분석 정보/모바일 분석 정보

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발

TACHYON & ISARC 2011. 12. 16. 14:54

1. 개 요 


잉카인터넷 시큐리티 대응센터 대응팀에서는 안드로이드 악성파일들의 선제적 대응 마련을 위하여 2011년 중순 경부터 안드로이드 운영체제 기반의 파일들을 추적하고 수집하여, 악성 유사도 정책에 따라 사전에 알려지지 않은 악성파일들을 자동으로 분석하고 분류할 수 있는 자동화 시스템을 개발하여 운용하고 있다. 자동화 시스템을 통해서 현재까지 해외 블랙마켓 등에서 약 2,000 여종의 새로운 안드로이드 악성파일을 확보한 상태이다. 이를 통해서 해외에서는 이미 안드로이드 스마트 기기 사용자를 대상으로 하는 악의적인 앱들이 우리가 예상하는 것 이상으로 증가하고 있다는 것이 증명되었다.

  

안드로이드 악성파일이 2011년 하반기에 들면서 폭발적으로 증가하고 있다는 내용은 이미 여러차례 공개된 바 있지만, 아직까지 한국인을 감염 대상으로 하는 안드로이드 악성파일의 실체는 공식적으로 보고된 사례는 없다. 그렇기 때문인지 아직까지도 국내에서는 안드로이드 모바일 기기에 대한 직접적인 보안 위협을 가깝게 느끼는 일반 사용자는 상대적으로 적은 편으로 보인다. 

다국적 대상의 안드로이드 기반 악성 앱 발견
http://erteam.nprotect.com/226

안드로이드 악성 애플리케이션 유럽 상륙
http://erteam.nprotect.com/220

안드로이드 기반 모바일 악성 파일 집계 현황
http://erteam.nprotect.com/215


잉카인터넷 대응팀에서는 2011년 초반에 점차 안드로이드 기반 보안 위협이 가중될 것으로 예상하고, 자체적으로 다양한 대응 시스템을 마련하고 있으며, 그 중에도 알려지지 않은 악의적인 애플리케이션을 자동으로 모니터링하고 분석할 수 있는 시스템을 개발하여 새로운 안드로이드 악성 의심 앱들을 다량으로 확보하고 있다.

2. 안드로이드 파일 수집 현황

2011년 12월 06일 구글은 안드로이드 마켓 누적 다운로드 수가 100억번을 돌파했다고 발표한 바 있으며, 안드로이드용 앱들은 구글 공식 마켓 이외에도 전 세계의 많은 서드파티(Third Party) 마켓 등을 통해서도 자유롭게 배포가 되고 있다.

안드로이드 마켓 다운로드 현황


이번 구글(Google)측의 발표에 의하면 최대로 앱을 많이 다운로드 받은 국가에 흥미롭게도 대한민국이 1위에 랭크되었다는 점이고, 그 만큼 대한민국이 스마트 기기의 보급율도 높고 이용자도 많다는 점을 알 수 있다. 또한, 인구가 많은 중국이 순위에 포함되지 않았다는 점은 이례적이지만 반대의 의미로 해석하자면 서드파티 마켓 이용자가 많다는 것도 충분히 예상이 가능한 부분이다.

이처럼 대한민국의 안드로이드 이용자가 많다는 점은 악성파일을 개발하는 조직이나 사람들에게 점차 주요 표적이 될 수 있으며, 보안 위협은 항상 이러한 구조적 환경에 비례적으로 적응하면서 공격 트랜드가 심화된다는 점에서 매우 주시해야 할 부분이다.

구글 마켓에서 Top 10 Most App-crazed Countries 순위는 다음과 같다.

01. 대한민국(Republic of Korea)
02. 홍콩(Hong Kong)
03. 대만(Taiwan)
04. 미국(United States)
05. 싱가폴(Singapore)
06. 스웨덴(Sweden)
07. 이스라엘(Israel)
08. 덴마크(Denmark)
09. 네덜란드(Netherlands)
10. 노르웨이(Norway)


안드로이드 마켓 다운로드 국가 순위


잉카인터넷 대응팀에서는 서드파티 마켓이 활발하게 운영되는 해외(중국, 러시아 등)에서 안드로이드 악성파일이 빈번히 출현한다는 정보를 기반으로 인터넷으로 불특정 다수에게 배포 중인 안드로이드 파일을 자동으로 수집하고 분석하여 실제 어느정도 악성파일이 존재하는지 조사를 꾸준히 진행하고 있으며, 다수의 신종 악성파일을 탐지하는 등의 높은 성과를 거두고 있다.

중국 서드파티 마켓 화면


안드로이드 파일 자동 크롤링 시스템에서는 최근까지 대략 153Gb 용량에 약 5만 7천여개의 안드로이드용 파일을 수집하였고, 매일 매일 새로운 앱이 추가로 다운로드 되고 있다.

이에 따라 지속적으로 관제 영역 및 처리 용량이 증대될 예정이며, 2012년에는 국내 서드파티 마켓 등에 대한 대응 범위도 확대할 계획이다.

안드로이드 파일을 자동으로 수집한 현황


다음 화면은 대응팀에서 운용중인 안드로이드 파일 자동 수집 시스템에서 해외 인터넷 사이트에 등록된 신규 파일을 자동으로 다운로드하고 있는 모습이다.

이 시스템을 통해서 다수의 안드로이드용 파일을 빠르고 정확하게 수집하고 대응할 수 있다.

안드로이드 파일 자동 다운로드 시스템 화면


지금까지 자동화 시스템으로 수집된 파일들 중 악성으로 분류된 파일은 약 2,000여개로 파악되고 있으며, 기존에 널리 알려져 있던 Geinimi, ADRD, BaseBrid, GoldDream, DroidKungFu, SendSMS, FakeInstall, GingerMaster, Rooter 등의 변종이 매우 많이 유포되고 있다는 것을 실제로 확인할 수 있었으며, 기존에 알려져 있지 않고 분석이 필요한 형태도 다수 확보되어 있는 상태이다.

다음은 악성으로 분류되어 집계된 파일들이 보관된 폴더의 등록 정보이며, 추가적인 분석 과정을 거친 후에 nProtect Mobile for ANDROID 제품에 치료 기능이 탑재될 예정에 있다.

분류된 안드로이드 기반 악성파일 현황


더불어 잉카인터넷 대응팀에서는 기존에 알려졌던 안드로이드 기반 악성파일의 특성을 분석하여 자동화 분석 시스템도 함께 개발하여 운용을 하고 있다. 이를 통해서 악의적 코드 유사도가 높은 변종 파일을 자동적으로 분류하고 개별 분석에 소요되는 많은 시간을 80% 이상 단축시키는데 성공하였다.

아래 화면은 자동화 분석 시스템에 의해서 분석 대상파일을 자동으로 Decompile 및 분석을 하여 악성 샘플로 분류한 이미지이다.

제일 먼저 코드 분석을 위해서 Manifest 로그와 Decompile 한 코드를 추출하며, 추출된 로그 파일의 코드상에 잉카인터넷 대응팀 자체적으로 수립하여 운용중인 악성 패턴에 매칭되는 부분을 비교하여 최종 조건이 일치할 경우 악성 샘플 폴더로 별도 보관하게 된다. 이 곳에서 분류되는 파일은 98% 이상이 악성으로 판명되고 있을 만큼 높은 탐지율을 기록하고 있다.

안드로이드 악성파일 자동 분석 시스템


3. 마무리

아직 해외 사례이지만 안드로이드 기반 악성파일들이 급격히 증가되고 있다는 점은  매우 주목할만하며, 악의적인 공격자들이 다양한 대상을 노리고 있고, 점차 다국적으로 발전하고 있다는 점에서 국내 이용자들도 각별한 주의가 필요하다.

아래 이미지는 실제 알려진 악성 안드로이드 파일들을 nProtect 안드로이드 보안 제품에서 탐지해 낸 화면 중 일부이다.


지속적으로 출현하고 있는 여러가지 악성 애플리케이션에 감염될 경우 금전적 손실 등 다양한 피해를 유발할 수 있으므로, 사용자들은 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 안전한 스마트폰 사용을 위한 최선의 방법이 될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.