1. 개 요
이러한 가운데 최근 웹을 통한 중국의 Video 스트리밍 서비스 어플리케이션으로 재패키징된 악성 어플리케이션이 발견되어 이슈가 되고 있다.
2. 유포 경로 및 감염 증상
해당 악성 어플리케이션은 지속적으로 유사 변종이 발견되고 있으며, 재패키징 악성 어플리케이션의 특성상 주로 각종 블랙마켓, 3rd party 마켓 등을 통해 유포가 이루어지고 있다.
우선, 해당 악성 어플리케이션은 안드로이드 SDK 1.6 이상 버전에서 안정적으로 구동될 수 있으며 설치 시도 시 아래의 그림과 같이 특정 권한 요구 화면을 보여주게 된다.
또한, 설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.
■ 상세 분석
해당 악성 어플리케이션에 대한 설치 과정이 모두 완료된 후 실행되면 아래의 그림과 같은 일부 코드에 의해 추가적인 악성 어플리케이션이 다운로드 및 설치될 수 있다.
또한, 아래의 일부 코드를 통해 중국의 이동통신(China Mobile)측에 총 6개의 문자 메시지를 사용자 몰래 보낼 수 있다.
수신처로 지정되어 있는 특정 번호는 중국 이동통신(China Mobile)의 서비스 번호로서 문자 메시지 발송을 통해 "잔액, 모바일 데이터 확인 등의 각종 조회"가 가능하며, "무료 문자 메시지" 서비스 등을 신청할 수 있다. 이때 무료 문자 메시지 등 다수의 서비스 신청 시 일정 금액의 사용 요금이 매달 결제될 수 있으며, 신청된 무료 문자 메시지 등의 서비스는 자신 뿐만 아니라 다른 사용자도 이용이 가능하다.
위 그림을 통해 "8번" 항목의 메뉴를 문자 메시지 발송을 통해 요청한 것으로 추정되고 있으며, 각 메뉴 선택 시 해당 메뉴의 요청 결과를 문자 메시지로 다시 전달 받아볼 수 있다. 해당 악성 어플리케이션은 이러한 서비스 요청을 사용자 몰래 진행하기 위해 아래의 코드를 통하여 일부 회신되는 문자 메시지를 사용자 몰래 삭제할 수 있다.
위 그림의 적색 박스 부분과 같이 "10"으로 시작되는 발신번호를 가지는 문자 메시지를 BroadcastReceiver를 상속 받아 abortBroadcast()를 통해 모두 사용자 몰래 삭제처리 한다. 이렇게 되면 일반 사용자의 경우 자신의 스마트폰을 통해 특정 서비스 신청 등이 이루어지고 있는 상황을 인지할 수 없게 된다.
이 외에도 아래의 그림과 같이 스마트폰의 Sim카드 시리얼 번호를 수집하여 특정 외부 사이트에 유출 시도를 할 수 있으며,
유출된 정보는 복사 휴대폰 제작 등에 악용될 수 있다. 또한, 특정 코드 등을 통해 네트워크 동작 상태를 실시간으로 체크 후 동작하는 기능을 수행하기도 한다.
3. 예방 조치 방법
현재 안드로이드용 악성 어플리케이션의 경우 정상 어플리케이션으로 위장되어 유포되는 경우가 대부분이며, 이 가운데 재패키징을 통한 유포 기법이 주요 트랜드로 자리매김하고 있는 상황이다. 이러한 악성 어플리케이션은 특성상 일반 사용자들이 악성 여부를 판별하기에는 무리가 따른다. 때문에 안전한 스마트폰 사용을 위해 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ nProtect Mobile for Android의 진단 현황
- Trojan-SMS/Android.KuVideoSMS.A
- Trojan-SMS/Android.KuVideoSMS.B
이러한 가운데 최근 웹을 통한 중국의 Video 스트리밍 서비스 어플리케이션으로 재패키징된 악성 어플리케이션이 발견되어 이슈가 되고 있다.
2. 유포 경로 및 감염 증상
해당 악성 어플리케이션은 지속적으로 유사 변종이 발견되고 있으며, 재패키징 악성 어플리케이션의 특성상 주로 각종 블랙마켓, 3rd party 마켓 등을 통해 유포가 이루어지고 있다.
우선, 해당 악성 어플리케이션은 안드로이드 SDK 1.6 이상 버전에서 안정적으로 구동될 수 있으며 설치 시도 시 아래의 그림과 같이 특정 권한 요구 화면을 보여주게 된다.
※ 전체 권한
"android.permission.INTERNET"
"android.permission.ACCESS_NETWORK_STATE"
"android.permission.MOUNT_UNMOUNT_FILESYSTEMS"
"android.permission.SEND_SMS"
"android.permission.WRITE_EXTERNAL_STORAGE"
"android.permission.RECEIVE_BOOT_COMPLETED"
"android.permission.RECEIVE_SMS"
"android.permission.WRITE_SMS"
"android.permission.READ_SMS"
"com.android.launcher.permission.INSTALL_SHORTCUT"
"android.permission.INTERNET"
"android.permission.ACCESS_NETWORK_STATE"
"android.permission.MOUNT_UNMOUNT_FILESYSTEMS"
"android.permission.SEND_SMS"
"android.permission.WRITE_EXTERNAL_STORAGE"
"android.permission.RECEIVE_BOOT_COMPLETED"
"android.permission.RECEIVE_SMS"
"android.permission.WRITE_SMS"
"android.permission.READ_SMS"
"com.android.launcher.permission.INSTALL_SHORTCUT"
또한, 설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.
■ 상세 분석
해당 악성 어플리케이션에 대한 설치 과정이 모두 완료된 후 실행되면 아래의 그림과 같은 일부 코드에 의해 추가적인 악성 어플리케이션이 다운로드 및 설치될 수 있다.
※ 추가 다운로드 악성 어플리케이션 간략 설명
아래의 그림은 위의 설명과 같이 추가적으로 다운로드 되어 실행될 수 있는 악성 어플리케이션에 대한 실행 화면 및 아이콘이다. 정상 어플리케이션과 상당히 유사하며, 스트리밍 서비스 또한 정상적으로 이루어지고 있다.
◆ 설치 후 실행 화면
◆ 설치 후 생성 아이콘
추가적으로 다운로드될 수 있는 악성 어플리케이션은 조건에 따라 광고 목적을 띄고 해당 악성 어플리케이션의 다운로드가 가능한 링크를 삽입하여 이메일이나 SMS 등을 통해 지인들이게 무작위 발송될 수 있다.
아래의 그림은 위의 설명과 같이 추가적으로 다운로드 되어 실행될 수 있는 악성 어플리케이션에 대한 실행 화면 및 아이콘이다. 정상 어플리케이션과 상당히 유사하며, 스트리밍 서비스 또한 정상적으로 이루어지고 있다.
◆ 설치 후 실행 화면
◆ 설치 후 생성 아이콘
추가적으로 다운로드될 수 있는 악성 어플리케이션은 조건에 따라 광고 목적을 띄고 해당 악성 어플리케이션의 다운로드가 가능한 링크를 삽입하여 이메일이나 SMS 등을 통해 지인들이게 무작위 발송될 수 있다.
또한, 아래의 일부 코드를 통해 중국의 이동통신(China Mobile)측에 총 6개의 문자 메시지를 사용자 몰래 보낼 수 있다.
수신처로 지정되어 있는 특정 번호는 중국 이동통신(China Mobile)의 서비스 번호로서 문자 메시지 발송을 통해 "잔액, 모바일 데이터 확인 등의 각종 조회"가 가능하며, "무료 문자 메시지" 서비스 등을 신청할 수 있다. 이때 무료 문자 메시지 등 다수의 서비스 신청 시 일정 금액의 사용 요금이 매달 결제될 수 있으며, 신청된 무료 문자 메시지 등의 서비스는 자신 뿐만 아니라 다른 사용자도 이용이 가능하다.
위 그림을 통해 "8번" 항목의 메뉴를 문자 메시지 발송을 통해 요청한 것으로 추정되고 있으며, 각 메뉴 선택 시 해당 메뉴의 요청 결과를 문자 메시지로 다시 전달 받아볼 수 있다. 해당 악성 어플리케이션은 이러한 서비스 요청을 사용자 몰래 진행하기 위해 아래의 코드를 통하여 일부 회신되는 문자 메시지를 사용자 몰래 삭제할 수 있다.
위 그림의 적색 박스 부분과 같이 "10"으로 시작되는 발신번호를 가지는 문자 메시지를 BroadcastReceiver를 상속 받아 abortBroadcast()를 통해 모두 사용자 몰래 삭제처리 한다. 이렇게 되면 일반 사용자의 경우 자신의 스마트폰을 통해 특정 서비스 신청 등이 이루어지고 있는 상황을 인지할 수 없게 된다.
이 외에도 아래의 그림과 같이 스마트폰의 Sim카드 시리얼 번호를 수집하여 특정 외부 사이트에 유출 시도를 할 수 있으며,
유출된 정보는 복사 휴대폰 제작 등에 악용될 수 있다. 또한, 특정 코드 등을 통해 네트워크 동작 상태를 실시간으로 체크 후 동작하는 기능을 수행하기도 한다.
3. 예방 조치 방법
현재 안드로이드용 악성 어플리케이션의 경우 정상 어플리케이션으로 위장되어 유포되는 경우가 대부분이며, 이 가운데 재패키징을 통한 유포 기법이 주요 트랜드로 자리매김하고 있는 상황이다. 이러한 악성 어플리케이션은 특성상 일반 사용자들이 악성 여부를 판별하기에는 무리가 따른다. 때문에 안전한 스마트폰 사용을 위해 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ nProtect Mobile for Android의 진단 현황
- Trojan-SMS/Android.KuVideoSMS.A
- Trojan-SMS/Android.KuVideoSMS.B
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]Flash Player로 위장한 Ransomware (0) | 2011.08.25 |
---|---|
[주의]Ransomware의 해외 유포 증가 (0) | 2011.08.25 |
[주의]한글 문서(HWP)취약점을 이용한 악성파일 발견 (2) | 2011.07.05 |
[주의]주말에 집중 유포하는 악성파일 감염시 부팅 장애 부작용 발생 (0) | 2011.07.05 |
[주의]Melon Player로 위장한 악성파일 유포중 (1) | 2011.06.30 |