1. 개요
잉카인터넷 시큐리티 대응센터 대응팀에서는 2012년 01월 06일 국내 유명 공개자료실에서 개인 정보 유출 시도형 안드로이드용 악성파일이 배포되고 있는 것을 발견하였다. 이번에 보고된 안드로이드 앱은 2012년 새해를 축하하는 내용의 라이브 배경화면으로 구글 정식 마켓 및 국내 자료실을 통해서 배포되고 있는 것으로 확인되었다. 특히, 국내 자료실에서는 약 41명이 다운로드를 한 것으로 확인되었으며, 잉카인터넷 보안 이슈 대응 기록 중 안드로이드 악성파일이 국내에 상륙한 공식적인 첫 번째 사례로 집계 되었다.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
해당 안드로이드 앱은 현재 공식 안드로이드 마켓에서도 배포가 진행 중이며, 특히 국내 유명(포털) 자료실 등을 통해서도 다운로드 서비스가 진행되고 있는 상태이다. 잉카인터넷 대응팀은 해당 포털 사이트 보안팀에 관련 정보를 제공하여 조치할 수 있도록 협조 중에 있으며, 한국인터넷진흥원(KISA)에도 관련 정보를 신속히 제공한 상태이다.
최초 발견되었던 국내 공개 자료실에서는 해당 앱이 모두 제거된 상태이며, 구글 마켓에서는 해당 앱이 1.3 버전이 아닌 1.4 버전이 배포 중에 있다. 1.4 버전도 정밀 분석 결과 악성으로 판명되었으며, 추가 긴급 업데이트에 포함된 상태이다. 더불어 정보가 유출 시도되는 원격지 호스트는 접속이 차단된 상태이다.
2012년 01월 07일 구글 안드로이드 보안팀에서 해당 앱을 공식마켓에서 내린 상태로 확인됐다.
잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
☞ http://erteam.nprotect.com/237
안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
☞ http://erteam.nprotect.com/227
안드로이드 기반의 악성파일로 분류할 수 있는 형태가 아직까지는 개인용 컴퓨터의 악성파일과 같이 지능화되고 고도화된 형태로 발전되어 있지는 않지만, 개발자가 악의적으로 의도하지 않은 형태라도 사용자 동의없이 개인정보를 몰래 수집하거나 디바이스 정보 등을 외부로 유출시도하는 경우 악성으로 분류될 수 있음에 주의가 필요하다.
또한, ▶과도하게 불필요한 설치 권한(Permissions)을 요구하거나 ▶광고 및 사용자 통계 관리 등을 위한 단순한 목적의 정보 수집이라 할지라도 ▶개인의 사생활 정보 등을 사전에 특별한 허가없이 외부로 유출 시도 또는 수집할 경우에는 악의적인 앱으로 분류될 수 있다는 점을 반드시 고려해야 할 것으로 보여진다.
금번 발견된 안드로이드 앱은 위험도는 낮은 편이지만 이미 해외 제품에서도 유출형(Leaker) 악성으로 분류되어 진단/치료 기능이 포함되어 있는 상태이다. (※ 참고 : Android.Nyearleaker)
2. 국내 유포 사례
잉카인터넷 대응팀에서는 지금까지 해외에서 다수의 안드로이드 기반 악성파일이 유포 중인 것을 발견한 바 있지만, 국내 유명 자료실에서 공식적으로 배포하고 있는 사례는 처음으로 발견한 상태이다.
더불어 한글화된 서비스를 통해서도 다운로드를 안내하고 있기 때문에 사용자들이 아무 의심 없이 해당 앱을 설치할 수 있을 것으로 보인다. 참고로 아래 공개 자료실 서비스는 국내 유명 포털 사이트의 공개 자료실과도 연계하여 서비스되고 있으며, 현재 41명의 사용자가 다운로드 한 것으로 확인된다.
해당 앱은 현재 공식적인 안드로이드 개발 제작사를 통해서 배포되고 있는데, 사용자의 정보를 수집하기 위한 목적으로 별도의 기능을 포함시킨 것으로 추정되며, 이는 보안상 논란의 소지가 될 수 있다. 잉카인터넷 대응팀에서는 해당 앱의 코드를 상세히 분석한 후 최종적으로 악성파일로 분류하였다.
■ 설치 과정
- 구글 마켓이나, 국내 유명 자료실 등에서 다운로드 하고 설치가 가능하다.
- 설치 권한 요구
라이브 월페이퍼 형태로서 과도하게 불필요한 권한을 다수 요구한다.
"android.permission.INTERNET"
"android.permission.GET_TASKS"
"android.permission.RECEIVE_BOOT_COMPLETED"
"android.permission.VIBRATE"
"android.permission.ACCESS_COARSE_LOCATION"
"android.permission.ACCESS_FINE_LOCATION"
"android.permission.READ_PHONE_STATE"
"android.permission.ACCESS_NETWORK_STATE"
"android.permission.FLASHLIGHT"
"com.android.launcher.permission.INSTALL_SHORTCUT"
"com.android.browser.permission.WRITE_HISTORY_BOOKMARKS"
"com.android.browser.permission.READ_HISTORY_BOOKMARKS"
- 설치 화면
스마트 기기의 배경화면을 라이브 형태로 변경한다.
설치가 이뤄지면 다음과 같이 사용자의 단말기에서 정보 수집을 하고, 특정 호스트 주소로 PHP POST 방식을 이용해서 유출을 시도한다.
[수집 정보]
ⓐ Google Email 계정 정보 수집
ⓑ 스마트폰 고유 식별값을 취하기 위해 Android_id 값 수집(공장도 단계 단말기 고유 식별 ID)
ⓒ 설치된 패키지 리스트
ⓓ 국가코드 정보 수집
[유출 정보]
hxxp://(일부생략)pps.com/files/test2.php?email=[google Email 계정]&andid=[Android_id]&pkgname=[설치된 패키지 리스트]&country=[국가코드]
제작자는 위와 같이 test2.php 경로로 정보를 수집하도록 하고 있는데, 이것으로 짐작해 보아 사용자 정보 수집을 하기 위한 방법을 테스트하기 위한 목적으로 만들어 진 것으로 추정된다. 경중을 떠나서 개인정보를 수집하고 외부로 유출시도 하는 것 자체가 사회적으로 큰 문제이며, 무분별한 정보 수집이 보안상으로 큰 문제라는 점이 개발자들에게도 더 많은 공감대가 형성되는 환경이 필요하다.
아래 화면은 구글 이메일 주소와 안드로이드 아이디, 설치된 패키지 명, 국가코드 등을 수집하는 일부 내용이다.
다음 화면은 수집된 정보를 특정 호스트로 업로드 하는 기능의 일부 내용들이다.
아래의 그림은 감염된 스마트폰에서 수집된 정보가 유출되는 증상에 대한 실제 동적 디버깅 화면이다.
화면을 클릭하시면 확대된 이미지를 확인하실 수 있습니다.
3. 악성파일 대응법
잉카인터넷 대응팀에서는 해당 악성파일을 nProtect Mobile for Android 제품에 다음과 같이 긴급 업데이트를 하였고, 사용자들은 무료로 검사/치료를 수행할 수 있다.
진단명 :
- Trojan/Android.InfoStealer2012.A
- Trojan/Android.InfoStealer2012.B
스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]버전(version.dll)파일을 교체하는 악성파일 출현 (2) | 2012.01.18 |
---|---|
[주의]일본 음란 사이트에서 배포 중인 안드로이드 악성파일 발견 (2) | 2012.01.10 |
[주의]ws2help.dll 변장형 악성파일, 돌연변이로 재탄생? (0) | 2012.01.04 |
[주의]도움말 파일(HLP) 취약점을 통한 악성파일 전파 중 (0) | 2012.01.03 |
[주의]ws2help.dll 시스템 파일을 교체하는 악성파일 기승 (0) | 2012.01.02 |