플리케이션이거나 잘 알려진 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 감염될 수 있는 위험이 있다.

물론, 해당 애플리케이션은 러시아에서 제작되고 그 대상도 러시아 사용자들을 주 타겟으로 하고 있어 국내에서의 감염 피해는 크지 않을 것으로 판단된다.

다만, 최근 국내에서도 안드로이드 악성 애플리케이션이 정식 마켓을 통해 유포가 이루어지는 등 향후 보안 위협성이 상당히 큰만큼 사용자들은 안드로이드 애플리케이션의 다운로드 및 설치에 각별한 주의를 기울여야할 것으로 보인다.

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

2. 유포 경로 및 악성 애플리케이션 정보

아래의 그림은 현재 특정 해외 사이트에 대량으로 안드로이드 악성 애플리케이션이 업로드된 상태를 보여주고 있다.

 

해당 사이트의 하위경로에 모두 위와 같은 악성 애플리케이션들이 업로드되어 있으며, 손쉽게 코드상으로 해당 애플리케이션에 대한 추가적인 다운로드 및 설치를 유도할 수 있다. 업로드된 해당 악성 애플리케이션들은 모두 아래와 같은 패키지 코드가 동일하게 추가되어 있다.

추가적으로 등록된 위와 같은 패키지는 해당 악성 애플리케이션들이 실행됨과 동시에 특정 번호로 사용자 몰래 SMS 무단 발송을 시도하게 된다. 아래의 코드는 내부에 포함된 XML파일에서 SMS를 수신할 번호와 내용을 추출하여 무단 발송 시도하는 코드를 보여주고 있다.

또한, 업로드되어 있는 악성 애플리케이션들은 모두 재패키징된 형태의 악성 애플리케이션으로 실행화면이 아래의 그림과 같이 대부분 유사한 것이 특징이다.(유명 스마트폰 게임 등의 아이콘으로 위장한 경우도 있다.)

 


3. 마무리

이러한 재패키징 형태의 악성 애플리케이션들은 누구나 손쉽게 만들 수 있고 다량 제작도 가능하다. 또한, 정상적인 애플리케이션을 수정하여 재배포도 가능하기 때문에 상당히 보안상 취약할 수 있다. 문제는 현재 해외를 중심으로 이러한 재패키징 형태의 악성 애플리케이션이 무분별하게 제작되어 유포되거나 유포를 앞두고 있다는 것이다.

안드로이드 애플리케이션의 경우 다운로드시 일반 사용자들은 공식적인 구글 마켓을 이용할 수도 있고, 비공식적인 서드파티 마켓을 이용할 수도 있기 때문에 이러한 형태의 악성 애플리케이션이 국내에 유입되거나 제작이 이루어질 경우 감염 범위는 걷잡을 수 없이 늘어날 수 있을 것이다.

현재로서는 이러한 악성 애플리케이션들의 다운로드 차단 등의 수단은 한계가 있을 수 있다. 때문에 다양한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
 



 

저작자 표시
신고
Posted by nProtect
1. 개 요

 

기존에도 중국을 중심으로 특정 프리미엄 SMS 서비스를 이용한 과금 유발 형태의 악성 애플리케이션이 다수 발견된 사례가 있었다. 이러한 프리미엄 SMS 서비스는 국내에선 실시되고 있지 않은 서비스이며, 다양한 이동통신사 및 망사업자 등의 조건이 충족되는 국가에서 실시되고 있는 서비스이다. 그런데 최근 다양한 국가의 사용자들을 대상으로하는 프리미엄 SMS 과금 유발 형태의 악성 애플리케이션이 발견되었으며, 향후 이와 유사한 변종 형태의 SMS 관련 악성 애플리케이션이 출현할 것으로 전망되고 있어 외산 애플리케이션 다운로드에 사용자들의 각별한 주의가 요망되고 있다.

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 해외 블랙마켓, 3rd Party 마켓 등을 통해 유포가 이루어지고 있으며, 특정 애플리케이션의 설치본 형태로 제작되었다. 실제로 해당 악성 애플리케이션을 설치하면 특정 애플리케이션에 대한 다운로드 여부를 묻는 화면이 출력된다.

■ 간략 정보

아래의 그림은 해당 악성 애플리케이션 설치 시 출력될 수 있는 권한 요구 화면이다.


설치본 형태로 제작된 애플리케이션이기 때문에 별다른 권한은 요구하지 않고 있으며, SMS 발송을 위해 아래와 같은 권한만을 요구하고 있다.

※ 전체 권한

 - <uses-permission  android:name="android.permission.SEND_SMS"  > </uses-permission>


해당 악성 애플리케이션에 대한 설치가 완료된 후 실행하게 되면 아래의 그림과 같은 실행화면을 볼 수 있다.


위 그림을 살펴보면 알 수 있듯이 "geared" 라는 특정 애플리케이션에 대한 다운로드 여부를 묻고있으며, "Next" 버튼 클릭 시 아래의 그림과 같은 게임 애플리케이션에 대한 다운로드 및 설치를 진행할 수 있다.
  

◆ 추가적으로 다운로드 및 설치되는 게임 애플리케이션(geared)

  ▶ 권한 요구


  ▶ 실행 화면

  

또한, 해당 악성 애플리케이션의 실행화면에서 "Rules" 버튼을 클릭하게 되면 아래의 그림과 같이 사용자들의 입장에서 쉽게 지나칠 수 있는 약관 형태의 "Rules" 화면을 출력하게 된다.


위 약관을 자세히 살펴보면 1번 항목 등에서 특정 컨텐츠 접근 및 SMS 과금 형태에 대한 설명이 기재되어있다. 그러나 일반 사용자들은 보기 불편한 위와같은 약관을 자세히 보지 않고 쉽게 지나쳐 버리게 되며, 제작자는 이러한 측면을 악용하고 있다.

한가지 특이한 점은 해당 악성 애플리케이션이 추가적으로 다운로드되는 게임 애플리케이션의 설치본 형태를 띄고 있으면서도 두가지 애플리케이션이 서로 패키지명이 다르다는 것이다.

※ 패키지명 비교

 - 악성 애플리케이션 : com.depositmobi
 - 게임 애플리케이션 : com.scoreloop.games.geared


■ 상세 정보

위에서 설명한 프리미엄 SMS 과금 유발 형태의 악성 기능은 아래의 일부 코드를 통해 구현되어 있다.

화면을 클릭하시면 확대된 화면을 보실 수 있습니다.


위와 같은 SMS 발송 등의 악성 기능은 애플리케이션이 실행된 후 버튼에 대한 클릭이 진행되면 바로 동작하게 되며, 사용자는 SMS 발송에 대한 확인이 불가능하다. 위와 같은 Direct SMS Deliver 코드 형태로 발송된 SMS의 경우 발신함에 그 기록이 남지 않기 떄문이다.

또한, 해당 악성 애플리케이션은 위 일부 코드와 같이 감염된 스마트폰의 망사업자 등에 대한 확인 코드가 실행되며, 이를 바탕으로 화면에 뿌려주는 언어를 설정하게된다. 화면에 뿌려주는 언어는 "Raw" 폴더내의 "countries.cfg" 파일에 정의되어 있으며, 추가적인 게임 애플리케이션(geared)에 대한 다운로드 시 URL 파싱을 위해 사용되는 "sms.cfg" 파일 또한 동일한 폴더내에 존재하고 있다.

※ 게임 애플리케이션(geared) 다운로드 URL

 - http://moyandroid.net/(생략)/download.php?id=(생략)

아래의 일부 코드는 위에서 설명한 다양한 국가 고유 코드에 대해 선언된 변수 값이다.


3. 예방 조치 방법

위와 같은 SMS 관련 악성 애플리케이션은 현재 유포되고 있는 안드로이드 악성 애플리케이션에서 주류를 이루고 있다. 다만, 최근 발견된 악성 애플리케이션의 경우 다양한 사회공학 기법 활용과 더불어 감염 대상을 특정 국가의 사용자에 국한하지 않고 여러 국가의 사용자들을 감염 대상으로 하고 있다는 점이 주목할만하다. 일반 사용자들의 경우 나날이 고도화되고 있는 안드로이이드 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 최선의 방법이될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
Posted by nProtect
1. 개 요


Flash Player 관련 어플리케이션으로 위장한 안드로이드용 스마트폰 악성 어플리케이션이 해외에서 발견되어 사용자들의 주의가 요망되고 있다. 해당 악성 어플리케이션은 Flash Player 와 유사한 아이콘으로 위장되어 있으며, 실행 시 별도의 실행화면은 나타나지 않고 백그라운드 상태에서 다양한 악의적 동작을 수행 시도하게 된다. 감염 시 스마트폰 단말기 정보, SMS 등의 정보가 유출될 수 있으므로 사용자 스스로 어플리케이션 다운로드 및 설치에 세심한 주의가 필요하다.

  

2. 유포경로 및 감염 증상

해당 악성 어플리케이션은 블랙마켓, 3rd party 마켓 등을 중심으로 유포될 수 있으며, 때에 따라서는 악성 URL 접근, 이메일의 첨부파일 형태 등으로도 다운로드 및 설치가 가능하다.

■ 악성 어플리케이션에 대한 설치 시 확인 가능한 특징

해당 악성 어플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 보여주게 된다.


아래의 그림은 권한 요구 선언 부분이며, 자세한 사항은 "권한 설명" 부분을 참고할 수 있도록 하자.


※ 권한 설명

  ㄱ. android:name="android.permission.INTERNET"
     - 인터넷 사용 등을 위한 권한
  ㄴ. android:name="android.permission.SEND_SMS"
     - SMS 발신을 위한 권한
  ㄷ. android:name="android.permission.RECEIVE_SMS"
     - SMS 수신을 위한 권한
  ㄹ. android:name="android.permission.WRITE_SMS"
     - SMS 작성 등을 위한권한
  ㅁ. android:name="android.permission.READ_SMS"
     - SMS 읽기 등을 위한 권한
  ㅂ. android:name="android.permission.READ_PHONE_STATE"
     - 단말기 정보 등을 얻기 위한 권한
  ㅅ. android:name="android.permission.WRITE_EXTERNAL_STORAGE"
     - SDcard 등에 정보 저장을 위한 권한
  ㅇ. android:name="android.permission.MODIFY_AUDIO_SETTINGS"
     - 오디오 편집 등 설정을 위한 권한

또한, 동일하나 감염 증상을 가지고 있으나, 아래의 그림과 같이 Flash Player로 위장하지 않은 악성 어플리케이션도 존재하니 참고 할 수 있도록 하자.


또한, 해당 악성 어플리케이션들은 설치 후 아래의 그림과 같이 Flash Player로 위장된 아이콘을 비롯한 별도의 아이콘을 가지게 되며, 실행화면은 따로 존재하지 않는다.
  

  

※ 유포중인 해당 악성 어플리케이션 리스트
 
  - FlashCom
  - FlashP29
  - Flashpom
  - MMS29


■ 상세 증상 분석


해당 악성 어플리케이션은 스마트폰에 설치가 완료된 후 서비스로 동작하게 되면 일정 시간이 지난 후 다양한 악성 동작을 진행하게 된다.

아래의 코드는 IMEI 등과 같은 스마트폰 단말기의 정보 탈취 및 활용을 가능케 하기 위한 코드의 일부분 이다.

 


위와 같이 수집되는 IMEI 정보 등은 불법 복제 휴대폰 제작 등에 악용될 수 있으며, 대부분의 악성 어플리케이션들이 가지고 있는 악의적인 기능이다. 해당 악성 어플리케이션은 이외에도 아래의 코드를 통해서 사용자의 스마트폰에 설치되어있는 어플리케이션 리스트 등의 정보를 획득할 수 있다.


위의 코드는 어플리케이션 리스트 획득을 위한 코드의 일부분이며, 정밀분석 결과 설치되어 있는 어플리케이션 리스트 정보를 모두 수집 후 SDcard에 저장 및 일정 시간 후 해당 정보를 외부 사이트로 유출하는 증상이 확인되었다.

또한, 해당 악성 어플리케이션은 SMS 및 발신자 번호 등을 수집할 수 있는 아래의 일부 코드를 통해 수집된 해당 정보를 외부 사이트로 유출 시도 하는 것으로 확인되었다. 

클릭하시면 확대된 화면을 보실 수 있습니다.


아래의 그림들은 위에서 설명한 다양한 정보 탈취 기능이 동작된 후 수집된 해당 정보들을 외부로 유출 할때 탐지된 패킷 캡쳐 화면이다.
  


◆ 설치된 어플리케이션 리스트 외부 유출 패킷 캡쳐 화면

클릭하시면 확대된 화면을 보실 수 있습니다.


  - 감염된 스마트폰에 설치된 모든 어플리케이션 리스트 정보가 외부로 유출될 수 있다.

◆ 수집된 IMEI, 안드로이드 플랫폼 버전 등의 단말기 정보 유출 패킷 캡쳐 화면

클릭하시면 확대된 화면을 보실 수 있습니다.


  - 위 그림에서 빨간색 박스 부분에는 유출되는 단말기 정보 등이 모두 담겨있으며, 내부의 파란색 박스 부분은 IMEI 값에 대한 정보가 담겨있다.

  


또한, 해당 악성 어플리케이션은 자신의 제품명 및 버전 정보 등을 체크한 후 상위 버전 업데이트를 시도하는 것으로 확인되고 있으며, 현재 해당 부분은 추가적인 분석 작업이 진행중에 있다.

3. 예방 조치 방법

최근 악성 어플리케이션은 다양한 패키징화 기법을 비롯해 정상 어플리케이션으로 위장하는 등 다양한 방법으로 제작 및 유포가 이루어지고 있으며, 예년에 비해 악성 어플리케이션의 발생 분포도 상당히 증가하고 있는 실정이다. 대부분의 악성 어플리케이션이 그러하듯 일반 사용자의 입장에서는 자신의 스마트폰에 대한 특별한 감염 증상 및 확인을 위한 절차가 매우 까다로워 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 안전한 스마트폰 사용을 위한 최선의 방법이 될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

■ nProtect Mobile for Android 제품군에 치료 기능이 추가된 악성 어플리케이션 진단명

- Trojan-Spy/Android.CrWind.A
- Trojan-Spy/Android.CrWind.B
- Trojan-Spy/Android.CrWind.C
- Trojan-Spy/Android.CrWind.D

저작자 표시
신고
Posted by nProtect