1. 개 요
현재까지 발견되었던 안드로이드 악성 애플리케이션의 경우 대부분 중국 및 러시아 스마트폰 사용자들을 대상으로 제작 및 유포가 이루어지고 있었다. 그러나 최근 해외 보안 블로그를 통해 지금까지 별다른 감염 사례가 없었던 유럽의 다양한 국가들을 대상으로한 안드로이드 악성 애플리케이션 출현이 보고되어 화제가 되고 있다. 물론 해당 악성 애플리케이션의 기능 자체는 여타 다른 악성 애플리케이션의 기능과 별다른 차이점은 없으나, 그 감염 대상이 특정 국가를 벗어나 새로운 대상으로 옮겨갔다는 것이 주목할 필요가 있다.
2. 유포 경로 및 감염 증상
해당 악성 애플리케이션 또한, 지금까지의 안드로이드 악성 애플리케이션과 다를바 없이 블랙마켓 및 3rd Party 마켓 등을 통해 유포가 이루어지고 있다.
해당 악성 애플리케이션을 설치 시도할 경우 아래의 그림과 같이 특정 권한 요구 화면을 보여줄 수 있다.
※ 전체 권한
- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.USE_CREDENTIALS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.ACCESS_GPS"
- android:name="android.permission.ACCESS_LOCATION"
- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.USE_CREDENTIALS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.ACCESS_GPS"
- android:name="android.permission.ACCESS_LOCATION"
해당 악성 애플리케이션의 경우 위의 전체 권한과 같이 여러가지 권한을 포함하고 있으나, 설치 시는 위 그림과 같이 두개의 권한만을 보여주게 된다.
또한, 설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같은 아이콘을 가지게 되며, 실행 시 아래의 그림과 같은 특정 메시지를 화면상에 출력하게 된다.
▶ 실행 아이콘
▶ 실행 화면
해당 악성 애플리케이션은 실행 시 위 그림과 같이 특정 메시지를 출력하는것 이외에는 별다른 동작을 하지 않는다. 다만, 내부 코드를 들여다 보면 해당 메시지 출력외에 아래와 같은 악성기능 동작을 확인할 수 있다.
※ 악성 동작
- 사용자 몰래 SIM카드의 국가 코드를 통해 특정 조건에 맞추어 프리미엄 SMS 과금 서비스 이용
- 사용자 몰래 SIM카드의 국가 코드를 통해 특정 조건에 맞추어 프리미엄 SMS 과금 서비스 이용
위와 같은 악성동작을 하기위해 악성 애플리케이션은 내부에 한개의 리시버(SMSReceiver)를 등록하고 있으며, 높은 우선순위 책정을 통해 항상 동작될 수 있게 설정되어 있다.
▶ 해당 리시버는 아래와 같은 특정 Action이 발생할 시 동작된다.
※ 체크 항목
- "android.provider.Telephony.SMS_RECEIVED"
- "android.provider.Telephony.SMS_RECEIVED"
악성 애플리케이션이 실행되면 우선 위의 실행화면과 같이 특정 메시지("ERROR: Android version is not compatible")를 무조건적으로 출력하게되며, 해당 스마트폰의 SIM카드에서 국가코드에 대한 정보를 수집하게된다.
악성 애플리케이션은 내부에 아래의 일부 코드와 같이 "프랑스, 벨기에, 스위스, 룩셈부르크, 캐나다, 독일, 스페인, 영국" 등 8개국에 대한 국가코드 정보를 담고 있으며, 특정 조건과 일치할 경우 해당 국가별 프리미엄 SMS 번호로 서비스 사용을 위한 SMS 발송을 사용자 몰래 시도하게 된다.
▶ 국가코드와 관련한 조건 체크 코드
▶ 국가코드 조건 체크 후 프리미엄 SMS 발송 코드
위 과정을 통해 사용자 몰래 프리미엄 SMS가 발송되면, 해당 프리미엄 서비스 측에서는 요청된 사항에 대해 SMS형태로 해당 스마트폰에 답신을 하게된다. 이때, 악성 애플리케이션에 등록된 리시버는 수신되는 SMS를 체크하여 아래의 코드와 같이 특정 조건을 충족할 경우 프리미엄 서비스 측에서 받은 SMS를 특정 전화번호(0646112264)로 다시 포워딩한 후 포워딩한 전화번호(0646112264)를 통해 수신받는 SMS를 모두 삭제처리 한다.
위와 같은 동작이 수행될 경우 프리미엄 서비스 측에서 수신받는 SMS는 모두 삭제가 이루어지기 때문에 사용자는 이러한 일련의 악성 동작을 인지할 수 없게된다.
3. 예방 조치 방법
위와 같은 악성 애플리케이션은 기존에 발견되었던 SMS Send 관련 악성 애플리케이션과 기능자체는 별다른 차이점이 없다. 다만, 공격 대상이 더이상 러시아, 중국 등의 특정 국가만의 사용자가 아닌 다양한 국가의 사용자들을 대상으로 하였다는 점이 주목할만하다.
이러한 추세가 이어진다면 유럽 및 특정 국가 뿐만 아니라 다양한 형태의 공격기법을 통해 세계 각국의 스마트폰 사용자들을 대상으로 유포가 이루어질 수 있다. 지속적으로 출현하고 있는 여러가지 악성 애플리케이션에 감염될 경우 금전적 손실 등 다양한 피해를 유발할 수 있으므로, 사용자들은 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 안전한 스마트폰 사용을 위한 최선의 방법이 될 수 있을 것이다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발 (1) | 2011.12.16 |
---|---|
[정보]다국적 대상의 안드로이드 기반 악성 앱 발견 (0) | 2011.12.14 |
[정보]안드로이드 기반 모바일 악성 파일 집계 현황 (0) | 2011.11.18 |
[정보]다양한 국가를 대상으로한 과금 유발 안드로이드 악성 앱 (0) | 2011.11.14 |
[정보]Battery Doctor로 위장된 안드로이드 악성 앱 등장 (0) | 2011.10.20 |