분석 정보/모바일 분석 정보

[주의]Kaspersky 안드로이드 백신으로 위장한 안드로이드 악성파일 등장

TACHYON & ISARC 2011. 7. 15. 12:56
1. 개 요


얼마전 해외 유명 보안 솔루션 제공 업체인 Trusteer에서 제공중인 모듈로 위장한 악성 어플리케이션이 출현한 바 있다. 최근에 발견되고 있는 모바일 악성 어플리케이션은 유명 업체 등에서 제공하는 어플리케이션으로 위장하는 사례가 급증하고 있으며, 이러한 가운데 유명 Anti-Virus 업체인 Kaspersky에서 제공중인 어플리케이션으로 위장한 악성 어플리케이션이 등장해 이슈가 되고 있다. 이번에 발견된 악성 어플리케이션 역시 기능적인 면에서는 기타 다른 악성 어플리케이션과 마찬가지로 특정 정보에 대한 수집 등의 행위를 수행할 수 있게 구성되어 있다.

[주의]해외 금융 보안 제품으로 위장한 안드로이드용 악성 파일 발견

http://erteam.nprotect.com/164
  

2. 유포 경로 및 감염 증상

이러한 위장형 악성 어플리케이션의 경우 각종 블랙마켓, 3rd party 마켓 등을 중심으로 유포가 이루어질 수 있다. 또한, 해당 악성 어플리케이션의 경우 정상 어플리케이션으로 위장한 형태이기 때문에 일반 사용자가 악성 유/무를 직접 판별하기에는 어려움이 크다는 것이 특징이다.

아래의 분석 설명을 통해 해당 악성 어플리케이션의 감염 후 상세 동작을 살펴보도록 하겠다.

■ 설치 시 증상, 실행 시 감염 증상

해당 악성 어플리케이션에 대한 설치를 진행하면 아래의 그림과 같은 권한 요구 화면을 보여주게 된다.

 

 
※ 전체 권한 설명

android:name="android.permission.BROADCAST_STICKY"

android:name="android.permission.SYSTEM_ALERT_WINDOW"   

android:name="android.permission.INTERNAL_SYSTEM_WINDOW"

android:name="android.permission.ADD_SYSTEM_SERVICE"    

android:name="android.permission.VIBRATE"               

android:name="android.permission.REORDER_TASKS"         

android:name="android.permission.CHANGE_CONFIGURATION"  

android:name="android.permission.WAKE_LOCK"    
         
android:name="android.permission.STATUS_BAR"     
       
android:name="android.permission.ACCESS_WIFI_STATE"     

android:name="android.permission.READ_PHONE_STATE"      

android:name="android.permission.MODIFY_PHONE_STATE"    

android:name="android.permission.DEVICE_POWER"          

android:name="android.permission.DISABLE_KEYGUARD"      

android:name="android.permission.INTERNET"              

android:name="android.permission.WRITE_APN_SETTINGS"    

android:name="android.permission.BROADCAST_WAP_PUSH"    

android:name="android.permission.CHANGE_WIFI_STATE"     

android:name="android.permission.ACCESS_NETWORK_STATE"  

android:name="android.permission.CHANGE_NETWORK_STATE"  

android:name="android.permission.RECEIVE_BOOT_COMPLETED"

android:name="android.permission.READ_SMS"              

android:name="android.permission.RECEIVE_SMS"           

android:name="android.permission.BROADCAST_SMS"         

android:name="android.permission.WRITE_SETTINGS"  
      
android:name="android.permission.ACCESS_WIFI_STATE"     

android:name="android.permission.UPDATE_DEVICE_STATS"   

android:name="android.permission.CHANGE_WIFI_STATE"     

android:name="android.permission.WAKE_LOCK"             

android:name="android.permission.READ_PHONE_STATE"      

android:name="android.permission.WRITE_SECURE"          

android:name="android.permission.WRITE_SECURE_SETTINGS" 

android:name="android.permission.WRITE_EXTERNAL_STORAGE"

android:name="android.permission.PROCESS_OUTGOING_CALLS"

※ 현재 위에서 나열된 권한들은 해당 악성 어플리케이션에서 모두 사용되지 못하고 있다. 이유는 아래의 상세 분석 파트를 통해 살펴볼 수 있다.


또한, 해당 악성 어플리케이션은 위장형 악성 어플리케이션의 특성상 설치 후 정상 Kaspersky 어플리케이션과 유사한 아이콘을 사용하고 있음을 아래의 그림을 통해 확인 할 수 있다.


해당 악성 어플리케이션은 정상 어플리케이션의 아이콘과 매우 유사한 외형의 아이콘을 사용하고 있으며, 아이콘 및 어플리케이션 명 등으로도 육안상 정상/악성 여부 확인이 가능하다.

악성 어플리케이션에 대한 설치 후 위 그림과 같은 아이콘을 선택하여 실행하게 되면 아래의 그림과 같이 활성화 코드가 출력되며, "OK" 버튼을 선택하면 추가적인 증상 없이 해당 어플리케이션은 바로 종료된다.

 

  

■ 상세 분석

악성 어플리케이션이 실행되면 우선 아래의 코드에 따라 해당 스마트폰의 IMEI 정보를 획득하여 일부 정보를 활성화 코드로 위장해 화면에 뿌려주게 된다.


또한, 아래의 일부 코드를 통해 IMEI 뿐만 아니라 IMSI, 전화번호 목록 등의 정보도 수집하게 되며, 미리 설정된 C&C 서버로 해당 정보들을 전송하게 된다.

그림을 클릭하시면 확대된 화면을 보실 수 있습니다.


다만, 위 그림에서 확인할 수 있듯이 C&C 서버로 추정되는 곳의 URL이 로컬영역으로 설정되어 있어 해당 악성 어플리케이션이 수집한 정보들은 외부로 반출될 수 없다. 하지만 추후에 해당 악성 어플리케이션과 연동되어 동작할 수 있는 어플리케이션이 출현하거나 해당 악성 어플리케이션이 완벽한 동작이 가능하도록 재패키징 되어 유포될 경우 해당 악성 어플리케이션에서 수집한 정보들이 외부로 쉽게 전송될 수 있으므로 지속적인 관제가 필요하다.

이외에도 해당 어플리케이션은 아래의 코드와 같이 감염된 스마트폰의 통화 상태 등의 Action을 확인하여 SMS 정보를 수집 하는 기능도 수행할 수 있다.

  

3. 예방 조치 방법

현재 해당 악성 어플리케이션은 내부에 존재하는 악성 코드가 정상적으로 동작할 수 없는 형태이다. 악성 동작을 할 수 있는 메소드가 일부만 호출되어 모두 사용되지 못하고 있기 때문이다. 

다만, 상세 분석 글에서 설명하였듯이 추후 해당 악성 어플리케이션과 함께 연동하여 동작될 수 있는 다른 악성 어플리케이션이 추가적으로 제작되거나 해당 악성 어플리케이션이 완벽히 동작이 가능하도록 재패키징 될 수 있으므로 지속적인 관제가 필요한 상황이다.

위와 같은 악성 어플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

■ 진단 현황

- Trojan-Spy/Android.FakeKav.A