분석 정보/모바일 분석 정보

[안내]안드로이드 기반 악성파일의 지속적인 위협

TACHYON & ISARC 2012. 4. 30. 17:40

1. 개 요


올해들어 안드로이드 악성 애플리케이션은 작년에 비해 본격적으로 지능적인 감염 증상 형태를 보이고 있다. 예년에는 단말기 기기 정보, SMS, 위치 정보 등에 대한 수집 및 유출이 마치 테스트 과정을 거치듯 단편적으로 이루어 졌다면, 올해 들어서는 이러한 악의적인 기능들이 통합되어 동작하거나, 실행 아이콘을 등록하지 않는 등 감염 후 증상에서 지능적인 동작 형태를 보이고 있는 것이다. 물론, 소위 이러한 악성 애플리케이션들이 모두 제작시 "악의적인 의도"를 가지고 만들어지는 것은 아니다.

  

정상적인 사용 용도로 만들어진 애플리케이션들이 악용될 수 있는 코드 혹은 기능이 삽입되어 있거나 권장하지 않는 프로그래밍 기법을 통해 제작될 경우 "악성 애플리케이션"으로 분류되기도 한다.

최근 국내 안드로이드 관련 커뮤니티 사이트(까페 등)에서 공유되고 있는 애플리케이션 중 "악성 애플리케이션"으로 분류되고 있는 경우가 점차 늘고 있으며, 보통 이러한 경우가 위에서 설명한 악성 진단 케이스이다. 제작 의도와 상관없이 개인 정보 등에 대한 수집 및 유출이 악성 판단의 근거가 될 수 있기 때문이다.

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

잉카인터넷 대응팀에서는 국내외를 가리지 않고 모든 보안 위협에 대비하기 위해 해외의 비공식 마켓을 포함하여 국내에서도 악성 애플리케이션에 대한 유포가 가능한 커뮤니티 사이트를 중심으로 관제 범위를 지속적으로 확장하고 있다.

2. nProtect Mobile for Android 업데이트 현황

아래의 그림은 2012년 1/4 분기 동안 국내외의 비공식 마켓 및 관련 커뮤니티 사이트 등을 중심으로 수집된 악성 의심 샘플의 nProtect Mobile for Android 제품 업데이트 반영 현황이다.

▶ 1월 수집 및 업데이트 통계


▶ 2월 수집 및 업데이트 통계


▶ 3월 수집 및 업데이트 통계

상기의 그림을 통해서 지속적으로 유포되고 있는 안드로이드 악성 애플리케이션의 현황에 대한 파악이 가능하며, 특히 특정 기간 및 이슈에 국한된 유포 범위가 아닌점으로 미루어보아 안드로이드 악성 애플리케이션에 대한 유포 범위가 전반적인 수준으로 자리잡고 있음이 확인 가능하다.

3. 마무리

최근 실행 아이콘을 생성하지 않아 애플리케이션의 동작 여부를 사용자가 인지하지 못하게 하는 형태의 안드로이드 악성 애플리케이션이 지속적으로 발견되고 있다. 이는 기존의 안드로이드 악성 애플리케이션과 뚜렷한 차이점으로 볼 수 있으며, 취약점 및 봇 개념 등과 결합된 형태의 악성 코드가 탑재되는 등 지능적인 감염 증상을 유발할 수 있어 점차 이러한 형태로 트랜드화된 안드로이드 악성 애플리케이션의 지속적인 유포 가능성을 추정해볼 수 있다.

[이슈]전화오면 일어나는 좀비폰, 한국 이용자 겨냥 시도?
http://erteam.nprotect.com/266

[정보]실행 아이콘 없는 안드로이드 앱의 허와 실
http://erteam.nprotect.com/271

때문에 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.