분석 정보/모바일 분석 정보

선정적 제목의 Android용 모바일 악성 어플리케이션 유포 주의!

TACHYON & ISARC 2011. 6. 1. 17:16
1. 개 요


최근 Android용 모바일 악성 어플리케이션의 유포가 어느때보다 활발히 이루어지고 있다. 이러한 가운데 선정적인 제목 등을 이용해 사용자들에게 다운로드를 유도하는 악성 어플리케이션이 등장하여 각별한 주의를 요망하고 있다. 이번에 발견된 악성 어플리케이션은 공통적으로 휴대폰 단말기 정보 등을 취득하는 기능이 포함되어 있다.

[Update: Security Alert: DroidDreamLight, New Malware from the Developers of DroidDream]
http://blog.mylookout.com/2011/05/security-alert-droiddreamlight-new-malware-from-the-developers-of-droiddream/

[New DroidDream Variant Found on Android Phones]
http://www.f-secure.com/weblog/archives/00002170.html

국내에서는 아직까지 위와 같은 모바일 악성 어플리케이션으로 인한 특별한 피해 사례가 없으므로 크게 이슈화되지는 않고 있다. 다만, 최근 스마트폰의 사용범위가 각종 금융 거래를 포함해 매우 다양한 분포가 이루어지고 있는 만큼 이번 글을 통해 모바일 보안 위협에 대해 다시한번 생각해보고 혹시 있을지 모를 피해에 대비할 수 있는 시간을 갖도록 하자.


2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 안드로이드 마켓을 통해 유포되고 있었으나 현재는 다운로드 및 설치가 불가능하다. 다만, 안드로이드용 어플리케이션 배포의 특성상 블랙마켓, 3rd party 마켓 등을 통해서도 유포가 가능하니 이점 또한 참고할 수 있도록 하자.
  

해당 악성 어플리케이션은 아래와 같이 선정적인 제목 등으로 유포되기 때문에 일반 사용자들의 경우 쉽게 현혹되어 다운로드 및 설치를 진행할 수 있다.

 


※ 추가적으로 유포된 동일한 악성 어플리케이션

  - Sexy Girls: Hot Japanese
  - Sex Sound
  - HOT Girls 1
  - HOT Girls 2
  - HOT Girls 4
  

위와 같은 악성 어플리케이션들은 모두 아래와 같은 권한 설정 코드를 가지고 있다. 

 
해당 악성 어플리케이션에 대한 설치를 진행하면 위 그림의 권한 관련 코드로 인해 아래의 그림과 같은 권한 요구 화면을 볼 수 있다.

 
위 설명의 모든 과정을 거치게 되면 설치는 완료가 되고, 해당 악성 어플리케이션들은 실행시 각각 아래의 그림과 같은 선정적인 이미지를 사용자에 제공한다.

 


해당 악성 어플리케이션들은 최종적으로 아래의 코드를 기반으로 스마트폰의 "IMEI/IMSI 값", "단말기에 설치되어 있는 OS 버전", "설치되어 있는 모든 어플리케이션 정보" 등과 같은 스마트폰 단말기 정보를 취득할 수 있게 된다.

클릭하실 경우 확대 이미지 확인이 가능합니다.

 
다만, 현재까지 분석된 바로는 아래와 같은 구문을 통해 "통화 상태" 등의 휴대폰 이벤트 상태가 변경될 경우에 정상적(?)으로 단말기 정보 탈취 등의 악성 동작을 하는 것으로 파악되고 있다.

클릭하실 경우 확대 이미지 확인이 가능합니다.


3. 예방 조치 방법

위와 같은 안드로이드용 모바일 악성 어플리케이션은 선정적 제목 등을 사용하기 때문에 일반 사용자의 경우 쉽게 다운로드 및 설치 등을 하게되는 취약점(?)아닌 취약점을 가질 수 있게 된다. 최근과 같이 스마트폰을 통해 각종 결제 등의 금융 거래 사용이 활발해질 경우 편의적인 측면과 보안 위협은 서로 비례 관계를 가질 수 밖에 없다. 따라서 이러한 보안 위협으로 부터 안전하기 위해서는 사용자 스스로 아래와 같은 "모바일 보안 관리 수칙"을 준수하는 등의 관심과 노력이 무엇보다 중요하다 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.