1. 개요
특정 포털 사이트에서는 커뮤니티 게시판에 첨부되어 있는 파일을 다운로드 시도할 때 악성파일 여부를 체크하는 기능을 제공하고 있는데, 현재 유포 중인 악성 안드로이드 파일을 안전한 파일로 평가해 주고 있어 안드로이드 기반의 파일에 대한 보안 검증 절차를 강화해야 할 것으로 보인다.
잉카인터넷 대응팀은 방송통신위원회와 한국인터넷진흥원(KISA)이 민간업체와 함께 운영하는 스마트폰 정보보호 민관 합동대응반에 해당 내용을 긴급하게 공유하였으며, 유포지에 대한 신속한 차단 공조 체제를 진행하고 있다.
☞ http://erteam.nprotect.com/257
또한, 동일한 커뮤니티에서는 또 다른 등록자가 별도의 게시판에 등록한 배경화면 관련 앱 중에서도 악성파일이 추가 발견되기도 하였다.
■ A 포털사 인터넷 카페 ②
동일한 포털 사이트에서 운영중인 또 다른 커뮤니티 사이트에서도 또 다른 악성파일이 발견되었는데, 이곳은 약 70 만명의 회원이 가입되어 있는 곳이다. 이곳에서는 스마트폰으로 사진을 찍을 때 소리가 나지 않도록 하는 앱에서 악성파일이 발견되었고, 현재까지 약 3,000 여명이 해당 게시글을 조회한 상태이다.
■ A 포털사 인터넷 카페 ③
A 포털사의 3번째 인터넷 카페는 회원수가 약 50만명 정도 가입되어 있으며, 유포 중인 악성파일은 A 포털사 인터넷 카페 1에서 발견된 것과 동일한 것이 유포 중인 것으로 파악되었다.
■ B 포털사 인터넷 카페 ①
또 다른 B 포털사가 운영하는 스마트폰 정보 공유 커뮤니티 카페는 회원수가 약 30만명 정도 가입되어 있는 곳이며, A 포털사에서 유포 중인 것이 동일하게 첨부되어 사용자들에게 유통되고 있는 것으로 발견되었다.
이 커뮤니티에서는 게시글에 첨부된 파일을 다운로드 시도시 다음과 같이 악성파일 여부를 체크하는 기능이 제공 중이나, 해당 악성파일은 안전한 파일이라고 안내하고 있어 사용자가 정상적으로 파일 받기가 가능하다.
■ 스마트폰 전문 인터넷 커뮤니티
다양한 스마트폰 팁과 정보들을 자유롭게 공유하고 의견을 교류하는 회원제 일반 커뮤니티 사이트에서도 포털 카페 사이트에서 유포 중인 것과 동일한 악성파일들이 다른 사용자에 의해서 배포되고 있는 것이 발견되었다.
회원을 가입하면 첨부된 파일을 다운로드할 수 있으며, 포인트제로 운영을 하고 있다.
■ 토렌트(torrent) 다운로드 사이트
국내의 파일 공유 서비스인 특정 토렌트 사이트에서도 포털 사이트를 통해서 유포 중인 동일한 악성 파일이 동일하게 유통되고 있는 것이 발견되었다.
3. 결론
유포된 파일들은 해외 모바일 전문 광고 Air Push 라는 형태의 광고성 기능을 이용해서 개인정보를 수집하는 형태의 악성파일이며, 해외 안드로이드 보안 제품 중에는 해당 모듈만 전용으로 탐지하는 기능을 제공하는 보안 제품도 존재한다.
악성파일 중에는 이러한 형태를 Adware 라는 형태로 분류하기도 하며, 개인정보를 불법적으로 수집 시도하여 또 다른 수익모델로 악용하는 경우는 Trojan 으로 재분류될 수 도 있다. 국내의 경우 개인정보보호법과 관련하여 모바일 제품들의 과도한 정보 수집에 대한 기준안 마련도 시급해 보인다.
수집되는 단말기 개인정보는 아래 코드 분석 이미지와 같고, 안드로이드 단말기 환경에 따라 코드 실행이 정상적으로 작동되지 않을 수 있을 것으로 분석되어진다. 이처럼 해외의 안드로이드 악성파일이 국내에 다수 유입되고 있다는 점에서 앞으로 또 다른 악성파일이 언제든지 유입되어 전파될 가능성은 매우 높아졌다는 것을 반증하는 사례이기도 하다.
- 국가코드명
- 통신망 사업자 번호
- 전화번호
- IMEI (International Mobile Equipment Identity)
- 제조사
잉카인터넷 대응팀은 국내에서도 안드로이드 악성파일이 실제로 유입되어 사용자가 인지하지 못하는 동안 다양한 공유채널을 통해서 간접 유포 및 감염이 이뤄지고 있는 것을 공식적으로 발견한 상태이다. 그러므로 안드로이드 기반 단말기를 사용하는 이용자들은 nProtect Mobile for ANDROID 제품을 최신버전으로 업데이트하여 정기적으로 악성파일 존재 여부를 체크하는 습관이 필요하다.
nProtect Mobile for ANDROID 제품은 안드로이드 Play 스토어 마켓을 통해서 무료로 설치 및 사용이 가능하며, 현재까지 약 6,000 여종의 안드로이드 악성파일을 탐지하고 치료할 수 있는 기능을 보유하고 있으며, 새로운 악성파일을 수시로 업데이트하고 있다.
스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
특정 포털 사이트에서는 커뮤니티 게시판에 첨부되어 있는 파일을 다운로드 시도할 때 악성파일 여부를 체크하는 기능을 제공하고 있는데, 현재 유포 중인 악성 안드로이드 파일을 안전한 파일로 평가해 주고 있어 안드로이드 기반의 파일에 대한 보안 검증 절차를 강화해야 할 것으로 보인다.
잉카인터넷 대응팀은 방송통신위원회와 한국인터넷진흥원(KISA)이 민간업체와 함께 운영하는 스마트폰 정보보호 민관 합동대응반에 해당 내용을 긴급하게 공유하였으며, 유포지에 대한 신속한 차단 공조 체제를 진행하고 있다.
☞ http://erteam.nprotect.com/257
● 안드로이드 기반 악성파일 국내 자료실에서 배포
☞ http://erteam.nprotect.com/239
● 안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
☞ http://erteam.nprotect.com/227
● 잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
☞ http://erteam.nprotect.com/237
2. 유포 현황 및 내용
최근까지 잉카인터넷 대응팀이 파악한 바에 의하면 국내 포털 사이트에서 운영하는 커뮤니티 사이트를 포함해서 스마트폰 전문 인터넷 커뮤니티에서도 악성파일이 유포 중인 것을 다수 확인한 상태이다. 또한, 국내 파일 공유 서비스인 Torrent 사이트에서도 악성파일이 유포 중인 것도 확인한 상태이다.
지금까지는 국내에 안드로이드 악성파일이 존재할 가능성을 매우 낮게 점쳐왔지만, 잉카인터넷 대응팀이 파악한 바에 의하면 매우 폭 넓게 유포 중인 것을 공식적으로 확인한 상태이다.
■ A 포털사 인터넷 카페 ①
회원수가 약 100만명에 육박하는 이곳은 안드로이드 관련된 유명 커뮤니티 사이트로 다수의 안드로이드 파일들이 배포되고 있다. 이 중에 특정 게임앱이 악의적인 종류로 확인되었는데, 현재까지 약 2,700 여명이 해당 게시물을 열람한 상태이다.
해당 앱은 중국 모바일 앱을 전문적으로 공유하는 사이트를 통해서 국내에 유입된 것으로 추정되는데, 국내 특정 사용자가 중국 사이트에서 악성앱을 정상 프로그램으로 오인하고 유통시킨 것으로 추정된다.
또한, 동일한 커뮤니티에서는 또 다른 등록자가 별도의 게시판에 등록한 배경화면 관련 앱 중에서도 악성파일이 추가 발견되기도 하였다.
■ A 포털사 인터넷 카페 ②
동일한 포털 사이트에서 운영중인 또 다른 커뮤니티 사이트에서도 또 다른 악성파일이 발견되었는데, 이곳은 약 70 만명의 회원이 가입되어 있는 곳이다. 이곳에서는 스마트폰으로 사진을 찍을 때 소리가 나지 않도록 하는 앱에서 악성파일이 발견되었고, 현재까지 약 3,000 여명이 해당 게시글을 조회한 상태이다.
■ A 포털사 인터넷 카페 ③
A 포털사의 3번째 인터넷 카페는 회원수가 약 50만명 정도 가입되어 있으며, 유포 중인 악성파일은 A 포털사 인터넷 카페 1에서 발견된 것과 동일한 것이 유포 중인 것으로 파악되었다.
■ B 포털사 인터넷 카페 ①
또 다른 B 포털사가 운영하는 스마트폰 정보 공유 커뮤니티 카페는 회원수가 약 30만명 정도 가입되어 있는 곳이며, A 포털사에서 유포 중인 것이 동일하게 첨부되어 사용자들에게 유통되고 있는 것으로 발견되었다.
이 커뮤니티에서는 게시글에 첨부된 파일을 다운로드 시도시 다음과 같이 악성파일 여부를 체크하는 기능이 제공 중이나, 해당 악성파일은 안전한 파일이라고 안내하고 있어 사용자가 정상적으로 파일 받기가 가능하다.
■ 스마트폰 전문 인터넷 커뮤니티
다양한 스마트폰 팁과 정보들을 자유롭게 공유하고 의견을 교류하는 회원제 일반 커뮤니티 사이트에서도 포털 카페 사이트에서 유포 중인 것과 동일한 악성파일들이 다른 사용자에 의해서 배포되고 있는 것이 발견되었다.
회원을 가입하면 첨부된 파일을 다운로드할 수 있으며, 포인트제로 운영을 하고 있다.
■ 토렌트(torrent) 다운로드 사이트
국내의 파일 공유 서비스인 특정 토렌트 사이트에서도 포털 사이트를 통해서 유포 중인 동일한 악성 파일이 동일하게 유통되고 있는 것이 발견되었다.
인터넷을 통해서 해외 안드로이드 마켓에서 국내로 유입되어 공유가 시작된 안드로이드 앱들은 이렇듯 여러 경로를 거쳐서 다양하게 배포되고 있는 상황이다. 따라서 악성파일이 유명 사이트에 공유가 되면 연쇄적으로 공유가 가능하게 되는 구조로 파악되었다. 그러므로 하나의 악성파일이 여러 경로를 통해 불특정 다수에게 감염이 될 가능성이 높을 것으로 예상된다.
3. 결론
유포된 파일들은 해외 모바일 전문 광고 Air Push 라는 형태의 광고성 기능을 이용해서 개인정보를 수집하는 형태의 악성파일이며, 해외 안드로이드 보안 제품 중에는 해당 모듈만 전용으로 탐지하는 기능을 제공하는 보안 제품도 존재한다.
악성파일 중에는 이러한 형태를 Adware 라는 형태로 분류하기도 하며, 개인정보를 불법적으로 수집 시도하여 또 다른 수익모델로 악용하는 경우는 Trojan 으로 재분류될 수 도 있다. 국내의 경우 개인정보보호법과 관련하여 모바일 제품들의 과도한 정보 수집에 대한 기준안 마련도 시급해 보인다.
잉카인터넷 대응팀은 단순 광고 기능외에 ▶사용자의 개인정보를 수집하여 외부로 유출을 시도하는 경우와 ▶불필요하게 과도한 설치 권한(퍼미션)을 요구하는 등 보안상 침해 우려가 있는 경우 모두 악성파일로 분류하고 있으며, 해외의 Anti-Virus 제품들도 이러한 형태를 악성으로 분류하는 쪽으로 정책을 확대 개선하고 있다.
수집되는 단말기 개인정보는 아래 코드 분석 이미지와 같고, 안드로이드 단말기 환경에 따라 코드 실행이 정상적으로 작동되지 않을 수 있을 것으로 분석되어진다. 이처럼 해외의 안드로이드 악성파일이 국내에 다수 유입되고 있다는 점에서 앞으로 또 다른 악성파일이 언제든지 유입되어 전파될 가능성은 매우 높아졌다는 것을 반증하는 사례이기도 하다.
- 국가코드명
- 통신망 사업자 번호
- 전화번호
- IMEI (International Mobile Equipment Identity)
- 제조사
잉카인터넷 대응팀은 국내에서도 안드로이드 악성파일이 실제로 유입되어 사용자가 인지하지 못하는 동안 다양한 공유채널을 통해서 간접 유포 및 감염이 이뤄지고 있는 것을 공식적으로 발견한 상태이다. 그러므로 안드로이드 기반 단말기를 사용하는 이용자들은 nProtect Mobile for ANDROID 제품을 최신버전으로 업데이트하여 정기적으로 악성파일 존재 여부를 체크하는 습관이 필요하다.
nProtect Mobile for ANDROID 제품은 안드로이드 Play 스토어 마켓을 통해서 무료로 설치 및 사용이 가능하며, 현재까지 약 6,000 여종의 안드로이드 악성파일을 탐지하고 치료할 수 있는 기능을 보유하고 있으며, 새로운 악성파일을 수시로 업데이트하고 있다.
스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]2012년 런던 올림픽 내용의 보안 위협 등장 (0) | 2012.04.12 |
---|---|
[주의]온라인 호텔 예약으로 사칭한 악성파일 해외 발견 (0) | 2012.04.09 |
[주의]바이러스가 포함된 보안서비스의 불편한 진실 (0) | 2012.04.04 |
[주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다. (0) | 2012.03.21 |
[긴급]MS12-020 RDP 보안취약점 공격도구 다수 발견 (#Update 02) (0) | 2012.03.17 |