분석 정보/모바일 분석 정보

[주의]스마트폰 정보 임의적 수집 안드로이드 악성 애플리케이션

TACHYON & ISARC 2011. 8. 5. 16:57
1. 개 요


최근 개인정보에 대한 불법적인 유출 등으로 인하여 다양한 방면에서 소송이 진행되는 등 정보 유출에 대한 보안 이슈가 보안 위협의 중대한 화두로 자리매김하고 있다. 이러한 와중 다양한 음성 지원 안드로이드 애플리케이션에서 스마트폰 및 개인정보에 대한 불법적인 취득 기능이 확인되었으며, 이렇게 유출된 정보들은 복제 휴대폰, 스팸 광고에 사용되는 DB 거래 등의 목적으로 악용될 소지가 크기 때문에 사용자들의 각별한 주의가 요망되고 있다.

  

2. 유포 경로 및 감염 증상

보통 안드로이드 악성 애플리케이션의 경우는 구글 안드로이드 마켓 보다는 3rd Party 마켓 혹은 세계각지의 다양한 블랙마켓 등을 통해 유포되는 경우가 대부분이며, 해당 안드로이드 악성 애플리케이션 또한 마찬가지이다.

해당 안드로이드 악성 애플리케이션은 다운로드 후 설치 진행 시 아래의 그림과 같은 권한 요구 화면을 보여줄 수 있다.


※ 전체 권한

- android:name="android.permission.INTERNET"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.RECEIVE_BOOT_COMPLETED"

- android:name="android.permission.GET_ACCOUNTS"

설치가 완료된 후 해당 안드로이드 악성 애플리케이션은 아래의 그림과 같은 실행 아이콘을 생성한다.

 


생성된 실행 아이콘을 선택하면 아래의 그림과 같은 실행화면을 볼 수 있으며, 실행 후 해당 애플리케이션은 경고음이 울리는 등의 음성지원을 할 수 있게 된다.


또한, 위 그림 오른쪽 상단의 화살표 이미지를 선택하면, 아래의 그림과 같은 추가적인 음성 지원 애플리케이션 다운로드 광고 화면을 보여주게 된다.


■ 상세 분석

해당 악성 애플리케이션은 설치가 완료될 경우 StartAtBootServiceReceiver, MyReferrerReceiver 두개의 리시버를 등록하게 되며, 크게 아래와 같은 감염 증상을 유발할 수 있다.

※ 감염 증상

1. IMEI 수집
2. 안드로이드 계정, 국가번호, 통신망 사업자 등의 정보 수집
3. 전화번호 목록 수집
4. 수집된 정보에 대한 외부 유출 시도
5. AlarmManager를 통한 주기적인 동작

우선, 해당 악성 애플리케이션은 설치 후 실행 시 아래의 코드를 통해 IMEI 값 및 스마트폰에 저장된 전화번호 목록 정보를 수집할 수 있다.


또한, 해당 정보 이외에도 아래의 코드를 통해 안드로이드 계정, 국가번호, 통신망 사업자 등의 정보도 수집될 수 있다.

 


이렇게 수집된 정보들은 아래의 일부 코드를 통해 특정 외부 사이트로 전송될 수 있다.

클릭하시면 확대 화면을 보실 수 있습니다.


위에서 설명한 정보 수집 및 외부 사이트 전송은 AlarmManager를 통해 주기적인 동작이 가능하다.

3. 예방 조치 방법

해당 악성 애플리케이션의 경우 모든 악성 기능이 사용자 몰래 백그라운드 상태에서 동작되며 유출된 정보는 스팸 DB, 복제 휴대폰 제작 등의 악의적인 용도로 사용될 수 있다. 또한, 일반 사용자의 경우 육안상으로 악성 여부 판단 및 동작 중인 기능에 대한 확인이 어렵기 때문에 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.SndApps.A