[정보]사용자 몰래 동작되는 안드로이드 악성 애플리케이션 유포 증가 추세

1. 개 요

 

최근 스마트폰에 대한 보안 위협이 증가하며, 관련한 악성 애플리케이션도 기하 급수적으로 늘어나고 있다. 스마트폰 악성 애플리케이션에 대한 보안 위협이 증가하면서 악성 애플리케이션은 초기 단계에서 벗어나 자신의 생존 주기를 늘리기 위해 다양한 기법들을 사용하고 있다. 그중 가장 널리 사용되는 방법은 아주 기초적이면서도 일반 사용자들은 감염 사실을 알아차리기 어려운 백그라운드 동작 기법이다. 최근 사용자 몰래 백그라운드 상태에서 동작하며, SMS를 무단 발송 하거나 스마트폰의 기기 정보 등을 무단으로 수집 및 외부유출을 시도하는 악성 애플리케이션이 뚜렷한 증가 추세를 보이고 있다.

2. 유포 경로 및 감염 증상

위와 같은 악성 애플리케이션은 아직 국내에서는 전파되지 않고 있으며, 특별한 감염사례 또한 보고되지 않고 있다. 아직까지 악성 애플리케이션은 국내가 아닌 중국이나, 러시아를 중심으로 블랙마켓, 3rd Party 마켓 등을 통해 유포되고 있으나, 향후 인터넷을 통해 얼마든지 국내에도 유포가 가능할 수 있다.

아래에서 설명할 악성 애플리케이션은 위와 같이 사용자 몰래 백그라운드에서 악성 동작을 수행하는 대표적인 종류의 악성 애플리케이션이다.

이러한 악성 애플리케이션은 자신의 악성 코드 구현을 위해 몇가지 권한을 필요로 한다.

■ 권한 요구 및 설치 시 특징

우선 모든 애플리케이션은 설치 시 아래의 그림과 같이 몇몇 특정 권한들을 요구할 수 있다.

※ 전체 권한

- android:name="android.permission.SEND_SMS"
- android:name="android.permission.READ_SMS"
- android:name="android.permission.WRITE_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.WRITE_APN_SETTINGS"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.BROADCAST_PACKAGE_REMOVED"
- android:name="android.permission.BROADCAST_PACKAGE_ADDED"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INTERNET"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.KILL_BACKGROUND_PROCESSES"

위에서 설명한 권한중 "SMS와 관련된 권한", "스마트폰 기기 정보 수집 등에 필요한 READ_PHONE_STATE 권한" 등은 대부분의 악성 애플리케이션에서 요구하는 권한들이며, "KILL_BACKGROUND_PROCESSES 권한"은 특정 애플리케이션 종료를 위해 사용될 수 있는 권한이다.

위에서 설명한 악성 애플리케이션은 설치 후 별도의 실행 아이콘이 없다. 위 그림과 같이 Main 액티비티에 대한 "LAUNCHER"부분이 정의되어 있지 않기 때문이다.

이러한 악성 애플리케이션의 경우 설치 완료 후 응용프로그램 관리에서 아래의 그림과 같이 설치 여부를 확인할 수 있다.

■ 악성 동작 확인

위와 같은 악성 애플리케이션은 대부분 특정 애플리케이션이나 다양한 목적의 광고를 위해 사용자 몰래 SMS를 무단 발송하는 기능을 가지고 있으며, 무단 발송 코드 수행을 위해 해당 스마트폰의 전화번호 목록, 스마트폰 기기 정보 등을 수집할 수 있다. 또한 수집된 스마트폰 기기 정보를 외부로 유출하여 해당 정보를 기반으로 복제폰을 만드는 등 다양한 목적을 가지고 악용할 수 있다.

아래의 일부 코드를 통해 imei 및 스마트폰 모델, 안드로이드 플랫폼 및 SDK 버전, 전화번호 목록 등을 수집하고 외부에 유출 시도를 하는 기능을 수행할 수 있다.

클릭하시면 확대된 화면을 보실 수 있습니다.

정보 수집 및 유출과 함께 가장 많이 악용되고 있는 SMS 발송 기능은 아래의 일부 코드를 통해 수행될 수 있다.

ㄱ. SMS 발송

ㄴ. MMS 발송

위와 같이 특정 조건에 따라 SMS 혹은 MMS를 구분하여 무단 발송 기능을 수행할 수 있다.

또한, 해당 악성 애플리케이션은 아래의 일부 코드를 통해 실행중인 애플리케이션 목록을 수집 후 애플리케이션을 강제 종료할 수 있는 기능을 수행할 수 있다.

 

위 코드를 통해 SDK 버전 8(안드로이드 2.2버전)을 기준 조건으로 실행중인 애플리케이션을 강제 종료 시도하는 기능에 대한 확인이 가능하다. 2.2버전을 기준 조건으로 설정한 이유는 해당 버전을 기준으로 강제 종료에 대한 API가 변경되었기 때문이다.

※ 2.2 이상 버전에서는 killBackgroundProcesses() 메서드로 프로세스를 종료할 수 있으나, 2.1 이하 버전에서는 restartPackage() 메서드로 프로세스 종료를 진행할 수 있다.

3. 예방 조치 방법

최근 유포되고 있는 악성 애플리케이션은 위와 같이 사용자 몰래 특정 악성 동작을 진행하는 트랜드가 주를 이루고 있다. 또한, 아직까지는  정밀한 기법을 통해 위와 같은 악성 동작을 수행하는 애플리케이션이 출현하지는 않고 있다. 다만, 현재와 같은 테스트 수준의 악성코드 구현을 통해 지속적으로 애플리케이션을 통한 악성 동작 POC(Proof of Concept)가 진행되고 있는 만큼 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하여 사용자 스스로 안전한 스마트폰 사용을 위해 주의를 기울이는 것이 스마트폰 보안을 위한 최선의 방법이될 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.AdSms.F