분석 정보/모바일 분석 정보

[주의]음성 통화 내역을 녹음하는 악성 애플리케이션 발견

TACHYON & ISARC 2011. 8. 2. 16:46

1. 개 요 


최근 국내 모 기업의 회원 정보 유출 건이 연일 화제가 되고 있다. 개인 정보는 최근 정보 보안의 가장 큰 화두이며, 핵심이다. 해당 정보의 유출은 금전적 이득을 목적으로하며, 그에따라 금전적 피해로도 연결될 수 있다. 이러한 가운데 중국의 사용자들을 타겟으로한 다양한 정보 유출 기능의 애플리케이션이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 물론, 국내 사용자들을 대상으로 제작된 애플리케이션은 아니지만 각종 정보 탈취를 목적으로 하는 다양한 애플리케이션의 홍수속에서 이러한 애플리케이션들에 대한 선별적 구분 자세가 사용자들에게 요구되고 있는 것이 현실이다.

  

2. 유포 경로 및 감염 증상

위와 같은 악성 애플리케이션은 중국의 안드로이드 블랙마켓, 3rd Party 마켓 등을 중심으로 유포가 이루어지고 있으며, 해당 악성 애플리케이션은 설치 시 아래의 그림과 같이 다양한 권한을 요구할 수 있다.

 
※ 전체 권한

- android:name="android.permission.CALL_PHONE"

- android:name="android.permission.PROCESS_OUTGOING_CALLS"

- android:name="android.permission.INTERNET"

- android:name="android.permission.ACCESS_GPS"

- android:name="android.permission.ACCESS_COARSE_LOCATION"

- android:name="android.permission.ACCESS_COARSE_UPDATES"

- android:name="android.permission.ACCESS_FINE_LOCATION"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.READ_CONTACTS"

- android:name="android.permission.WRITE_CONTACTS"

- android:name="android.permission.ACCESS_WIFI_STATE"

- android:name="android.permission.PERMISSION_NAME"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.READ_SMS"

- android:name="android.permission.WRITE_SMS"

- android:name="android.permission.WAKE_LOCK"

- android:name="android.permission.RECORD_AUDIO"

- android:name="android.permission.WRITE_EXTERNAL_STORAGE"

- android:name="android.permission.DEVICE_POWER"

해당 악성 애플리케이션의 경우 설치 완료 후 별도의 실행 아이콘 등은 보이지 않으며, 아래의 그림과 같이 "응용 프로그램 관리" 메뉴에서 설치 여부를 확인할 수 있다.


■ 상세 분석

해당 악성 애플리케이션은 감염될 경우 크게 아래와 같은 감염증상을 유발할 수 있다.

※ 감염 증상

1. IMEI 등 단말기 정보 획득

2. SMS 정보 획득

3. SD 카드에 특정 정보 저장

4. SMS 문자 메시지 발송

5. GPS 기능 동작 및 사용자의 위치정보 수집

6. 수집된 각종 정보의 외부 발송

7. 통화목록 수집

8. 음성 통화 녹음

9. 백그라운드 실행

해당 악성 애플리케이션은 두개의 리시버(BootReceiver, AlarmReceiver)를 등록하게 된다. 이중 BootReceiver는 BroadcastReceiver 상속을 통해 해당 악성 애플리케이션의 백그라운드 동작을 가능하게 한다. 또한 WakeLock을 통해 잠금 상태 등의 경우에도 백그라운드 동작이 가능하게 할 수 있다.

해당 악성 애플리케이션은 일반적인 IMEI 정보 획득 코드를 통해 해당 정보를 수집하여, 아래의 일부 코드를 통해 해당 정보를 SMS 문자 메시지 전송 방법으로 유출할 수 있다.


해당 정보에 대한 SMS 메시지 전송 과정에서 위와 같이 수신 번호를 코드 내에 포함하고 있다.

또한, 해당 악성 애플리케이션은 아래의 일부 코드와 같이 Cell Id 확인 방법을 통해 사용자의 위치정보를 주기적으로 파악할 수 있는 GPS 기능을 수행할 수 있다.


이번 악성 애플리케이션은 위와 같은 일반적인 감염 증상 외에 아래의 일부 코드를 통해 스마트폰의 통화 상태를 확인 후 녹음하는 기능을 내부에 포함하고 있다.


이밖에도 "android.provider.CallLog.Calls.CONTENT_URI" 및 다양한 소스, 권한 등을 통해 통화 목록 수집 등의 정보 획득 기능 동작을 수행할 수 있으며, 획득한 여러가지 정보는 SD카드에 저장되어 특정 포트를 통해 외부 특정 URL로 전송될 수 있다.

※ 획득한 정보의 SD카드 저장 경로

- /sdcard/shangzhou/callrecord/

※ 정보가 전송되는 외부 특정 URL

- jin.(생략).com(Port : 2018)
- 외부 특정 URL에 대한 접속은 SocketService, AlarmManager를 통해 주기적으로 시도 된다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 내부에 "로케일 국가명 처리(중국, 간자체), 중국의 통신망 사업자 파악" 등과 같은 확인 코드가 포함되어있어 중국 사용자를 대상으로 제작되었음이 추정 가능하다. 다만, 이러한 악성 애플리케이션들은 각종 블랙마켓, 3rd Party 마켓 등을 통해 얼마든지 다운로드 및 추가 재패키징이 가능하므로 국내 사용자들도 이러한 애플리케이션에 대한 선별적 구분 자세가 반드시 필요한 상황이다.

다만, 일반 사용자의 경우 많은 관심과 노력이 따르지 않는다면 위와 같은 악성 애플리케이션에 대한 악성 여부 판단을 내리기 쉽지 않기 때문에 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 최소한의 노력은 반드시 필요하다. 

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.NickiSpy.A
- Trojan-Spy/Android.NickiSpy.B
- Trojan-Spy/Android.NickiSpy.C