분석 정보/악성코드 분석 정보

[참고]안드로이드용 Spyeye 악성 애플리케이션

TACHYON & ISARC 2011. 9. 20. 16:03
1. 개 요


최근 다수의 해외 보안기업을 통해 안드로이드용 Spyeye 악성 애플리케이션 출현이 보고되어 이슈가 되고 있다. 최종적으로는 Spyeye와 관련은 없는 것으로 밝혀졌으나 해당 악성 애플리케이션을 통해 향후 모바일 인터넷 뱅킹 등을 통한 새로운 보안 위협의 출현이 예상되고 있어 악성 애플리케이션에 대한 사용자들의 각별한 주의가 요망되고 있다.
  

2. 유포 및 감염 증상

해당 악성 애플리케이션은 해외를 중심으로한 각종 블랙마켓 및 3rd Party 마켓 등을 통해 유포가 이루어질 수 있으며, 애플리케이션의 종류에 따라 설치 후 실행 아이콘 등이 보이지 않는 경우가 있을 수 있다.

아래의 그림은 다운로드된 해당 악성 애플리케이션에 대한 설치 화면이며, 아래와 같은 권한을 요구할 수 있다.


※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.PROCESS_OUTGOING_CALLS"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.READ_SMS"

해당 악성 애플리케이션은 "안드로이드 SDK 1.6 이상 버전"에서 정상적인 동작이 가능하며, MAIN, LAUNCHER가 AndroidManifest.xml에 존재하지 않기때문에 애플리케이션 설치 후 별도의 실행 아이콘 등이 런쳐상에 보이지 않는다.

해당 악성 애플리케이션은 아래의 그림과 같이 "환경설정" -> "응용 프로그램" -> "응용 프로그램 관리"에서 설치 여부에 대한 확인이 가능하다.

  

해당 악성 애플리케이션은 위의 설명과 같이 실행을 위한 별도의 아이콘이 생성되지 않는다. 때문에 실행을 위해 아래의 일부 코드를 통한 애플리케이션 활성화 과정을 거칠 수 있다.


위 코드를 살펴보면 해당 악성파일은 "325000" 다이얼 입력 후 전화 버튼을 클릭할 경우 Toast를 통해 일종의 활성화 코드로 추정되는 "251340" 메시지를 스마트폰 화면에 출력하게 되며, 이로인해 해당 악성 애플리케이션이 실행되게 된다. 다만, 활성화 코드로 추정되는 "251340" 메시지는 실제로 사용되는 활성화 코드는 아니다.

아래의 그림을 통해 위 코드에 대한 실행 결과를 알 수 있다.

 


위 과정을 거쳐 해당 악성 애플리케이션이 실행되면 아래의 코드를 통해 감염된 스마트폰의 SMS에 대한 수집 작업을 진행하게 된다.


또한, 수집된 정보들은 아래의 코드와 같이 두가지 방법을 통해 외부로 유출 시도될 수 있다.

화면을 클릭하면 확대된 화면을 보실 수 있습니다.


SEND 타잎에 따라 ①특정 웹 사이트로 수집된 정보를 전송할 수 있으며, ②내부에 포함된 xml 파일에 휴대폰 번호에 대한 섹션이 존재할 경우 파싱 방법을 통해 해당 번호로 SMS를 발송하는 두가지 방법을 통해 수집된 정보에 대한 유출 시도를 하고 있다.

아래의 그림은 위의 두가지 방법을 통해 정보를 외부로 유출 시 활용되는 "settings.xml" 내부 코드이다.


위 그림을 통해서도 해당 악성 애플리케이션이 다음 버전을 위한 테스트 용도로 만들어졌다는 사실을 추측할 수 있다. 해당 악성 애플리케이션에서 정보값 파싱에 사용되는 "telephon", "addr", "tels" 등의 섹션이 모두 포함된 점과 실제 사용될 수 없는 값들을 포함하고 있다는 점에서 해당 악성 애플리케이션은 테스트 용도였다는 사실이 추측 가능하다.

3. 예방 조치 방법

해당 악성 애플리케이션은 일단 현재까지는 Spyeye와 특별한 연관성이 있지는 않다. 다만, 향후 출현할 수 있는 악성 애플리케이션에 의해 활성화 코드 실행 방법을 통한 악성 애플리케이션 실행이 가능할 수 있으며, 각종 결재 시 수신할 수 있는 인증관련 SMS의 유출 또한 발생할 수 있다. 때문에 추후에는 실제 Spyeye와 관련된 스마트폰 보안 위협이 발생할 가능성이 다분할 것으로 추정이 가능한 상황이다.

위와 같은 악성 애플리케이션으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.Spitmo.A