1. 개요
2. 실제 유포 과정 공개
중국 및 러시아 등에는 안드로이드기반의 설치 파일(APK)을 자유롭게 공유하고 다운로드할 수 있는 커뮤니티형 웹 사이트들이 다양하게 존재하며, 매우 다양한 안드로이드 애플리케이션(앱)이 불특정 다수에게 공개되고 있다. 그렇다보니 정상적인 파일들 사이에 은밀하고 조용히 악성파일들이 몰래 숨겨져 있는 경우가 증가하고 있다.
잉카인터넷 대응팀은 2011년도에 안드로이드 기반 악성 앱 자동 탐지 및 분석 시스템을 자체 개발하여 운용 중에 있으며, 이를 통해서 다양한 안드로이드 악성파일 유포 현황을 실시간 모니터링하고, 새롭게 발견된 안드로이드 악성파일을 신속하게 nProtect Mobile for ANDROID 제품에 치료 기능을 수시로 업데이트하고 있다.
▣ 실제 사례
다음은 실제 중국에서 운영중인 안드로이드 마켓의 일부 화면이며, 사용자들에게 인기가 많은 다양한 애플리케이션이 공개된 것을 확인할 수 있다. (악성파일의 직간접적인 유포지 공개를 엄격하게 제한하기 위해서 부분적으로 모자이크 처리를 하였다.)
대부분은 정상적인 안드로이드 프로그램이지만, 일부 악성파일이 아무런 제약없이 정상 애플리케이션과 함께 사용자의 다운로드를 기다린다.
사용자가 특정 앱을 선택하게 되면, 다음과 같이 별도의 다운로드 서비스를 제공하는 정상적인 인터넷 주소로 이동하게 된다.
해당 웹 페이지에 존재하는 QR(Quick Response) 코드를 이용해서 스마트폰에서 직접 다운로드 및 설치가 가능하며, 웹 페이지에 있는 다운로드 기능을 통해서도 컴퓨터에 쉽게 받을 수 있도록 구성되어 있다.
다운로드가 된 악성파일은 변종이 다수 존재하는 KungFu 종류로 확인되었으며, 다음과 같이 다양한 단말기 정보 등을 수집 시도한다.
수집된 단말기 및 개인정보는 해외의 특정 호스트로 사용자 몰래 전송을 시도하게 된다.
해당 악성파일은 nProtect Mobile for ANDROID 최신 버전에서 다음과 같이 무료로 진단/치료할 수 있다.
3. 마무리
현재 해외에서는 안드로이드 애플리케이션을 공유하는 커뮤니티와 블랙마켓 들이 매우 활발하게 운영되고 있고, 이러한 곳을 통해서 안드로이드용 악성파일이 꾸준히 은밀하게 유포되고 있다. 잉카인터넷 대응팀은 매주 수백종의 새로운 안드로이드 악성파일을 수집하고 신속하게 패턴 업데이트를 제공하고 있으므로, 사용자들은 최신으로 업데이트하여 정기적으로 검사를 수행하는 노력이 필요하다.
스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
안드로이드 기반 악성파일 국내 자료실에서 배포
☞ http://erteam.nprotect.com/239
안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
☞ http://erteam.nprotect.com/227
잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
☞ http://erteam.nprotect.com/237
☞ http://erteam.nprotect.com/239
안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
☞ http://erteam.nprotect.com/227
잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
☞ http://erteam.nprotect.com/237
2. 실제 유포 과정 공개
중국 및 러시아 등에는 안드로이드기반의 설치 파일(APK)을 자유롭게 공유하고 다운로드할 수 있는 커뮤니티형 웹 사이트들이 다양하게 존재하며, 매우 다양한 안드로이드 애플리케이션(앱)이 불특정 다수에게 공개되고 있다. 그렇다보니 정상적인 파일들 사이에 은밀하고 조용히 악성파일들이 몰래 숨겨져 있는 경우가 증가하고 있다.
잉카인터넷 대응팀은 2011년도에 안드로이드 기반 악성 앱 자동 탐지 및 분석 시스템을 자체 개발하여 운용 중에 있으며, 이를 통해서 다양한 안드로이드 악성파일 유포 현황을 실시간 모니터링하고, 새롭게 발견된 안드로이드 악성파일을 신속하게 nProtect Mobile for ANDROID 제품에 치료 기능을 수시로 업데이트하고 있다.
▣ 실제 사례
다음은 실제 중국에서 운영중인 안드로이드 마켓의 일부 화면이며, 사용자들에게 인기가 많은 다양한 애플리케이션이 공개된 것을 확인할 수 있다. (악성파일의 직간접적인 유포지 공개를 엄격하게 제한하기 위해서 부분적으로 모자이크 처리를 하였다.)
대부분은 정상적인 안드로이드 프로그램이지만, 일부 악성파일이 아무런 제약없이 정상 애플리케이션과 함께 사용자의 다운로드를 기다린다.
사용자가 특정 앱을 선택하게 되면, 다음과 같이 별도의 다운로드 서비스를 제공하는 정상적인 인터넷 주소로 이동하게 된다.
해당 웹 페이지에 존재하는 QR(Quick Response) 코드를 이용해서 스마트폰에서 직접 다운로드 및 설치가 가능하며, 웹 페이지에 있는 다운로드 기능을 통해서도 컴퓨터에 쉽게 받을 수 있도록 구성되어 있다.
다운로드가 된 악성파일은 변종이 다수 존재하는 KungFu 종류로 확인되었으며, 다음과 같이 다양한 단말기 정보 등을 수집 시도한다.
- IMEI (Device ID)
- IMSI (Sim Serial Number)
- 전화번호 (Line Number)
- 통신망 사업자 정보 (Network Operator Name)
- 단말기 제조사 및 모델명 (Brand Model)
- 안드로이드 SDK 버전 (Android OS Build Version)
- IMSI (Sim Serial Number)
- 전화번호 (Line Number)
- 통신망 사업자 정보 (Network Operator Name)
- 단말기 제조사 및 모델명 (Brand Model)
- 안드로이드 SDK 버전 (Android OS Build Version)
수집된 단말기 및 개인정보는 해외의 특정 호스트로 사용자 몰래 전송을 시도하게 된다.
해당 악성파일은 nProtect Mobile for ANDROID 최신 버전에서 다음과 같이 무료로 진단/치료할 수 있다.
3. 마무리
현재 해외에서는 안드로이드 애플리케이션을 공유하는 커뮤니티와 블랙마켓 들이 매우 활발하게 운영되고 있고, 이러한 곳을 통해서 안드로이드용 악성파일이 꾸준히 은밀하게 유포되고 있다. 잉카인터넷 대응팀은 매주 수백종의 새로운 안드로이드 악성파일을 수집하고 신속하게 패턴 업데이트를 제공하고 있으므로, 사용자들은 최신으로 업데이트하여 정기적으로 검사를 수행하는 노력이 필요하다.
스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| [정보]실행 아이콘 없는 안드로이드 앱의 허와 실 (2) | 2012.04.25 |
|---|---|
| [이슈]전화오면 일어나는 좀비폰, 한국 이용자 겨냥 시도? (2) | 2012.04.18 |
| [안내]잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지 (0) | 2012.01.05 |
| [안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발 (1) | 2011.12.16 |
| [정보]다국적 대상의 안드로이드 기반 악성 앱 발견 (0) | 2011.12.14 |