'국내 악성 앱'에 해당되는 글 2건

  1. 2012.11.22 스마트 청구서로 위장한 안드로이드 악성 앱
  2. 2012.11.22 방통위 사칭 안드로이드 악성 앱

최근 국내 스마트폰 사용자를 타켓으로 제작된 안드로이드 악성 앱이 발견되고 있다.

지난 10월에는 방통위를 사칭한 악성 앱이 발견되기도 했다.

관련 정보는 아래 페이지에서 확인이 가능하다.

http://asec.ahnlab.com/885

 

동일 제작자에 의해 만들어졌을 것으로 추정되는 악성 앱이 추가로 발견되었다.

사용자들의 편의를 위해 각 통신사들은 명세서, 청구서 앱을 제공하는데, 이를 위장하여 유포되는 악성 앱이 발견되었다.

 아래와 같이 단축 URL을 사용하여 유포되고 있었다.

"*** 고객님!

이번달 사용내역입니다

http://tinyurl.com/******* ☜클릭"

 

해당 앱에 대하여 살펴보자.

 

해당 앱을 설치해 확인해보면, 아래와 같이 Google Play 에서 배포되는 정상 앱과 구분이 어렵다.

 

[그림1] 정상 앱의 아이콘(왼쪽)과 악성 앱의 아이콘(오른쪽)

 

퍼미션 정보를 확인해 보면, 정상 앱과 다른 것을 확인할 수 있다.

 

정상 앱의 퍼미션 정보

악성 앱의 퍼미션 정보

-

Your messages

(receive MMS, receive SMS)

Network communication

(full Internet access,

view WI-FI state)

Network communication

(full Internet access,

view network state)

Storage

(modify/delete USB storage contents, modify/delete SD card contents)

Storage

(modify/delete SD card contents)

Phone calls

(read phone state and identity)

Phone calls

(read phone state and identity)

System tools

(retrieve running apps,

change WI-FI state,

Kill background process,

automatically start at boot)

System tools

(prevent phone from sleeping, automatically start at boot)

Your personal information

(read contact data, write contact data)

-

[표 1] 퍼미션 정보

 

앱을 실행하면 아래 그림처럼 오류 메시지를 띄우고 '확인' 버튼을 누르면 앱은 종료가 되지만 사용자들은 일시적인 서버 오류로 생각하고 해당 앱을 지우지 않을 가능성이 크다.

[그림2] 악성 앱 실행 화면

 

실제 앱의 코드를 살펴보자.

 

아래의 코드는 이 앱의 처음 시작 코드이며, 지면 상 위의 변수들까지 보이진 않지만 코드에서 보면 'a' 라는 변수는 Boolean 변수로 값은 true 이다. 이 코드의 의미는 (그림 중간 부분에) if(!a) 조건문에서 알 수 있듯이 항상 거짓으로 else 구문에 있는 메시지 박스를 띄우는 것으로 볼 수 있다. 그러나 이 메시지 박스가 팝업되기 전에 그 위에 코드가 실행되는데, 해당 코드를 보면 Ejifndv 클래스를 브로드 캐스트 하고 미리 정의된 번호로 수신된 SMS 를 수집하여 특정 서버로 전송하는 코드이다.

 

[그림3] 앱의 시작 코드(onCreate)

 

클래스들의 코드를 따라가 보면 아래의 그림과 같고 전송하는 IP의 정보도 알 수 있다.

[그림4] 사용자의 정보를 가져가는 코드

 

위와 같이 사용자 정보를 전송하는 코드 외에도 Ejifndv 클래스에서 또 다른 코드를 확인할 수 있다. 그 코드는 미리 정의된 번호로 수신된 SMS를 홍콩의 특정IP로 전송하며 관련 코드는 아래와 같다.

[그림5] 수신된 SMS의 내용을 전송하는 코드

 

[그림6]  미리 정의된 번호

 

최근 방통위 사칭 앱 뿐만 아니라, 대다수의 사용자들이 이용하는 스마트 청구서라는 앱으로 위장한 것으로 보아 악성코드 제작자들이 국내 사용자들을 타겟으로 하여 유포시키고 있는 것으로 볼 수 있다.

유포방식도 SMS를 이용하여 사용자들이 앱을 설치하도록 유도한다. 이에 사용자들은 Google Play 와 같이 정식으로 등록된 마켓도 주의할 필요가 있으며, 다른 경로로 설치되는 앱은 사용하지 않도록 해야한다.

수시로 V3 mobile 제품으로 점검을 해보는 습관이 필요하다.

 

<V3 제품군의 진단명>

Android-Trojan/Chest

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

지난 10월, 방송통신위원회를 사칭해 스팸 문자 차단 애플리케이션을 무료로 배포하는 것처럼 위장한 악성 안드로이드 애플리케이션이 발견되었다.

 

확인된 스팸 문자는 아래와 같다.

 

[방통위]통신사합동 스팸문자 차단어플 백신무료 배포 Play 스토어 어플

http://bit.ly/QQyLSs 주소를 클릭해주십시오.

 

해당 링크를 따라가면 구글 Play 스토어로 접속하여 Stech 개발자가 제작한 Spam Blocker 애플리케이션을 다운로드 하는 페이지로 연결된다.

Stech 개발자가 Play 스토어에 등록한 애플리케이션은 "Spam Blocker" 이외에도

"Spam Guard", "Stop Phishing!!" 이 발견되었다.

 

[그림 1] 구글 Play 스토어에 Stech 개발자로 등록된 애플리케이션

 

 

3개의 애플리케이션 모두 스팸 차단 기능은 포함하지 않고 있으며, 설치 시 스마트폰의 정보를 외부로 유출하는 악의적 기능이 포함되어 있다.

 

위 애플리케이션에 대하여 상세히 알아보자.

 

아래 그림은 악성 애플리케이션을 설치한 화면이다.

    

[그림 2] Spam Blocker 아이콘 / 실행 화면

 

해당 애플리케이션의 권한 정보를 살펴보자.

 

[그림 3] 악성 애플리케이션 권한정보

 

 

 

 

아래 그림에서 애플리케이션의 행위를 추정할 수 있는 퍼미션이 3개 모두 동일하다.

 

[그림 4] AndroidManifest.xml 정보

 

Dex 파일의 소스 코드를 확인해보면, 전화번호와 통신망 사업자 정보를 수집하여 특정 서버로 전송하는 코드가 존재한다.

 

[그림 5] 전화번호, 통신망 사업자 정보를 수집하는 코드 중 일부

 

SMSService 클래스에는 아래와 같은 미리 정의된 번호로 수신될 경우, 해당 SMS를 외부서버(50.18.59.8)로 유출하는 코드가 존재한다.

 

애플리케이션에 따라 외부서버의 주소는 각각 다르다.

Spam Guard : 54.243.187.198

Stop phishing : 50.18.59.185

 

[그림 6] 미리 정의된 SMS 수신번호

 

위 3개의 악성 애플리케이션 내부에는 자사의 상징적인 이미지와 통신사(KT, SK), 그리고 골프와 관련된 아이콘이 포함되어 있다. 향후 악성 애플리케이션을 추가 제작하려는 의도가 있을 것으로 추정된다.

[그림 7] 애플리케이션 내부에 포함된 아이콘 이미지 파일

 

 

V3  모바일 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/Chest

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@