분석 정보/모바일 분석 정보

[주의]외산 모바일 백신으로 위장한 안드로이드 악성 앱 발견

TACHYON & ISARC 2012. 10. 22. 16:17

1. 개 요


국내에서도 인지도가 높은 특정 외산 모바일 백신으로 위장한 안드로이드 악성 애플리케이션이 구글의 공식 마켓에서 발견되어 안드로이드 OS 기반 스마트폰 사용자들의 각별한 주의가 요망되고 있다. 해당 악성 애플리케이션에 감염될 경우 사용자들은 실행여부도 인지하지 못한채 SMS, MMS, 외장메모리에 저장된 파일 정보 등이 지속적으로 외부로 전송되어 개인의 사생활이 실시간 상태로 노출될 수 있는 위험이있다.

  

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 구글의 정식 마켓에서 배포되는 것으로 알려졌으나, 현재는 마켓에서 내려진 상태이다. 그러나 이미 유포가 이루어졌기 때문에 APK파일 형태로 비공식 마켓 등을 통해 추가 유포가 이루어질 가능성이 있다.

■ 설치 과정

해당 악성 애플리케이션을 설치 시도하게될 경우 아래의 그림과 같이 특정 권한을 요구하게 된다.

아래의 그림은 전체 권한을 보여주는 AndroidManifest.xml의 일부 코드이다.

해당 악성 애플리케이션은 아래의 붉은색 박스 코드와 같이 실행을 위한 별도의 런처가 등록되어있지 않아 정상적인 터치실행 방식으로 애플리케이션을 실행할 수 없으며, 바탕화면에 실행 아이콘 또한 생성되지 않는다.

때문에 설치가 완료된 후 "환경설정" -> "애플리케이션 관리" 에서 아래의 그림과 같이 설치 여부를 확인해야 한다.

위 그림과 같이 아이콘을 외산 모바일 백신과 유사하게 위장하고 있기 때문에 일반사용자들이 볼때는 정상적인 외산 모바일 백신으로 오해할 수 있다.

■ 감염 증상

해당 악성 애플리케이션은 실행을 위한 별도의 런처가 존재하지 않는다. 따라서, 리시버와 서비스를 등록하여 스마트폰 기기에서 발생하는 외부 Action 등을 통해 악성 기능 구현을 하고 있다.

※ 리시버 등록
☞ StartService
☞ AlarmReceiver

※ 서비스 등록
☞ UploadService

아래의 그림은 악성 기능 수행을 위해 등록한 리시버의 intent-filter 정보이다.

위 일부 코드와 같이 엄청나게 많은 경우의 수를 등록해 놓고 있는데 붉은색 박스와 같이 "WIFI상태 변환", "SMS 수신", "재부팅 완료" 등과 같은 조건이 주요한 경우라 볼 수 있다. 대부분의 리시버를 등록하여 Broadcast를 수행하는 악성 애플리케이션이 가장 많이 사용하는 조건이다.

결국, 위와 같이 등록해 놓은 조건들이 발생하게 되면 해당 악성 애플리케이션의 리시버가 동작하게 되는데 그 순서 흐름도는 아래와 같다.

해당 악성 애플리케이션은 실제 악성 동작(SMS/MMS 수집 및 유출)을 위하여 "SMS 수신 Action에 대한 감시"가 intent-filter로서 동작을 해야하는데 이미 AndroidManifest.xml에 등록되어 있다. 이를 통해 우선 아래의 일부 코드와 같이 문자메시지 수신 시 SMS와 MMS에 대한 구분을 수행하게 된다.

SMS와 MMS에 대한 구분이 이루어지면 아래의 일부 코드를 통해 해당 정보에 대한 수집 및 유출 시도를 위한 동작을 수행하게 된다.

마지막으로 아래의 일부 코드를 통해 수집된 정보에 대한 외부 유출을 시도하게 된다.

해당 악성 애플리케이션은 정보 유출시 일반적인 POST를 통한 웹 방식이 아닌 SFTP 방식을 사용하고 있다. 이를 통해 직접 위 그림의 붉은색 박스와 같이 등록된 계정을 통하여 서버에 접속한 후 파란색 박스와 같이 파일을 업로드 하고 있는 사실을 확인할 수 있다.

※ SFTP(Secure File Transfer Protocol)

☞ 일반적인 FTP Protocol과는 다르게 파일 등 데이터 전송을 암호화 하는 방식을 말한다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 런처가 등록되어 있지 않아 아이콘을 쉽게 확인하기가 어렵고 내부 코딩에 의해 특정 조건이 충족될 시 사용자 몰래 악의적인 동작을 수행하므로 일반 사용자들의 경우 감염 여부에 대한 확인이 어려울 수 있다. 때문에 이러한 악성 애플리케이션으로 부터 개인의 사생활 정보가 침해받지 않고 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

☞ Trojan/Android.FakeLookout.A