분석 정보/모바일 분석 정보

[발표]2012년 3분기 모바일 악성 애플리케이션 동향

TACHYON & ISARC 2012. 11. 8. 14:44

오픈형 무료 OS 기반의 운영체제가 사용되는 스마트폰의 보급이 활성화 되고 사용자가 늘어나면서 매일매일 수많은 악성 애플리케이션들이 다양한 마켓을 통해 홍수처럼 쏟아지고 있다. 해를 거듭할 수록 늘어나고 지능화 되고 있는 악성 애플리케이션은 유포 범위 또한 지속적으로 발전하여 현재는 전세계 곳곳에서 안드로이 악성 애플리케이션이 다양한 목적을 가지고 유포가 이루어지고 있다. 2012년도 4분기에 접어든 이 시점에 3분기까지의 안드로이드 악성 애플리케이션 동향에 대해 살펴보고 4분기에 대한 전망 및 정리하는 시간을 가져보도록 하겠다.

▶ 3분기는 지난 2분기와 비교하여 변종을 제외한 총 50여 종류의 신종 안드로이드 악성 애플리케이션이 발견되어 패턴에 반영되었으며, 그 종류는 아래와 같다.

※ 3분기 신규 안드로이드 악성 애플리케이션

- Adware/Android.Booster.A
- Adware/Android.FakeAV.A
- Adware/Android.Webim.A
- Backdoor/Android.Coogos.A
- Backdoor/Android.Luckycat.A
- HackTool/Android.Anti.A
- HackTool/Android.Whapsni.A
- Hoax/Android.RediAssi.A
- Monitor/Android.AnSmCon.A
- Monitor/Android.CgFinder.A
- Monitor/Android.FinSpy.A
- Monitor/Android.Pdaspy.A
- Monitor/Android.QPlus.A
- Monitor/Android.SmsWatcher.A
- Monitor/Android.SpyMob.A
- Monitor/Android.Unispy.A
- RiskTool/Android.Anudow.C
- SMS-Flooder/Android.Sonus.A
- Trojan-Downloader/Android.Fls.A
- Trojan-Downloader/Android.Fsm.A
- Trojan-SMS/Android.Stesec.A
- Trojan-SMS/Android.Vidro.A
- Trojan-SMS/Android.YouB.A
- Trojan-Spy/Android.Loozfon.A
- Trojan-Spy/Android.Mpsy.A
- Trojan-Spy/Android.SuBatt.A
- Trojan-Spy/Android.Sumzand.A
- Trojan/Android.Ackposts.A
- Trojan/Android.Androidbox.A
- Trojan/Android.Appenda.A
- Trojan/Android.DroidCoupon.A
- Trojan/Android.Ecobatry.A
- Trojan/Android.FakeAngry.A
- Trojan/Android.FakeView.A
- Trojan/Android.Fakeapp.A
- Trojan/Android.Fidall.A
- Trojan/Android.FindSpy.A
- Trojan/Android.Frogonal.A
- Trojan/Android.Gedma.A
- Trojan/Android.Gmaster.A
- Trojan/Android.Iconosis.A
- Trojan/Android.Iconosys.A
- Trojan/Android.InfoStealer.A
- Trojan/Android.Kranxpay.A
- Trojan/Android.MMarketPay.A
- Trojan/Android.Maistealer.A
- Trojan/Android.Malebook.A
- Trojan/Android.Morepaks.A
- Trojan/Android.Nandrobox.A
- Trojan/Android.SMSZombie.A
- Trojan/Android.Smssniffer.A
- Trojan/Android.Vdloader.A

아래의 그림은 새롭게 발견된 신종 악성 애플리케이션 51개중 일부의 진단화면이다.

정리해보면, "Adware 형태가 3종", "Backdoor 형태가 2종", 경우에 따라 악용이 가능하거나 Spyware 혹은 Trojan류로 분류되는 "HackTool, Hoax, Monitor, RiskTool 등의 형태가 각각 2종, 1종, 8종, 1종"이다. 또한, 가장 많은 비율을 차지하는 "Trojan 형태가 35종"을 차지하여 총 51종이며, 전체적으로 변종을 포함하여 총 5천여개의 악성 애플리케이션이 패턴 업데이트 되었다.

아래의 그림은 2분기와 3분기 동안 수집 및 업데이트된 모든 종류의 악성 애플리케이션에 대한 유형별 분기 비교표이다.


위 그림을 확인해보면 3분기에는 2분기에 비해 Adware를 제외하고 전체적으로 패턴에 반영된 업데이트량이 하향된것으로 통계가 나타난다. 이는 전체적인 악성 애플리케이션의 제작 기법에 기인한 것으로 보통 대량 제작되는 악성 애플리케이션의 경우 "리소스(배경 이미지, 문구, 언어 등)는 그대로인채 동일한 악성 소스를 공통적으로 빌드"하거나, "재패키징하는 형태"가 주를 이루기 때문이다. 리소스만 바뀐형태로 대량 제작되는 악성 애플리케이션의 경우 Generic 진단이 가능하다는 것이다.

3분기 동안 수집 및 업데이트가 이루어진 여러 종류의 악성 애플리케이션들은 지난 2분기와 마찬가지로 대부분 "과금형", "다양한 정보의 탈취형", "다양한 위험성을 가져올 수 있는 루팅형" 등의 형태로 나뉘어져 있다. 해당 분기 동안 수집 및 업데이트된 악성 애플리케이션에 대한 자세한 세부 동향을 아래와 같이 살펴보도록 하겠다.

  

◈ 3분기까지의 악성 애플리케이션에 대한 동향 정보

■ 과금형 악성 애플리케이션

국내에서는 유포 정황이나 특별한 피해 사례가 발견되고 있지 않지만 해외에서는 과금형의 악성 애플리케이션이 높은 유포율을 보이고 있다. 해외에서 유포중인 과금형 악성 애플리케이션은 국가별 이동통신사업 형태에 따라 차이점이 있지만 대부분 사용자 몰래 일정 금액의 이용대금을 부과하는 "프리미엄 서비스 과금 형태"와 무단적인 네트워크 사용 및 무단적인 SMS 발송 등에 따른 "지속적인 과금 유발 형태"로 나뉘어진다.

두가지 형태 모두 악성 애플리케이션 제작자의 금전적 이득을 위해 사용되는 경우가 대부분이며, 후자인 "지속적인 과금 유발 형태"의 경우 보통 리시버 등록을 통한 Bot 기능을 수행하는 것이 일반적이다. 또한, 이러한 악성 애플리케이션의 경우 최근에는 정상적인 애플리케이션에 악성 패키지를 추가하는 리패키징 형태보다는 대량 제작이 손쉬운 리소스만 변경하는 형태가 주를 이루고 있으며, 이로인해 정상적인 애플리케이션으로 위장하는 전략을 취하는 것이 보통이다. 다만, 전자인 "프리미엄 서비스 과금 형태"의 악성 애플리케이션은 국내의 이동통신사업 형태상 통용되지 못하고 있는 상황이며, 이러한 악성 애플리케이션의 경우 악성기능 수행에 필요한 여러 조건 충족을 위해 반드시 타겟에 맞게 최적화 되어야한다는 단서조항이 붙을 수 있다.

■ 사용자의 다양한 정보를 노리는 악성 애플리케이션

단말기 혹은 사용자의 다양한 정보를 노리고 외부로 유출 시도하는 악성 애플리케이션이 3분기 동안에는 주를 이루고 있다. 이러한 악성 애플리케이션은 크게 두가지 유형으로 살펴볼 수 있다. 첫번째는 "제작 의도가 악의적인 목적을 가지는 종류"이고 두번째는 "제작 의도와는 상관없이 보안 문제에 대한 부주의로 인한 종류"가 그것이다.

첫번째 종류는 애플리케이션의 제작 목적 자체가 악의적으로 다양한 정보에 대한 불법적 습득을 목표로 하는 것으로 금전적 이득을 위해 IMEI/IMSI 및 다양한 단말기의 정보와 감염된 스마트폰에 저장된 주소록 정보를 탈취하게 되며, 경우에 다라 수신된 SMS에 대한 감시 및 SMS 내용 유출 등도 시도하게 된다. 이같은 경우 사용자의 동의를 구하지 않고 최대한 사용자 몰래 정보에 대한 탈취를 할 수 있도록 "정상적인 애플리케이션에 악성 코드를 추가하는 리패키징 형태""공통적인 악성 코드를 사용하고 리소스만 변경하여 빌드하는 형태" 두가지 모두 사용되고 있다.

또한, 첫번째의 경우 탈취를 원하는 정보에 따라 리시버나 서비스를 활용한 SMS 감시 및 외부 유출 시도가 있을 수 있기 때문에 제작의 의도에 따라 SMS-Flooding 기법을 통한 DDoS, 지속적인 과금 유발 등 다양하고 복합적인 감염 증상을 유발할 수 있으며, 이같은 경우 흔히 말하는 좀비폰으로 전락할 가능성이 높다고 할 수 있다.

두번째 종류는 제작자는 전혀 금전적 이득을 위하거나 다른 악의적인 목적 없이 제작하였음에도 불구하고 악성 애플리케이션으로 판명되는 경우다. 이같은 경우는 대부분 애플리케이션 실행시 업데이트, 라이센스 확인 등 유효성 검사를 위해 IMEI/IMSI 혹은 다른 유니크한 디바이스 아이디 정보를 추출하여 특정 서버를 통해 확인하는 과정 때문에 발생된다.

이를 방지하기 위해서는 제작자가 반드시 보안 코딩에 대한 인식을 충분히 생각하고 애플리케이션에 대한 제작을 진행하여야 한다. 단적인 예로 IMEI에 대한 활용이 반드시 필요할 경우 전송시 반드시 재활용이 불가능한 형태의 암호화 방식을 채택하거나, 유니크 아이디 생성 코드 등을 통한 별도의 단말기 고유 번호 생성 방법을 들 수 있겠다.

■ 다양한 보안 위험성을 유발할 수 있는 루팅 관련 애플리케이션

일반적으로 루팅은 시스템상의 최고 관리자 권한을 획득하는 것을 말한다. 이와 같은 루팅 기능 자체가 악성 기능이라고 보기는 어렵다. 다만, 루팅을 진행하게 되면 루팅전에 받을 수 있었던 최소한의 보안 등급을 스스로 포기한다는 의미를 가지게 되며, 이로인해 루팅시 통용될 수 있는 악성 애플리케이션의 모든 악의적인 기능이 감염자의 스마트폰에서 원활히(?) 진행될 수 있게 된다.

예로 루팅이 이루어진 폰에서 동작하는 악성 애플리케이션들은 먼저 감염된 스마트폰이 루팅되어 있는지 확인하고 루팅되어 있다면 특정 보안 애플리케이션에 대한 장치 관리자 권한 해제, 임의의 애플리케이션에 대한 삭제 혹은 중지하는 등의 컨트롤이 가능하며, 임의적인 애플리케이션 변조를 통해 최종적으로 특정 계정 정보, 공인인증서 비밀번호 등의 정보 유출도 가능할 것이다. 이것이 은행과 같은 금융기관에서 루팅된 폰의 스마트폰 결재를 차단하는 이유이기도 하다.

물론, 현재 배포되고 있는 최신 안드로이드 OS 버전에서 이전 진저브래드 이하 버전에서 통용되던 원스톱서비스와 같은 자동 루팅 애플리케이션이 정상적으로 동작되지는 못한다. 다만, 악성 애플리케이션 또한 진화하여 예전과 같이 자신의 목적을 위해 맨땅에 해딩하듯 스스로 루팅을 시도하지는 않으며, 루팅되었을 시 동작하도록 제작되어 있기 때문에 사용자의 선택일 수 있는 루팅을 진수행 할 경우 이와 같은 보안 위험성에 자신의 스마트폰을 스스로 노출시킨다는 것을 인지할 필요가 있다.

■ 고도로 지능화된 악성 애플리케이션에 대한 출현 임박

아직까지는 더 발전된 형태의 이를테면 PC에서와 같이 능동적 네트워크 기반의 악성 애플리케이션은 많지 않지만(일부 원격 관련 악성 애플리케이션이 있지만 SMS 등을 활용한 기본적인 Bot형태가 대부분) 이미 3분기에 NFC기능을 활용해 과금형의 반대 형태가 될 수 있는 "과금 우회형" 애플리케이션에 대한 POC가 이루어지면서(악성 애플리케이션은 아니다.) 좀 더 지능화된 형태의 악성 애플리케이션의 출현을 충분히 예상해 볼 수 있다.

[정보]지하철 요금 우회가 가능한 안드로이드 애플리케이션 보고
http://erteam.nprotect.com/338


지능화된 악성 애플리케이션은 이제 예전과 같이 단일적인 목적을 가지고 만들어진 악성 애플리케이션과 달리 스스로 악성 기능 수행의 조건을 판단하고 정보를 수집하며, 또 정보 수집에 있어 추가적인 조건을 필요로 한다면 스스로 체크하여 진행할 수 있도록 설계될 것이다. 주로 와이파이 형태가 되겠지만 다양한 네트워크 기능을 통해 PC상에 감염된 악성코드와 통신을 시도하여 여러가지 악성 기능을 수행할 수 있을것이며, 때로는 명령을 내려받아 악의적인 기능을 수행할 수도 있을 것이다. 이러한 모든 기능이 불가능한것이 아니라 현재까지 모두 단일적으로 존재했던 악성 애플리케이션의 기능들이며, 어쩌면 현재까지 출현했던 악성 애플리케이션의 모든 악성 기능들이 미래를 위한 예행연습이었다고 생각해도 좋을것이다.

■ 더이상 안드로이드 악성 애플리케이션으로부터 안전치 못한 국내 상황

3분기에는 국내 안드로이드 사용자들을 대상으로한 본격적인 악성 애플리케이션의 출현이 눈에 띈다. 더이상 국내 안드로이드 시장이 악성 애플리케이션으로부터 안전치 못하다는 것이 사실로 확인된 셈이다. 해당 악성 애플리케이션은 국내 금융권 피싱 등의 사실에 정통한 제작자에 의해 3종으로 분류되어 만들어졌으며, 모두 금융권 사칭관련 스팸 피해 차단용이라는 타이틀로 만들어져 일반 사용자들을 현혹하고 있다.

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352


유출 정보도 국내 사정에 특화되어 있다. 감염된 스마트폰의 전화번호 및 망사업자명, 그리고 인터넷 쇼핑몰들로부터 발송되는 결제 관련 SMS에 대한 감시 및 탈취 기능이 그것이다. 일반적인 단말기 정보 등이 아닌 금융 결재와 관련한 비밀번호 등의 탈취가 가능하도록 특정 번호에서 수신되는 SMS를 모두 감시한다는 측면에서 새로운 금융 보안 위협으로 지속적인 활동이 이루어질 것이란 전망이 가능하다.

이외에도 최근 해외에서 인기를 끌고 있는 가수 싸이의 강남스타일을 악용하여 위장한 악성 애플리케이션도 출현하여 이슈가 된 바 있다.

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348


해당 악성 애플리케이션은 단말기 고유번호 등에 대한 탈취를 주 목적으로 하며, 국내 사용자들을 대상으로 제작되지는 않았다. 다만, 국내 가수의 히트곡을 악용의 대상으로 삼았다는 점에서 충분히 해외 악성 애플리케이션 제작자에 의해 국내 사용자들도 타겟이 될 수 있다는 가능성을 제공하는 경우이므로 주목할만 하다.

  

◈ 3분기까지의 악성 애플리케이션에 대한 유포 트랜드와 4분기 전망


3분기까지 악성 애플리케이션의 유포 트랜드를 살펴보면 많은 수의 이슈들이 유포처가 구글 정식 마켓이라는 점이 눈에 띈다. 이는 안드로이드의 경우 애플리케이션 배포 및 등록 등이 애플과 같이 폐쇄적인(?) 정책이 아니기 때문에 비교적 자유롭게 배포가 가능하기 때문인 것으로 추정되며, 구글에서 별다른 보안 정책을 마련하지 않는한 이러한 트랜드는 4분기에도 유지될 전망이다.

결국 이러한 상황이 반복될 경우 기존에 주의를 기울여야 했던 비공식 서드파티 마켓 등과 구글 정식 마켓 간의 보안상 접점이 불분명해질 수 있는 상황을 초래할 수 있다.

여지까지 설명한 3분기 까지의 동향과 위와 같은 트랜드를 기반으로 4분기 악성 애플리케이션에 대한 전망을 내래보면, 우선은 현재까지와 마찬가지로 구글 정식 마켓을 통해 지속적인 악성 애플리케이션에 대한 유포가 있을 것이다. 현재까지 특별한 검열 수단이 없기 때문이며, 정상적으로 만든 애플리케이션이 동작 증상 등으로 악성 판단이 이루어질 가능성이 존재하기 때문이다. 또한, ▶국내 사용자들을 대상으로 하는 악성 애플리케이션의 점진적 증가를 들 수 있을 것이다. 이미 국내 사용자들을 대상으로 국내 정세에 정통한 제작자가 악성 애플리케이션을 만들어낸 사례가 나왔다. 해당 사례가 물꼬로 작용할 수 있으며, 단순한 악성 애플리케이션의 경우 해외 애플리케이션이라도 국내 스마트폰에서 정상 동작하는 상황이 확인되었기 때문이다. 다만, 이러한 경우 감염 증상에 대한 사용자 인식이 어렵기 때문에 피해 사례 보고에 대한 문제점을 수반할 순 있다. 마지막으로 아직까지는 심화된 기법의 악성 애플리케이션이 출현하지 못한 관계로 단순한 ▶정보 탈취에 대한 악성 애플리케이션이 전체 악성 애플리케이션중 지속적인 대다수를 차지할 것이며, ▶지능화된 다양한 기능의 악성 애플리케이션 출현이 그것이다.

구글에서 발표한 정책에 따르면 새로운 버전(4.2)의 OS에서는 악성 애플리케이션에 대한 다운로드 및 설치 시 악성 여부에 대한 스캔 기능이 추가된다고 한다. 다만, 우리는 보안상 이와 같이 고도로 지능화 되고 복합성을 가지는 악성 애플리케이션의 지속적인 발전을 간과할 수 없으므로 이를 위한 충분한 대비책 마련의 선행이 반드시 필요하지만, 아직까지는 모바일 백신, 모바일 방화벽 등 그를 위한 장치가 충분치 못한 상황이므로 안전한 스마트폰 사용을 위해 최소한 아래와 같은 "스마트폰 보안 관리 수칙"을 반드시 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최적의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 다양한 악성 애플리케이션으로 인한 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 모바일 보안 위협에 대응하고 있다.