1. 개 요
2. 감염 증상
해당 악성 애플리케이션은 해외를 중심으로 유포되고 있으며, 설치 시 아래의 그림과 같이 특정 권한 등을 요구하게 된다.
해당 악성 애플리케이션은 설치가 완료되면 아래와 같은 아이콘을 가지게 되며, 해당 아이콘을 통해 애플리케이션을 실행하게 되면 아래의 그림과 같은 스마트폰 관리 애플리케이션으로 위장된 화면을 보여주게 된다.
■ 아이콘 화면
■ 실행 화면
위와 같은 설치 과정 및 실행이 모두 완료되면 해당 애플리케이션은 아래와 같은 악의적인 동작을 수행하게 된다.
▶ 스마트폰 단말기 기기정보 수집
해당 악성 애플리케이션은 아래의 일부 코드를 통해 IMEI, 단말기 제조사, 모델 등의 정보를 수집하게된다.
수집된 정보는 위의 일부 코드와 같이 MD5 해쉬화 과정을 통해 암호화 되어 외부로 유출 시도 된다.
▶ 사용자의 이름 및 이메일 계정 정보 수집
해당 악성 애플리케이션은 아래의 일부 코드를 통해 사용자의 이름 및 구글 등 이메일 계정에 대한 수집 과정을 진행하게 된다.
▶ 수집된 정보의 외부 유출 시도
또한, 해당 악성 애플리케이션은 위와 같이 수집된 정보들을 아래의 특정 URL을 통해 외부로 유출 시도를 진행할 수 있다.
3. 예방 조치 방법
위와 같이 정상 애플리케이션으로 위장된 형태의 악성 애플리케이션은 일반 사용자의 경우 육안상으로 악성 여부를 쉽게 판단하기가 어렵다. 나날이 민감해지고 있는 개인 정보의 유출과 관련해 안전한 스마트폰 사용을 위해서는 아래의 "스마트폰 보안 관리" 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있을 것이다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-Spy/Android.FakeBatteryDoctor.A
2. 감염 증상
해당 악성 애플리케이션은 해외를 중심으로 유포되고 있으며, 설치 시 아래의 그림과 같이 특정 권한 등을 요구하게 된다.
※ 전체 권한
- android:name="android.permission.GET_TASKS"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.BLUETOOTH"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.GET_ACCOUNTS"
- android:name="android.permission.GET_TASKS"
- android:name="android.permission.RESTART_PACKAGES"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.BLUETOOTH"
- android:name="android.permission.CHANGE_WIFI_STATE"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WRITE_SETTINGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.RECEIVE_BOOT_COMPLETED"
- android:name="android.permission.VIBRATE"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.GET_ACCOUNTS"
해당 악성 애플리케이션은 설치가 완료되면 아래와 같은 아이콘을 가지게 되며, 해당 아이콘을 통해 애플리케이션을 실행하게 되면 아래의 그림과 같은 스마트폰 관리 애플리케이션으로 위장된 화면을 보여주게 된다.
■ 아이콘 화면
■ 실행 화면
위와 같은 설치 과정 및 실행이 모두 완료되면 해당 애플리케이션은 아래와 같은 악의적인 동작을 수행하게 된다.
※ 악의적인 동작
- 스마트폰 단말기 기기정보 수집
- 사용자의 이름 및 이메일 계정 정보 수집
- 수집된 정보의 외부 유출 시도
- 스마트폰 단말기 기기정보 수집
- 사용자의 이름 및 이메일 계정 정보 수집
- 수집된 정보의 외부 유출 시도
▶ 스마트폰 단말기 기기정보 수집
해당 악성 애플리케이션은 아래의 일부 코드를 통해 IMEI, 단말기 제조사, 모델 등의 정보를 수집하게된다.
수집된 정보는 위의 일부 코드와 같이 MD5 해쉬화 과정을 통해 암호화 되어 외부로 유출 시도 된다.
▶ 사용자의 이름 및 이메일 계정 정보 수집
해당 악성 애플리케이션은 아래의 일부 코드를 통해 사용자의 이름 및 구글 등 이메일 계정에 대한 수집 과정을 진행하게 된다.
▶ 수집된 정보의 외부 유출 시도
또한, 해당 악성 애플리케이션은 위와 같이 수집된 정보들을 아래의 특정 URL을 통해 외부로 유출 시도를 진행할 수 있다.
※ 외부 유출 시도 URL
☞ http://push.(생략).com/push(생략)
☞ http://push.(생략).com/push(생략)
3. 예방 조치 방법
위와 같이 정상 애플리케이션으로 위장된 형태의 악성 애플리케이션은 일반 사용자의 경우 육안상으로 악성 여부를 쉽게 판단하기가 어렵다. 나날이 민감해지고 있는 개인 정보의 유출과 관련해 안전한 스마트폰 사용을 위해서는 아래의 "스마트폰 보안 관리" 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있을 것이다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-Spy/Android.FakeBatteryDoctor.A
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
[정보]안드로이드 기반 모바일 악성 파일 집계 현황 (0) | 2011.11.18 |
---|---|
[정보]다양한 국가를 대상으로한 과금 유발 안드로이드 악성 앱 (0) | 2011.11.14 |
[주의]E-mail 계정, 비밀번호 탈취를 시도하는 안드로이드 악성 애플리케이션 출현 (0) | 2011.10.14 |
[정보]사용자 몰래 동작되는 안드로이드 악성 애플리케이션 유포 증가 추세 (0) | 2011.10.13 |
[주의]안드로이드 진저브레드 취약점을 악용한 악성 애플리케이션 (0) | 2011.08.23 |