1. 개 요
위와 같은 재패키징 기법을 사용하는 악성 애플리케이션이 위험한 이유는 누구나 손쉽게 수정이 가능하기 때문이다. 이번에 발견된 악성 애플리케이션의 경우 특별히 악의적인 목적을 띄지 않은 "동물보호운동가" 단체에 의해 개발된 것으로 알려지면서 향후 단순 목적에 의한 악성 애플리케이션 제작/출현 빈도는 지속적 증가 추세로 놓일 전망이다.
2. 유포경로 및 감염증상
해당 악성 애플리케이션은 재피키징된 형태로 정상적인 구글 마켓이 아닌 3rd Party 마켓, 각종 블랙마켓 등의 애플리케이션에 대한 검증이 어려운 경로를 위주로 유포가 이루어지고 있다.
해당 악성 애플리케이션은 설치 시 아래와 같은 권한을 요구하는데 재패키징 되기 이전의 정상 애플리케이션과 뚜렷한 권한 요구 차이를 보여주고 있다.
◆ 악성 애플리케이션 요구 권한
◆ 정상 애플리케이션 요구 권한
또한, 아래의 그림과 같이 설치가 완료된 후 생성되는 실행 아이콘을 통해 정상/악성 애플리케이션에 대한 육안상 구분이 가능하다.
◆ 악성 애플리케이션 실행 아이콘
◆ 정상 애플리케이션 실행 아이콘
위 그림의 적색박스 부분을 살펴보면 악성 애플리케이션의 경우 "PETA" (참고로 "PETA"는 동물보호단체 이름이다.)문구가 아이콘에 기재되어 있고, 정상 애플리케이션의 경우 "BETA" 문구가 기재되어있는 것을 확인할 수 있다.
또한, 아래의 그림과 같이 "응용프로그램 정보" 부분에서도 정상/악성 애플리케이션간의 차이를 확인할 수 있다.
위와 같이 설치 과정이 모두 완료된 후 해당 악성 애플리케이션을 실행할 경우 재패키징된 애플리케이션의 특성상 정상/악성 애플리케이션 모두 아래의 그림과 같이 동일한 실행화면을 보여준다.
■ 상세 분석
해당 악성 애플리케이션은 아래의 구성표와 같이 정상 애플리케이션에 특정 패키지 서비스가 추가된 재패키징 형태이다.
감염되면 위그림과 같이 정상 애플리케이션에 추가된 "dogbite" 악성 패키지가 서비스로 동작 하게 되어 아래와 같은 감염 증상을 유발할 수 있다.
해당 악성 애플리케이션은 위와 같이 3가지로 요약된 감염 증상을 유발하며, 아래의 일부 코드를 통해 "전화번호 목록 수집", "SMS 발송" 등의 기능을 수행하게된다.
SMS 발송은 두가지 형태로 진행된다. 위 그림과 같이 ①스마트폰 내의 전화번호 목록을 수집해 해당 번호로 코드 내부에 포함되어 있는 특정 문구(“I take pleasure in hurting small animals, just thought you should know that”)를 SMS로 발송하는 것과 ②코드 내부에 포함된 동물보호단체 PETA가 운영하는 문자 메시지 경고 서비스 추정 번호로 특정 문구("text")를 포함한 SMS를 발송하는 것이다.
3. 예방 조치 방법
해당 악성 애플리케이션의 경우 정상 애플리케이션에 간단한 SMS 발송 구문을 추가하여 악의적인 기능이 동작될 수 있도록 하고 있다. 수집된 목록을 통해 다수의 SMS가 발송되는 스팸성 기능을 보이는 간단한 구조이지만 일반 사용자의 경우 해당 악성 기능의 동작을 육안상으로 인식하기 어렵다.
때문에 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있겠다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-Spy/Android.Dogbite.A
위와 같은 재패키징 기법을 사용하는 악성 애플리케이션이 위험한 이유는 누구나 손쉽게 수정이 가능하기 때문이다. 이번에 발견된 악성 애플리케이션의 경우 특별히 악의적인 목적을 띄지 않은 "동물보호운동가" 단체에 의해 개발된 것으로 알려지면서 향후 단순 목적에 의한 악성 애플리케이션 제작/출현 빈도는 지속적 증가 추세로 놓일 전망이다.
2. 유포경로 및 감염증상
해당 악성 애플리케이션은 재피키징된 형태로 정상적인 구글 마켓이 아닌 3rd Party 마켓, 각종 블랙마켓 등의 애플리케이션에 대한 검증이 어려운 경로를 위주로 유포가 이루어지고 있다.
해당 악성 애플리케이션은 설치 시 아래와 같은 권한을 요구하는데 재패키징 되기 이전의 정상 애플리케이션과 뚜렷한 권한 요구 차이를 보여주고 있다.
◆ 악성 애플리케이션 요구 권한
◆ 정상 애플리케이션 요구 권한
※ 전체 권한
- android:name="android.permission.VIBRATE"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
또한, 아래의 그림과 같이 설치가 완료된 후 생성되는 실행 아이콘을 통해 정상/악성 애플리케이션에 대한 육안상 구분이 가능하다.
◆ 악성 애플리케이션 실행 아이콘
◆ 정상 애플리케이션 실행 아이콘
위 그림의 적색박스 부분을 살펴보면 악성 애플리케이션의 경우 "PETA" (참고로 "PETA"는 동물보호단체 이름이다.)문구가 아이콘에 기재되어 있고, 정상 애플리케이션의 경우 "BETA" 문구가 기재되어있는 것을 확인할 수 있다.
또한, 아래의 그림과 같이 "응용프로그램 정보" 부분에서도 정상/악성 애플리케이션간의 차이를 확인할 수 있다.
위와 같이 설치 과정이 모두 완료된 후 해당 악성 애플리케이션을 실행할 경우 재패키징된 애플리케이션의 특성상 정상/악성 애플리케이션 모두 아래의 그림과 같이 동일한 실행화면을 보여준다.
■ 상세 분석
해당 악성 애플리케이션은 아래의 구성표와 같이 정상 애플리케이션에 특정 패키지 서비스가 추가된 재패키징 형태이다.
감염되면 위그림과 같이 정상 애플리케이션에 추가된 "dogbite" 악성 패키지가 서비스로 동작 하게 되어 아래와 같은 감염 증상을 유발할 수 있다.
※ 감염 증상
1. 전화번호 목록 수집
2. 수집된 전화번호를 통해 다량의 SMS 발송
3. 특정번호로 SMS 발송
1. 전화번호 목록 수집
2. 수집된 전화번호를 통해 다량의 SMS 발송
3. 특정번호로 SMS 발송
해당 악성 애플리케이션은 위와 같이 3가지로 요약된 감염 증상을 유발하며, 아래의 일부 코드를 통해 "전화번호 목록 수집", "SMS 발송" 등의 기능을 수행하게된다.
SMS 발송은 두가지 형태로 진행된다. 위 그림과 같이 ①스마트폰 내의 전화번호 목록을 수집해 해당 번호로 코드 내부에 포함되어 있는 특정 문구(“I take pleasure in hurting small animals, just thought you should know that”)를 SMS로 발송하는 것과 ②코드 내부에 포함된 동물보호단체 PETA가 운영하는 문자 메시지 경고 서비스 추정 번호로 특정 문구("text")를 포함한 SMS를 발송하는 것이다.
3. 예방 조치 방법
해당 악성 애플리케이션의 경우 정상 애플리케이션에 간단한 SMS 발송 구문을 추가하여 악의적인 기능이 동작될 수 있도록 하고 있다. 수집된 목록을 통해 다수의 SMS가 발송되는 스팸성 기능을 보이는 간단한 구조이지만 일반 사용자의 경우 해당 악성 기능의 동작을 육안상으로 인식하기 어렵다.
때문에 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-Spy/Android.Dogbite.A
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| [주의]안드로이드 진저브레드 취약점을 악용한 악성 애플리케이션 (0) | 2011.08.23 |
|---|---|
| [주의]SMS 프리미엄 서비스 관련 과금 유발 악성 애플리케이션 (0) | 2011.08.19 |
| [주의]스마트폰 기기정보 탈취 악성 애플리케이션 (0) | 2011.08.11 |
| [주의]스마트폰 정보 임의적 수집 안드로이드 악성 애플리케이션 (0) | 2011.08.05 |
| [주의]SMS 사용 과금 유발 안드로이드 악성 애플리케이션 (0) | 2011.08.04 |