1. 개 요
아래의 그림은 최근 1주일 동안 접수 및 수집된 악성 애플리케이션에 대한 종류별 유포 추이 그래프이다.
2. 유포 경로 및 감염 증상
이러한 악성 애플리케이션은 해외의 각종 블랙마켓, 3rd party 마켓 등을 주요 유포 경로로 사용하고 있다.
최근 유포 되고 있는 SMS 관련 악성 애플리케이션은 쉽고 간단한 유포와 지속적인 변종 제작을 위해 재패키징 기법 보다는 단일적으로 순수 악성 애플리케이션을 제작하여 유포하는 경우가 대부분이다.
아래의 그림은 최근 유포되고 있는 SMS 관련 악성 애플리케이션중 러시아 사용자들을 주요 타겟으로한 악성 애플리케이션에 대한 설치 화면이며, 현재 다수의 변종을 지속적으로 유포하고 있는 종류이다. 또한, 설치 시 아래와 같은 권한 요구 화면을 보여줄 수 있다.
설치가 완료되면 아래의 그림과 같은 아이콘이 생성되며, 실행시 아래와 같은 메인화면을 보여줄 수 있다.
◆ 아이콘
◆ 실행 화면
해당 악성 애플리케이션은 설치 후 메인화면의 버튼 클릭을 진행하면 아래의 일부 코드로 인해 SMS 발송이 진행되며, 수신 번호 지정은 Dialog 파싱 기법을 사용하고 있다.
SMS 발송은 위 일부 코드와 같이 스레드 실행 방식을 통해 사용자 몰래 무단적으로 SMS 발송이 이루어지게 된다.
3. 예방 조치 방법
위와 같은 악성 애플리케이션은 의도적으로 제작되는 경우가 대부분이므로 애플리케이션 다운로드 시 설명부분에 SMS와 관련한 내용을 고의적으로 누락시킬 가능성이 높다. 또한, 해당 악성 애플리케이션은 사용자 몰래 SMS 발송 등 악의적인 기능을 수행하기 때문에 사용자가 위와 같은 감염 증상을 인지하기가 매우 어렵다.
이와 같은 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
모바일 보안 위협이 지속적으로 증가하고 있는 가운데 최근 안드로이드 악성 애플리케이션중 SMS와 관련된 악성 애플리케이션의 유포가 눈에 띄게 증가하고 있다. 여러가지 감염 증상을 가지는 악성 애플리케이션에 SMS 발송 기능이 추가되거나 사용자 몰래 SMS에 대한 무단 발송 등 단일적인 감염 증상 까지 적용 범위도 넓어져가고 있다. 이러한 악성 애플리케이션에 감염될 경우 사용자 모르게 지속적인 이용 과금이 부과되거나 특정 광고 용도로 사용되는 등 여러가지 피해가 유발될 수 있다.
아래의 그림은 최근 1주일 동안 접수 및 수집된 악성 애플리케이션에 대한 종류별 유포 추이 그래프이다.
[1주일 동안 악성 애플리케이션의 유포 추이 그래프]
2. 유포 경로 및 감염 증상
이러한 악성 애플리케이션은 해외의 각종 블랙마켓, 3rd party 마켓 등을 주요 유포 경로로 사용하고 있다.
최근 유포 되고 있는 SMS 관련 악성 애플리케이션은 쉽고 간단한 유포와 지속적인 변종 제작을 위해 재패키징 기법 보다는 단일적으로 순수 악성 애플리케이션을 제작하여 유포하는 경우가 대부분이다.
아래의 그림은 최근 유포되고 있는 SMS 관련 악성 애플리케이션중 러시아 사용자들을 주요 타겟으로한 악성 애플리케이션에 대한 설치 화면이며, 현재 다수의 변종을 지속적으로 유포하고 있는 종류이다. 또한, 설치 시 아래와 같은 권한 요구 화면을 보여줄 수 있다.
※ 전체 권한
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.CAMERA"
- android:name="android.permission.CHANGE_CONFIGURATION"
- android:name="android.permission.EXPAND_STATUS_BAR"
- android:name="android.permission.CONTROL_LOCATION_UPDATES"
- android:name="android.permission.GET_ACCOUNTS"
- android:name="android.permission.BATTERY_STATS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.READ_CALENDAR"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.READ_FRAME_BUFFER"
- android:name="com.android.browser.permission.READ_HISTORY_BOOKMARKS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.STATUS_BAR"
- android:name="android.permission.SYSTEM_ALERT_WINDOW"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.WRITE_CONTACTS"
- android:name="android.permission.WRITE_CALENDAR"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.CAMERA"
- android:name="android.permission.CHANGE_CONFIGURATION"
- android:name="android.permission.EXPAND_STATUS_BAR"
- android:name="android.permission.CONTROL_LOCATION_UPDATES"
- android:name="android.permission.GET_ACCOUNTS"
- android:name="android.permission.BATTERY_STATS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.READ_CALENDAR"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.READ_FRAME_BUFFER"
- android:name="com.android.browser.permission.READ_HISTORY_BOOKMARKS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.STATUS_BAR"
- android:name="android.permission.SYSTEM_ALERT_WINDOW"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.WRITE_CONTACTS"
- android:name="android.permission.WRITE_CALENDAR"
설치가 완료되면 아래의 그림과 같은 아이콘이 생성되며, 실행시 아래와 같은 메인화면을 보여줄 수 있다.
◆ 아이콘
◆ 실행 화면
해당 악성 애플리케이션은 설치 후 메인화면의 버튼 클릭을 진행하면 아래의 일부 코드로 인해 SMS 발송이 진행되며, 수신 번호 지정은 Dialog 파싱 기법을 사용하고 있다.
SMS 발송은 위 일부 코드와 같이 스레드 실행 방식을 통해 사용자 몰래 무단적으로 SMS 발송이 이루어지게 된다.
3. 예방 조치 방법
위와 같은 악성 애플리케이션은 의도적으로 제작되는 경우가 대부분이므로 애플리케이션 다운로드 시 설명부분에 SMS와 관련한 내용을 고의적으로 누락시킬 가능성이 높다. 또한, 해당 악성 애플리케이션은 사용자 몰래 SMS 발송 등 악의적인 기능을 수행하기 때문에 사용자가 위와 같은 감염 증상을 인지하기가 매우 어렵다.
이와 같은 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [참고]안드로이드용 Spyeye 악성 애플리케이션 (0) | 2011.09.20 |
|---|---|
| [주의]치료가 까다로운 MBR(Master Boot Record) 변조 악성파일 (0) | 2011.09.19 |
| [주의]윈도우 원격 데스크톱 웜 "Morto" 해외 확산 (0) | 2011.08.29 |
| [주의]Flash Player로 위장한 Ransomware (0) | 2011.08.25 |
| [주의]Ransomware의 해외 유포 증가 (0) | 2011.08.25 |