1. 개 요
최근 해외 보안 업체에 의해 안드로이드 OS 기반의 스마트기기 사용자 중 일본 여성 사용자들을 대상으로한 악성 애플리케이션에 대한 보고가 있었다. 보통 이성을 대상으로 하거나 선정적인 주제로 사용자들을 현혹시킬 목적을 가지는 경우 대부분 그 대상이 남성이 주를 이뤘으나 이번 악성 애플리케이션은 여성 사용자들을 대상으로 했다는 점에서 주목할만 하다. 또한, 해당 악성 애플리케이션은 일본 여성 사용자들을 대상으로 유포가 이루어지고 있지만 애플리케이션 자체는 국내 환경의 스마트폰에서도 설치가 이루어질 경우 개인정보 등에 대한 유출이 이루어질 수 있는 만큼 애플리케이션의 선별적인 설치에 있어 사용자들의 각별한 주의가 요망되고 있다.
2. 유포 및 감염 증상
해당 악성 애플리케이션은 2가지의 유포 방식을 가진다고 알려져 있다.
하나는 돈을 쉽게 벌 수 있는 방법과 관련한 제목의 스팸성 이메일을 발송하여, 내부에 포함된 링크 클릭을 유도하는 방법이며, 또다른 하나의 방법은 다른 남성과의 소개를 주선하는 스팸메일의 링크 클릭을 유도하는 방법이다. 두가지 방법 모두 링크 클릭을 통해 악성 애플리케이션에 대한 다운로드 및 설치를 유도하게 된다.
▶ 분석 정보
※ 전체 악성 동작 요약
- IMEI 정보 수집 및 외부 유출 시도
- 주소록 정보 수집(이름, 전화번호, 이메일 계정) 및 외부 유출 시도
- 특정 사이트 접속 [http://58.(생략).(생략).229//(생략)/addressBookRegist] (정보유출 URL)
- IMEI 정보 수집 및 외부 유출 시도
- 주소록 정보 수집(이름, 전화번호, 이메일 계정) 및 외부 유출 시도
- 특정 사이트 접속 [http://58.(생략).(생략).229//(생략)/addressBookRegist] (정보유출 URL)
해당 악성 애플리케이션은 설치 시 아래의 그림과 같이 특정 권한을 요구하게 된다.
아래의 그림은 "AndroidManifest.xml" 파일 내부에 선언된 전체 권한을 보여주고 있다.
해당 악성 애플리케이션은 "환경설정" -> "응용프로그램" -> "응용프로그램 관리"를 통해 아래의 그림과 같이 설치 여부를 확인할 수 있다.
해당 악성 애플리케이션은 내부에 별도의 리시버나 서비스는 등록되어 있지 않으며, 실행 시 아래의 그림과 같이 1 -> 0 으로 카운팅 후 특정 메시지를 메인 액티비티에 뿌려주는 것으로 생명주기를 다하게 된다.
위의 카운팅은 아래의 일부 코드를 통해 반복 실행 형식으로 구현되어 있으며, 이와 함께 개인 정보 및 단말기 정보를 수집하여 외부 특정 사이트로 유출을 시도하게 된다.
아래는 각종 정보 수집 및 수집된 정보의 외부 유출을 시도하는 코드의 일부분을 보여주고 있다.
클릭할 경우 확대된 화면을 보실 수 있습니다.
※ 정보 유출 코드의 상세 정보
빨간색 박스는 아래의 일부코드와 같이 타 클래스 참조를 통해 IMEI 정보를 수집하고 있다.
초록색 박스는 감염된 스마트폰의 전화번호를 수집하고 있다.
파란색 박스는 안드로이드 OS 버전의 분기점이 존재하는데 Android 1.6 이전과 이후 버전으로 분기하게 된다. 그 이유는 안드로이드 OS가 버전업 되면서 주소록 수집에 사용되는 API의 변경이 있었기 때문이다. 해당 악성 애플리케이션은 이와 같이 분기점을 두어 모든 버전에서 주소록 정보를 수집할 수 있도록 구성되어 있다.
아래의 코드는 감염된 스마트폰이 Android 1.6 버전 이상일 경우일때, 주소록 정보를 수집하기 위한 코드의 일부를 보여주고 있다.
위 코드를 통해 주소록 정보에서 이름, 전화번호, 이메일 계정 정보를 수집하고 있는 것을 확인할 수 있다.
빨간색 박스는 아래의 일부코드와 같이 타 클래스 참조를 통해 IMEI 정보를 수집하고 있다.
초록색 박스는 감염된 스마트폰의 전화번호를 수집하고 있다.
파란색 박스는 안드로이드 OS 버전의 분기점이 존재하는데 Android 1.6 이전과 이후 버전으로 분기하게 된다. 그 이유는 안드로이드 OS가 버전업 되면서 주소록 수집에 사용되는 API의 변경이 있었기 때문이다. 해당 악성 애플리케이션은 이와 같이 분기점을 두어 모든 버전에서 주소록 정보를 수집할 수 있도록 구성되어 있다.
아래의 코드는 감염된 스마트폰이 Android 1.6 버전 이상일 경우일때, 주소록 정보를 수집하기 위한 코드의 일부를 보여주고 있다.
클릭할 경우 확대된 화면을 보실 수 있습니다.
위 코드를 통해 주소록 정보에서 이름, 전화번호, 이메일 계정 정보를 수집하고 있는 것을 확인할 수 있다.
해당 악성 애플리케이션은 추가적인 스팸발송 등의 악의적인 목적을 위해 각종 정보(주소록, IMEI 등의 개인/단말기 정보)를 불법 수집하는 기능을 수행하는 것으로 추정되고 있다.
3. 예방 조치 방법
점점 세계 각국에서 실질적으로 금전적 목적 등을 가지는 악성 애플리케이션의 유포 및 감염 사례가 보고되고 있다. 위의 악성 애플리케이션 또한 국내 스마트폰 환경에서도 정보 수집 및 유출 등의 악성 동작이 충분히 가능하다.
우리나라도 언제까지 스마트폰 악성 애플리케이션으로 부터 안전하다는 보장이 없다는 것이다. 현재까지는 스마트폰의 안전한 사용을 위한 인식 등이 제대로 갖춰져 있지 않은 상태에서 각종 마켓 등 웹을 통해 전세계에 보급되고 있는 애플리케이션의 설치가 가능하다. 그러므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
- Trojan-Spy/Android.Loozfon.A
- Trojan-Spy/Android.Loozfon.B
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]새로운 Internet Explorer Zero-Day 취약점 발견 (2) | 2012.09.18 |
---|---|
[긴급]국내 인터넷뱅킹용 악성파일 유포조직 원격제어 시도 (0) | 2012.09.12 |
[이슈]국내 인터넷뱅킹 출금시도 목적의 악성파일 경계경보 (0) | 2012.09.04 |
[긴급]전자금융거래 위협 가속화, 무료백신 업데이트 방해공작 수행 (1) | 2012.08.31 |
[주의]페이스북 사진으로 사칭하여 전파 중인 악성파일 (1) | 2012.08.30 |