1. 개 요
2. 유포 경로 및 감염 증상
해당 악성 애플리케이션은 현재 구글 안드로이드 마켓에는 존재하지 않으며, 중국의 블랙마켓, 3rd Party 마켓등을 중심으로 유포될 수 있다.
위와 같은 악성 애플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 출력할 수 있다.
설치가 완료되면 아래의 그림과 같은 실행 아이콘을 생성하며, 해당 아이콘을 클릭 시 아래의 그림과 같은 실행화면을 출력한다.
▶ 실행 아이콘
▶ 실행 화면
■ 상세 분석
해당 악성 애플리케이션은 SMS 관리를 위해 아래와 같은 1개의 리시버를 등록하며, 높은 우선순위를 책정해 놓을 수 있다.
또한, 해당 악성 애플리케이션은 감염 후 특정 이동통신 등의 프리미엄 서비스 가입을 진행할 수 있으며 가입 절차는 해당 프리미엄 서비스 가입 요청 전화번호로 SMS 전송을 통해 이루어진다.
위와 같이 프리미엄 서비스 가입 절차가 이루질 경우 해당 악성 애플리케이션은 사용자 몰래 해당 서비스 공급자로부터 회신되는 SMS를 확인 후 "Y" 등의 SMS 회신을 통해 사용자의 인증 없이 가입 절차를 마무리할 수 있다. 또한, 이러한 진행 상황을 사용자가 알 수 없도록 아래의 일부 코드를 통해 관련 SMS에 대한 삭제를 진행한다.
지난번 이슈가 되었던 프리미엄 서비스 가입 악성 애플리케이션과는 조건문에 서비스 번호가 한개더 추가된다는 차이점있다.
3. 예방 조치 방법
해당 악성 애플리케이션은 중국 사용자들을 타겟으로 제작되었기 때문에 당장 국내에서 피해 사례가 발생하진 않을 것으로 예상된다. 다만, 악성 애플리케이션은 언제든지 재패키징을 통해 또다른 악성 애플리케이션으로 "재탄생"이 가능하기 때문에 언제든지 피해가 발생할 수 있다.
이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이 될 수 있을것이다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-SMS/Android.GO108.A
최근 발견되고 있는 악성 애플리케이션들은 단순 정보 수집 단계에서 이제는 사용자 몰래 특정 악성 기능들을 수행하여 이용 과금을 유발해 금전적 피해를 줄 수 있는 단계로 위험 범위가 확산되고 있다. 이러한 와중 중국의 SMS 프리미엄 서비스 가입을 통한 과금을 유발하는 악성 애플리케이션이 발견되어 사용자들의 각별한 주의가 요망되고 있다.
2. 유포 경로 및 감염 증상
해당 악성 애플리케이션은 현재 구글 안드로이드 마켓에는 존재하지 않으며, 중국의 블랙마켓, 3rd Party 마켓등을 중심으로 유포될 수 있다.
위와 같은 악성 애플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 출력할 수 있다.
※ 전체 권한
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.INTERNET"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.INTERNET"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
설치가 완료되면 아래의 그림과 같은 실행 아이콘을 생성하며, 해당 아이콘을 클릭 시 아래의 그림과 같은 실행화면을 출력한다.
▶ 실행 아이콘
▶ 실행 화면
■ 상세 분석
해당 악성 애플리케이션은 SMS 관리를 위해 아래와 같은 1개의 리시버를 등록하며, 높은 우선순위를 책정해 놓을 수 있다.
※ Receiver 등록
- com.talkweb.comm.SmsReceiver
- com.talkweb.comm.SmsReceiver
또한, 해당 악성 애플리케이션은 감염 후 특정 이동통신 등의 프리미엄 서비스 가입을 진행할 수 있으며 가입 절차는 해당 프리미엄 서비스 가입 요청 전화번호로 SMS 전송을 통해 이루어진다.
※ 세부 가입 절차
- 서비스 공급자에게 서비스 가입 SMS 전송
- 서비스 공급자는 해당 SMS에 대한 상세 설명 등의 응답(SMS 회신)
- 사용자는 서비스 공급자의 응답 SMS에 "Y" 문장을 포함한 SMS 회신이 필요하다.
- 서비스 공급자에게 서비스 가입 SMS 전송
- 서비스 공급자는 해당 SMS에 대한 상세 설명 등의 응답(SMS 회신)
- 사용자는 서비스 공급자의 응답 SMS에 "Y" 문장을 포함한 SMS 회신이 필요하다.
위와 같이 프리미엄 서비스 가입 절차가 이루질 경우 해당 악성 애플리케이션은 사용자 몰래 해당 서비스 공급자로부터 회신되는 SMS를 확인 후 "Y" 등의 SMS 회신을 통해 사용자의 인증 없이 가입 절차를 마무리할 수 있다. 또한, 이러한 진행 상황을 사용자가 알 수 없도록 아래의 일부 코드를 통해 관련 SMS에 대한 삭제를 진행한다.
지난번 이슈가 되었던 프리미엄 서비스 가입 악성 애플리케이션과는 조건문에 서비스 번호가 한개더 추가된다는 차이점있다.
3. 예방 조치 방법
해당 악성 애플리케이션은 중국 사용자들을 타겟으로 제작되었기 때문에 당장 국내에서 피해 사례가 발생하진 않을 것으로 예상된다. 다만, 악성 애플리케이션은 언제든지 재패키징을 통해 또다른 악성 애플리케이션으로 "재탄생"이 가능하기 때문에 언제든지 피해가 발생할 수 있다.
이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이 될 수 있을것이다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-SMS/Android.GO108.A
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| [정보]사용자 몰래 동작되는 안드로이드 악성 애플리케이션 유포 증가 추세 (0) | 2011.10.13 |
|---|---|
| [주의]안드로이드 진저브레드 취약점을 악용한 악성 애플리케이션 (0) | 2011.08.23 |
| [주의]스팸성 SMS 발송 기능의 재패키징된 악성 애플리케이션 (0) | 2011.08.17 |
| [주의]스마트폰 기기정보 탈취 악성 애플리케이션 (0) | 2011.08.11 |
| [주의]스마트폰 정보 임의적 수집 안드로이드 악성 애플리케이션 (0) | 2011.08.05 |