1. 개 요
최근 스마트폰 기기의 불법적인 정보 수집기능을 가지는 애플리케이션이 지속적으로 발견되고 있다. 스마트폰의 기기의 정보가 유출될 경우 다양한 방면에서 악용될 소지가 다분하며, 이는 곧 사용자의 보안 위협으로 작용될 것이다. 이러한 와중에 스마트폰 기기의 정보에 대한 불법적인 수집 및 외부 유출을 시도하는 악성 애플리케이션이 추가적으로 발견되어 사용자들의 각별한 주의가 요망되고 있다. 현재 안드로이드 악성 애플리케이션의 경우 특별한 진단 및 분류 정책 마련 등이 아직은 미비한 상태이며, 이러한 악성 애플리케이션의 경우 일반인들도 충분히 제작이 가능하기 때문에 스마트폰 보안 위협은 앞으로 지속적으로 증대될 전망이다.
2. 유포 경로 및 감염 증상
이러한 악성 애플리케이션의 경우 각종 블랙마켓, 3rd Party 마켓 등을 통해 주로 유포가 이루어질 수 있으며, 악의적인 목적을 가지지않고 제작될 경우 구글 안드로이드 마켓을 통해서도 유포가 이루어질 수 있다.
해당 악성 애플리케이션은 다운로드 후 설치 시 아래의 그림과 같은 권한 요구 화면을 보여줄 수 있다.
android:name="android.permission.INTERNET"
android:name="android.permission.ACCESS_NETWORK_STATE"
android:name="android.permission.RECEIVE_BOOT_COMPLETED"
또한, 해당 악성 애플리케이션은 설치가 완료된 후 별도의 실행 아이콘은 존재하지 않으며 내부의 코드에 의해 아래의 그림과 같이 스마트폰 재부팅 후 자동실행될 수 있다.
■ 상세 분석
해당 악성 애플리케이션은 아래와 같은 감염 증상을 유발할 수 있다.
1. IMEI, IMSI 정보 수집
2. 스마트폰 제조 업체 및 모델명 등의 정보 수집
3. 네트워크 연결상태 체크 후 수집된 정보 외부 유출 시도
4. 특정 애플리케이션에 대한 설치 여부 확인
해당 악성 애플리케이션의 경우 별도의 Receiver는 등록하지 않는다. 다만, BroadcastReceiver 상속을 통해 스마트폰 내의 다른 애플리케이션에 대한 Action 및 Event처리를 시도 할 수 있다.
"※ 감염 증상" 부분에서 설명한 것과 같이 해당 악성 애플리케이션은 스마트폰 기기에 대한 정보 수집 및 특정 애플리케이션에 대한 설치 여부 확인 등을 주요기능으로 하고있으며, 특정 애플리케이션에 대한 설치 여부 확인은 MD5 체크 수식을 통해 패키지명 파싱 등의 방법으로 진행된다.
아래의 일부 코드를 통해 해당 악성 애플리케이션은 스마트폰 기기에 대한 정보를 수집할 수 있다.
그림을 클릭하시면 확대된 이미지를 확인하실 수 있습니다.
또한, 위와 같이 수집된 정보는 아래의 일부 코드와 같이 특정 메소드 등을 통한 일련의 데이터링 과정을 거친 후 전역 변수로 선언된 URL 레퍼런스를 통해 외부로 유출 시도될 수 있다.
그림을 클릭하시면 확대된 이미지를 확인하실 수 있습니다.
3. 예방 조치 방법
이동 통신 수단의 발전에 따라 향후에는 각종 결제 및 정보에 대한 처리가 스마트폰을 통해 수행되는 등 휴대용 통신 수단에 대한 의존도가 늘어날 것으로 전망된다. 이에 따라 자연스럽게 다양한 목적에 의한 휴대용 통신 수단의 보안 위협 또한 비례하여 증대될 것이다.
갈수록 지능화 되는 이러한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-Spy/Android.NetiSend.A
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
[주의]SMS 프리미엄 서비스 관련 과금 유발 악성 애플리케이션 (0) | 2011.08.19 |
---|---|
[주의]스팸성 SMS 발송 기능의 재패키징된 악성 애플리케이션 (0) | 2011.08.17 |
[주의]스마트폰 정보 임의적 수집 안드로이드 악성 애플리케이션 (0) | 2011.08.05 |
[주의]SMS 사용 과금 유발 안드로이드 악성 애플리케이션 (0) | 2011.08.04 |
[주의]음성 통화 내역을 녹음하는 악성 애플리케이션 발견 (0) | 2011.08.02 |