1. 개 요
최근 국내 가수 싸이의 강남스타일이 전세계적으로 엄청난 인기를 누리고 있다. 미국 빌보드 차트에서는 매주 한국인 가수 최초의 1위 탄생에 관심이 모아지고 있으며, 이미 유럽, 호주, 중국 등지 에서는 각국 차트 1위를 석권하고 있다. 이러한 와중에 해외 보안 업체 등을 통해 중국에서 강남스타일의 인기를 이용하는 악성 애플리케이션 출현에 대한 보고가 있었다. 민감할 수 있는 개인 정보에 대한 유출 위험이 있다는 보고이며, 해외 비공식 마켓을 이용하는 사용자들은 이와 같은 강남스타일 위장형 악성 애플리케이션에 대한 각별한 주의가 요망되고 있다.
2. 악성 애플리케이션 정보
해당 악성 애플리케이션은 공식 마켓(구글 플레이)에서는 배포되지 않고 있으며, 아래의 그림과 같이 해외의 비공식 마켓 등을 통해 유포가 이루어지고 있다.
■ 설치 정보
해당 악성 애플리케이션은 설치 시 아래의 그림과 같은 특정 권한을 요구한다.
아래는 전체 권한을 담고 있는 AndroidManifest.xml의 일부 코드이다.
해당 악성 애플리케이션은 아래의 그림과 같은 아이콘 및 크기를 가지며, 설치 완료 후 "환경설정" -> "애플리케이션 관리"에서 확인할 수 있다.
■ 분석 정보
해당 악성 애플리케이션은 설치가 완료된 후 실행하면 아래의 그림과 같은 메인화면을 출력하게 된다.
위 그림과 같이 붉은색 박스의 버튼을 클릭하게 되면 오른쪽 그림과 같이 mp4파일을 다운로드 받게 된다. 이때 다운로드되는 mp4파일은 악성파일이 아닌 강남스타일의 뮤직비디오 파일이다.
mp4파일의 다운로드가 완료되면 아래의 그림과 같은 실행화면으로 전환되며, 실행 시 강남스타일 뮤직비디오가 재생된다.
위 그림들과 같은 동작들은 특별히 악의적인 목적을 가진 악성동작이라고 보기 어렵다. 다만, 해당 악성 애플리케이션은 위 그림과 같은 뮤직비디오 파일 다운로드 및 실행 등의 동작과 함게 아래와 같은 일부 코드를 통하여 특정 정보에 대한 수집 및 수집된 정보의 외부 사이트 유출과 같은 악의적인 동작을 수행하게 된다.
imei
imsi
감염된 스마트폰의 전화번호
스마트폰의 제조사 정보
스마트폰의 모델 정보
애플리케이션 버전 정보
현재 시간 정보
※ 유출시도 URL
hxxp://(생략).(생략).(생략).(생략)/(생략)/starttimekeycount.php
3. 예방 조치 방법
해당 악성파일은 아직까지 국내에 유입된 정황이나, 특별한 피해사례는 보고되지 않고 있다. 물론, 중국 사용자들을 대상으로 제작된 애플리케이션이고 수집되는 정보들 또한 제작당시 악의적인 목적을 가지고 수집 및 외부 유출 시도를 하지 않았을 수 있다. 유효성 검사나 사용자 중복 등록 방지 등을 위해 수집할 수 있기 때문이다. 그러나, 어떠한 목적을 가지든 개인적인 정보들을 아무런 동의 없이 수집하는 행위는 불법적인 악성동작으로 간주할 수 있으며, 이러한 정보들이 각종 사이버 범죄에 이용되고 있기 때문에 애플리케이션의 제작자 및 사용자들은 제작/배포 및 사용에 각별한 주의를 기울여야 한다.
또한, 일반 사용자들의 경우 백그라운드 상태에서 동작하는 악성 애플리케이션을 육안으로 식별해 내기란 매우 어려울 수 있다. 때문에 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 주의와 노력이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있을 것이다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
◆ 진단 현황
☞ Trojan/Android.InfoStealer.C
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화 (2) | 2012.10.26 |
---|---|
[주의]외산 모바일 백신으로 위장한 안드로이드 악성 앱 발견 (0) | 2012.10.22 |
[주의]카카오톡 보이스톡 도용 사기성 안드로이드 앱 (0) | 2012.06.05 |
[주의]허위 구글 플레이 마켓을 통한 악성파일 유포 극성 (0) | 2012.05.21 |
[주의]국내 포털 및 커뮤니티에서 안드로이드 악성파일 유포 여전 (0) | 2012.05.08 |