1. 개 요

안드로이드 게임. "FastRacing" 으로 위장하여, 설치시 사용자폰의 SMS 발신/수신 내역, 전화통화기록 등을 사용자 모르게 감시하고, 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었다.

해당 악성코드는 "GoldDream" 이라 불리우며, '정상적인 게임'에 악의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓에서 유포된 것이 해외 유명대학의 연구팀에 의해 밝혀져 관련 소식이 전해지게 되었다.

"GoldDream" 은 또한 사용자폰을 감시하는 기능 이외에 C&C서버를 통해 스마트폰에 특정 명령을 내릴 수있는 bot 기능도 포함되어 있는데,  이는 "GoldDream"에서 최초로 발견된 기능은 아니며 "DroidKungFu
" 나 이전의 다른 안드로이드 악성코드에서도 보여지는 최근 악성코드의 트렌드이다.

안드로이드 악성코드도 이젠 실험적인 레벨을 넘어 점점
정립된 프로세스를 갖추며 짜임새있게 배포되고 있다는 것을 나타내고 있다.

 

 

[그림] Application 정보



2. 분 석

 A. SMS/통화기록/핸드폰 정보 감시 및 탈취

악성 앱을 설치하게 되면 동시에 receiver 가 등록되며, 등록 이후에 발생되는 system event 들을 가로챈다.
system event 들은 여러가지가 있지만 GoldDream은 SMS와 전화 송수신내역에 대해 Listen 하여 사용자 모르게 해당 정보들을 text 파일로 저장 후, 원격서버 (le**r.g**p.net) 로 전송한다.


[그림] save incoming/outcoming phone call
 


[그림] upload phone log file

 


 B. 원격지 명령수행(C&C)

Receiver 와 같이 등록되는 악성 Service 는 Remote server(C&C서버) 에서 명령을 전달받고 수행하는 역할을 한다. 이때 등록되는 악성 Service 는 부트 타임에 로딩되도록 설계되어있어 폰이 켜져있는 동안은 항상 C&C서버의 조종을 받을 수 있는 이른바 "좀비폰" 상태가 된다.
이때 C&C서버로부터 수행가능한 Command 들은 아래와 같다.

- 백그라운드 SMS 발송
- 강제 전화 연결
- 지정된 어플리케이션 삭제
- 지정된 어플리케이션 설치
- 로그 파일(개인 정보) C&C서버로 전송



[그림] C&C Commands


3. Wrap-up
"GoldDream" 악성코드는 V3 mobile 제품군에서 아래와 같이 진단하고 있다.

- 엔진버전
2011.07.06.00


- 진단명
Android-Trojan/Gdream



아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.


The credit of discovering this malware goes to Dr. Xuxian Jiang and his research team at North Carolina State University.

Posted by 비회원