분석 정보/악성코드 분석 정보

[정보]스마트폰 기기 정보 확인 도구로 위장한 악성 애플리케이션

TACHYON & ISARC 2012. 6. 20. 18:41

1. 개 요


잉카인터넷 대응팀에서는 최근 중국의 비공식 안드로이드 마켓에서 스마트폰 기기 정보에 대한 수집 및 외부 유출을 시도하는 애플리케이션을 발견하였다. 해당 애플리케이션은 정상적으로 스마트폰에 대한 각종 정보를 수집하는 것으로 소개되고 있으나, 감염된 스마트폰이 루팅되어 있을 경우 루트 권한 획득을 통해 추가적인 애플리케이션 설치 및 수집된 정보를 외부로 유출하는 등 악의적인 동작을 수행하는 것으로 확인되었다. 애플리케이션이 루트 권한을 획득할 경우 상황에 따라 외부와 지속적인 통신을 시도하여 사용자 몰래 수많은 악성 동작을 취할 수 있으므로 스마트폰을 루팅하여 사용중인 사용자의 경우 각별한 주의가 필요하다.

  

2. 유포 경로 및 감염 증상

해당 악성파일은 아래의 그림과 같이 중국에서 서비스 되고 있는 다수의 비공식 안드로이드 마켓을 통해 유포가 이루어지고 있다.

물론, 해당 애플리케이션은 아직까지 국내에 유입되거나 직접적인 피해사례는 접수되고 있지 않다. 다만, 해당 악성 애플리케이션이 국내 스마트폰에서도 정상적인 설치 및 동작이 가능하기 때문에 국내에서 사용중인 스마트폰도 감염될 경우 기기 정보가 외부로 유출되는 등의 피해 사례가 발생할 수 있다.

▣ 악성 애플리케이션 설치 구성

해당 악성 애플리케이션은 설치 시 아래와 같은 권한을 요청할 수 있다.


※ 전체 권한

- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.DELETE_PACKAGES"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_COARSE_LOCATION"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_FINE_LOCATION"

또한, 해당 애플리케이션은 설치가 완료되면 아래의 그림과 같은 아이콘을 통해 설치 여부를 확인할 수 있다.


▣ 악성 동작 분석


※ 전체 악성 동작

- 루팅된 스마트폰의 경우 설치 시 루트 권한 요청
- 추가적인 악성 애플리케이션 설치
- 스마트폰 기기 정보 수집 및 외부 유출

감염된 스마트폰이 루팅되어 있을 경우 아래의 그림과 같이 해당 악성 애플리케이션에 의해 루트 권한 요청 과정을 확인할 수 있다.

해당 악성 애플리케이션은 리시버와 서비스를 각각 1개씩 등록하고 있으며 루트 권한 요청 과정을 거친 후 아래와 같은 악의적인 동작을 수행할 수 있다.

※ 리시버, 서비스의 악성 동작

::리시버(PR.class)
- 추가적인 악성 애플리케이션(audio.service.apk)에 대한 설치 여부를 브로드캐스트 리시버를 통해 감시한다.
- 추가적인 악성 애플리케이션이 설치될 경우 해당 애플리케이션을 시작한다.

::서비스(IS.class)
- 루팅 여부 체크한다.
- 루팅되어 있을 경우 루트 권한 요청한다.

위에서 설명한 추가적인 악성 애플리케이션(audio.service.apk)은 별도의 웹 사이트에서 다운로드 되지 않고 암호화 되어 내부에 포함되어 있다. 암호화된 파일은 아래의 일부 코드를 통해 복호화 과정을 거친 후 설치가 이루어진다.


이외에도 해당 악성 애플리케이션은 아래의 일부 코드를 통해 스마트폰 기기에 대한 정보를 수집하게 된다.


수집된 스마트폰 기기 정보는 아래의 그림과 같이 애플리케이션을 통해 이미지 파일과 함께 사용자에게 제공되고 있다.


또한, 위와 같이 수집된 정보는 아래의 일부 코드를 통해 외부 특정 사이트로 유출 시도될 수 있다.


아래는 수집된 스마트폰 기기 전체 정보와 유출 시도되는 외부 사이트에 대한 정보이다.

※ 수집 및 유출되는 스마트폰 기기 전체 정보

- IMEI
- IMSI
- 위치 정보(CELL 방식)
- SIM 상태(통신 가능 상태)
- 네트워크 사업자 정보
- 로밍 상태

※ 수집된 정보가 유출되는 외부 사이트

- http://svr.[생략].com/Notice/


▣ 추가적으로 설치된 악성 애플리케이션(audio.service.apk) 악성 동작 분석

추가적으로 설치된 악성 애플리케이션 또한 위에서 설명한 악성 애플리케이션과 유사한 감염 증상을 보인다.

※ audio.service.apk 전체 악성 동작

- 루팅 여부 확인
- 스마트폰 기기 정보 수집 및 외부 유출


다만, 추가적으로 설치된 악성 애플리케이션은 이미 설치된 악성 애플리케이션과 수집하는 스마트폰 기기 정보, 외부 유출 시도 사이트에서 아래의 정보(붉은색)와 같은 차이를 보이고 있다.

※ 수집 및 유출되는 스마트폰 기기 전체 정보

- IMEI
- IMSI
- 위치 정보(CELL 방식)
- 스마트폰 모델 정보
- SDK 정보
- 내부에 포함된 버전 정보(2.01)
- 네트워크 상태 정보(3G, LTE, WIFI)


※ 수집된 정보가 유출되는 외부 사이트

- http://svr.[생략].com/Foreuner/


3. 예방 조치 방법

위와 같이 루트 권한을 획득한 상태에서 동작하는 악성 애플리케이션은 Device에 대한 조작 권한을 모두 가지고 있을 수 있기 때문에 지속적인 외부 접속을 통한 추가적인 악성 애플리케이션 다운로드 및 설치 수행SMS 수신을 통한 과금 유발추가적인 악성 명령 수행 등 여러 다양한 피해 상황을 초래할 수 있다.

일반사용자들의 경우 이러한 애플리케이션에 대한 악성 여부 판별 및 감염 여부 확인은 매우 어려울 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 주의와 관심을 기울이는 것이 최선의 방법이라고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 통계 내역

- Backdoor/Android.Xsider.A
Backdoor/Android.Xsider.B