1. 개 요
최근 중국, 러시아 등지에서 안드로이드용 악성 어플리케이션이 급속하게 증가하고 있어 스마트폰의 보안 위협이 계속해서 가시화되고 있다. "잉카인터넷 대응팀에서는 거의 매일 새로운 외산 악성 안드로이드 악성 파일을 수집, 대응하고 있을 정도로 양적으로도 크게 증가하고 있는 추세이다." 아직까지 공식적인 국내 피해 사례는 집계되고 있지 않으나, 일부 해외 마켓 등에서 감염된 파일을 다운로드하는 등의 비공식 사례는 조금씩 알려지고 있는 상태이다. 이에 따라 잉카인터넷 대응팀은 앞으로 국내에서도 안드로이드용 악성 파일이 전파될 가능성에 대비하여 예의 주시를 하고 있는 상태이다.
2. 유포 경로 및 감염 증상
■ 중국 정상적인 게임처럼 위장한 악성 파일
PPXIU (http://www.ppxiu.com)는 중국 최초의 대화형 게임 커뮤니티로 알려져 있는데, 아래 화면은 정상적인 안드로이드 게임 화면 중 일부이다.
잉카인터넷 대응팀에서는 악성 파일 보안관제 중 PPXIU 안드로이드 게임 파일처럼 위장된 악성 파일을 발견하였다.
해당 악성 어플리케이션은 설치 시 아래와 같은 권한 요구 화면을 보여주게 된다.
잉카인터넷 대응팀에서는 갤럭시S(프로요)와 베가 등의 단말기에서 악성 파일과 정상 파일의 비교 설치 테스트를 수행해 본 결과 다음과 같이 악성 파일은 일부 문자가 깨져서 보이는 것을 확인했다.
악성 파일은 프리미엄 사용 비용을 발생시키는 특정 전화번호로 문자 메시지(SMS)를 발송시도하기 때문에, 사용자에게 과금 유발 피해를 입힐 수 있다. 하지만 이 부분은 중국 내부의 전화번호로 추정되기 때문에 국내 사용자에게는 큰 영향은 없을 것으로 보여지고, 자세한 분석을 진행 중에 있다.
※ Premium Rate Numbers
- 8613800755500
- 1065800885566
또한, 악성 파일은 중국의 특정 웹 사이트로 안드로이드 단말기의 IMEI, IMSI 등의 장치 정보를 유출 시도한다.
http://axy.waplove.cn:8080/Wukong/android/android.dbug.php
nProtect Mobile for ANDROID 제품에서는 Trojan-Spy/Android.FakePPx.A 라는 진단명으로 탐지된다. 또한, 버전이 다른 앱을 조작하여 만든 악성 변종 샘플도 추가로 발견하였고, 잉카인터넷 안드로이드 보안 제품에서는 동일한 진단명으로 진단하고 있다.
3. 예방 조치 방법
해당 악성 어플리케이션의 경우 중국 사용자들을 대상으로 제작된 게임 어플리케이션이며, 국내에서는 아직 해당 어플리케이션 등으로 인한 피해 상황은 보고되지 않고 있다. 다만 스마트폰 어플리케이션의 특성상 국내에서도 이러한 해외 어플리케이션 설치가 자유로우며, 동일한 형태의 악성 어플리케이션 등장이 충분히 가능해 추가적인 피해 발생이 전무할 것이라고 단언할 수 없다. 또한, 이러한 재패키징 및 2중 패키징 기법을 사용한 악성 어플리케이션의 경우 사용자 몰래 스마트폰에 설치 등을 시도 할 수 있으므로 일반 사용자들은 아래의 "스마트폰 보안 관리 수칙"을 준수하는 등 스스로 관심과 주의를 기울이는 것이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| [자료]Hello Kitty 바탕화면 어플로 위장된 안드로이드 악성 파일 (0) | 2011.06.16 |
|---|---|
| [주의]Angry Birds Rio Unlocker 파일로 위장한 안드로이드 악성파일 발견 (0) | 2011.06.13 |
| [주의] 중국 안드로이드 QQ 게임으로 위장한 악성 어플 발견 (0) | 2011.06.07 |
| [주의]해외 금융 보안 제품으로 위장한 안드로이드용 악성 파일 발견 (0) | 2011.06.02 |
| [주의]2중 패키징된 안드로이드용 악성 어플리케이션 등장 (1) | 2011.06.01 |