지난 4월 16일 수요일 아침. 대한민국 국민들은 믿기지 않는 소식을 접하게 된다. 그것은 세월호 침몰 사고 였다. 지금도 그 당시의 충격이 가시지 않고 있다. 유가족 뿐만 아니라 대한민국 국민 모두가큰 슬픔에 잠겨 있었지만, 세월호와 관련된 허위사실이 SNS로 유포되거나, 악용된 '스미싱' 등이 슬픔에 잠긴 국민들에게 다시한번 돌이킬 수 없는 상처를 주고 있다.

 

'스미싱' 이란 문자메시지에 포함된 인터넷 주소를 클릭하면 악성 앱(apk)을 다운로드 받게되고,이 앱을 스마트폰 사용자가 설치/실행하게 되면,사용자의 개인정보 및 금융정보를 탈취 당하게 된다.

 

세월호 관련 '스미싱' 문자는 "실시간 속보…", "침몰 그 진실..", "생존자 확인…" 등과 같은 문구를 이용했으며, "세월호 사칭 스미싱 대처 방법" 같은 어처구니 없는 어휘를 사용하기도 했다.

실제 원문은 아래와 같이 다양하게 발견되었다.

스미싱 발송 날짜

원문

5 01 목요일

세월호기부상황 조회 3**.net/y7A

4 23 수요일

23 9시경 실종자6 구조성공이다.ㅊㅋㅊㅋ http://goo.gl/**mMVX

4 22 화요일

[속보]세월호 3호창 생존자 2 발견 http://goo.gl/**Wgnd

4 21 월요일

단원고 학생·교사 78 생존 확인 http://ww.tl/**m

4 21 월요일

세월호 사칭 스미싱 문자 추가 발견..주의 당부 스미싱 대처방법 t.**t99.info

4 20 일요일

세월호 침몰  진실은... http://ww.tl/**so

4 20 일요일

믿기 어려운 세월호 침물 관련 충격 영상 공개 !!http://goo.gl/**kuii

4 20 일요일

세월호 침몰  진실 ...  http://goo.gl/**uX6D[FW]

4 19 토요일

세월호 사칭 스미싱 문자 추가 발견…주의 당부 스미싱 대처방법http://goo.gl/**X4r1

4 19 토요일

[GO! 현장세월호 구조된 6 어린이 http://126.107.**.204/

4 19 토요일

*실시간속보[세월호]침몰사망자55명더늘어*동영상보기 hosisting.**fo

4 18 금요일

[여객선침몰청해진해운 "승선자 명단 없는 사망자명단 kowa.**rtit.com

4 18 금요일

세월호 침몰  진실은...~http://ztc.me/**d

4 18 금요일

세월호 침몰  진실은...http://ww.tl/**ws

4 18 금요일

[연합뉴스]여객선 (세월호)침몰사고 구조현황 동영상 http://goo.gl/**buRb

4 18 금요일

*(실시간속보세월호침몰 사망자 25명으로 늘어..검색더보기 www.sto**paint**.net

4 18 금요일

*실시간속보세월호침몰 사망자 25 늘어 더보기 http://psm8060.h**web.net/ADT.apk

  [표1] 세월호 관련 스미싱 


악성 앱이 사용한 아이콘은 구글 마켓과 세월호 사진 등으로 만들어져 있었다.

 

[그림1] 악성 앱이 사용한 아이콘

 

이러한 세월호 관련 스미싱 악성 앱은 사용자의 연락처 정보, 디바이스 정보, 금융정보를 탈취하여 외부 서버로 전송 하도록 설계되어 있었다.

 

이번 세월호 사건을 악용한 스미싱 제작자는 지난 2014년 1월 카드사 정보유출 사건을 악용하기도 했다.

당시 사용된 메시지와 아이콘은 아래와 같다.

[그림2] 카드사 정보 유출 스미싱(좌) / 악성 앱 아이콘(우)

 

 악성 앱은 스마트폰에서 사용중인 은행 앱을 체크하여, 해당 은행 앱으로 위장한 악성앱을 다운로드 받는 기능이 존재하는데, (카드사 정보유출 사건과)대상 패키지명(은행 앱)이 동일하며, 정보를 탈취하고 전송하는 서버주소의 매개 변수 값도 동일하게 구성되어 있다. 또한 서버주소는 수시로 변경 가능하도록 C&C 명령을 받아 수행하도록 설계되어 있다.

[그림3] 대상 패키지 및 정보 탈취 서버정보의 일부 코드, 카드사 정보유출 사건(좌) / 세월호 사건(우)

 

스미싱 피해를 막기 위해서는 의심스러운 문자메시지의 URL은 클릭하지 않고 스마트폰에 백신 앱을 항상 최신 버전으로 유지해야 한다.또한, "안전한 문자"와 같은 스미싱 예방을 도와주는 앱을 설치하면 좀더 안전하게 스마트폰을 사용할 수 있다.

https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

 

뿐만 아니라, 세월호 사건을 악용한 피싱 사이트도 발견 되었다.

트위터에 수많은 사용자의 이름으로 해당 내용이 게시된 것을 확인 할 수 있었다.

[그림4] 세월호 사건의 허위 SNS내용

 

또한 해당 피싱 사이트는 유명 커뮤니티에서도 발견되었다.

[그림5]세월호 사건을 악용한 피싱 사이트

 

 

작성자의 다른 글도 세월호 사건을 언급하고 있다.

[그림6] 동일 작성자에 의해 5/8일 게시된 글

 

해당 피싱 사이트는 NAVER 로그인 페이지로 위장되었으나,자세히 보면 로그인 FORM 과 위치가 맞지 않다.

[그림7] 정상적인 네이버 로그인 페이지(좌) / 악의적인 피싱 사이트(우)

 

사용자가 입력한 아이디와 패스워드는 대만에 위치한 서버(피싱 사이트)로 전송한 후, 정상적인 네이버 페이지에 접속 한다.

 

[그림8] 사용자가 입력한 ID/PW 를 피싱 사이트로 전송하는 페이지 소스코드

 

해당 데이터 패킷을 보면, 아이디와 패스워드가 전송되는 것을 볼 수 있다.

[그림9] 사용자의 계정정보가 전송되는 네트워크 패킷

 

 특히,이번 세월호 관련 스미싱 악성 앱은 국민적 관심과, 슬픔을 돈벌이로 이용하려는 범행 수법으로, 아주 악렬하기 때문에 꼭 검거되어, 강하게 처벌 받기를 바란다.

 

 스미싱 범죄는 '정보통신망이용 촉진 및 정보보호 등에 관한 법률'에 의거 처벌 받을 수 있으며,개인정보 무단 수집의 경우 5년 이하의 징역 또는 5000만원 이하의 벌금형에 처할 수 있다.

 


신고
Posted by DH, L@@

 

최근 bankun 악성 앱의 변형이 발견되었다. 기존 bankun 앱은 ASEC '금융사 피싱앱 주의(1)'에서 그 분석 정보를 확인할 수 있다. 이번에 발견된 변형의 경우에는 기존 앱보다 지능화되었고 실제 감염된 사례도 보고되고 있어 사용자들의 각별한 주의를 요구한다.

 

과거에 발견된 금융사 피싱앱과 비교하여 변경된 점은 아래와 같다.

 

- 아이콘 및 패키지 변화

[그림 1] 아이콘 및 앱 이름

 

[그림 2] 패키지 및 클래스의 변화

 

기존에는 앱 이름에 패키지 이름이 있었던 반면, 최근 발견된 앱 에서는 앱 이름이 보이지 않는다. 또한, 비교적 간단하게 작성되었던 기존의 클래스들에 비해 최근 발견된 앱에서는 Receiver, services 등의 클래스가 추가됨이 확인된다.

 

- 권한 및 기기 관리자 등록

[그림 3] 앱 실행 시, 나타나는 기기 관리자 등록 화면

 

앱을 실행했을 시, 아이콘은 사라지고 사용자는 위의 화면과 같이 해당 앱을 기기 관리자 등록 여부를 묻는 화면을 볼 수 있다.

 

- 서비스 및 리시버 이용

[그림 4] 악성 앱이 서비스 동작하는 화면

 

[그림 3]에서 사용자가 Activate 버튼을 누르면 악성 앱은 서비스로 동작하기 시작한다. 또한 앱 디컴파일 시, 아래 [그림 5] 와 같이 Receive 코드를 확인할 수 있다. 해당 코드를 확인해 보면 사용자가 문자 수신을 하거나 전원을 On/Off 하는 등의 행위를 했을 시, 피싱앱 추가 설치를 유도한다는 사실도 확인할 수 있다.

 

[그림 5] Receiver 코드

 

- 알림(Notification) 사용

[그림 6] 문자 수신 시, 새로운 업데이트를 알리는 화면

 

리시버에 의해 사용자가 임의의 문자를 수신했을 때는 위 그림과 같이 "새로운 업데이트가 있습니다." 라는 알림이 뜬다. 이는 구글플레이나 다른 앱들이 업데이트되는 방식과 매우 유사하여 사용자가 의심하지 않고 또 다른 악성 피싱앱 설치를 하게 된다.

- 설치된 피싱앱

[그림 7] 파일 생성 정보

 

악성앱이 띄운 알림에 따라 업데이트를 누르면, 사용자는 기존의 앱 삭제 여부를 묻는 팝업창과 피싱앱 설치 화면을 보게 된다. 이 과정에서 사용자는 단순히 앱 업데이트 과정으로 착각할 수 있으며, 설치 과정에서 정상적인 ** 앱이 설치 되어 있는 사용자라면 ** 피싱 앱이 설치가 되고, ##은행 앱이 설치 되어 있을 때는 ##은행 피싱 앱이 설치된다. 다만, 과거에 발견되었던 앱에서는 8개의 금융기업 피싱앱이 존재하였으나 최근 발견된 앱에서는 **은행, **, **은행 피싱 앱만 존재하였다.

 

[그림 8] 악성앱 안에 존재하는 피싱앱

앞에서도 언급했듯이, 최근 감염된 사례들이 접수되고 있고 금융과 관련된 악성 앱인 만큼 그 피해가 커질 수 있어 사용자들의 각별한 주의를 요구한다. 피해를 예방하기 위해 V3 Mobile과 같은 백신으로 주기적으로 검사하는 습관이 필요하며 특히 의심스러운 앱은 다운로드 하지 않도록 하는 것이 무엇보다 중요하다.

<V3 제품군의 진단명>

 

Android-Trojan/Bankun

 

신고
Posted by DH, L@@

 

국내 스마트폰 사용자들을 타깃으로 유포되고 있는 악성앱 들이 점차 증가하고 있는 가운데 금융사를 위장한 피싱앱도 종종 발견된다. 스미싱으로 유포되는 악성 앱들은 휴대폰의 소액결제를 통해 금전적인 이득을 취하려는 목적이 대부분인 반면 금융 피싱앱은 보안카드 및 사용자의 금융관련 정보를 모두 탈취하려는 의도로 그 피해가 커질 수 있어 주의를 요한다.

 

최근 발견된 금융사 피싱앱은 금융사 관련 피싱사이트를 통해 배포되는 것으로 추정되며, 설치 시에는 아래와 같이 Google Play Store 아이콘 모양으로 설치가 된다.

 

[그림 1] 앱 설치 시 아이콘

 

앱 설치 시, 어떠한 퍼미션도 요구하지 않았으며 아래 그림과 같이 AndroidManifest.xml 파일 확인 시, 사용자에게 퍼미션을 요구하지 않는 것으로 확인된다.

 

[그림 2] AndroidManifest.xml 파일 내용

Apk 파일 압축 해제 시에 아래와 같이 assets 폴더에 별도로 8개의 apk가 존재하는 것이 확인된다.

 

[그림 3] 압축 해제 시 /assets 폴더

 

또한 classes.dex 파일을 디컴파일 하여 패키지 구조를 보면 아래와 같다.

 

[그림 4] 패키지 정보

 

앱 제작자가 작성한 com.google.bankun 패키지 안의 MainActivity 클래스를 보면 총 6개의 함수가 확인되며, onCreate 를 제외한 나머지 함수들은 제작자가 작성한 함수로 함수들 각각의 기능은 아래 표와 같다.

 

함수명

기능

onCreate

처음 시작되는 EntryPoint 함수

installZxingApk

Apk 인스톨 기능을 하는 함수

isAvilible

뱅킹앱 설치 여부를 체크하는 함수

chmodApk

권한 변경 기능을 하는 함수

getRootAhth

Root 권한을 확인하기 위한 함수

uninstallApk

Apk 언인스톨 기능을 하는 함수

[표 1] 제작자가 작성한 함수들에 대한 각각의 기능

위 함수들의 흐름은 아래 그림과 같이 뱅킹앱 설치 여부 및 루팅 여부 확인 후, 각 조건에 맞게 assets 폴더 안에 있는 1~8.apk 파일을 설치하는 것으로 확인된다. 설치되는 앱들 중, 8.apk 파일을 살펴보면 금융사 앱을 위장한 앱으로 사용자들에게 이름 및 계좌정보 등을 입력 받는 피싱앱으로 확인된다.

 8.apk 파일 외에 추가로 다른 앱들이 발견 되어도 금융사들의 이름만 다를 뿐 그 기능은 유사한 것으로 확인되며, 각 앱들이 위장하고 있는 금융사들은 아래 표와 같다.

    

APK

은행명

1.apk

**은행

2.apk

**은행

3.apk

**은행

4.apk

**

5.apk

**은행

6.apk

** **은행

7.apk

**은행

8.apk

*****

[표 2] 금융사를 위장한 앱 목록

아래 그림은 1.apk (**은행) 앱의 캡처화면으로 8.apk (*** **) 과 이미지만 다를 뿐 그 방식이 유사하다는 것을 알 수 있다.

 [그림 5] 1.apk 앱

 

위와 같은 피싱앱 외에도 국내에서는 주로 스미싱 메시지를 통해 많은 악성 앱들이 유포되므로 사용자들은 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/Bankun

 

신고
Posted by DH, L@@

 

국내 스마트폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성앱 들이 급격히 증가하고 있는 가운데, 성인 앱을 이용하여 사용자의 개인정보를 탈취하는 앱도 끊임없이 발견되고 있다.

 

최근 발견된 악성 성인 앱중 하나를 살펴보겠다.

 

[그림 1]과 같이 구글 공식 마켓에서 유포되고 있는 성인 앱은 사용자의 동의 없이 전화번호를 수집하고, 성인인증으로 이름과 주민번호를 수집하고 있었다.

 

 

[그림1] 구글 마켓에 등록된 악성 성인 앱

 

[그림 1] 의 정보에서 보이듯 2013년 6월 10일에 업데이트 기록이 남아 있었으나, 6월 11일경 구글 마켓에서 삭제 되었다.

 

 

해당 앱을 설치하여 증상을 살펴보겠다.

 

앱을 설치하면 "엉덩이 줌인"의 아이콘이 생성되고, 실행할 경우 [그림 2]의 오른쪽 화면과 같은 이미지가 나타난다.

 

[그림 2] 악성 앱 아이콘 / 실행화면

 

앱을 실행하게 되면 사용자 동의 없이 스마트폰의 전화번호를 수집하여, 특정 서버로 전송한다.

 

[그림 3] 사용자 동의 없이 개인정보 수집(전화번호)

 

전화번호를 수집하고, 아래와 같은 성인인증 화면을 보여준다.

 

[그림 4] 패키지 정보

 

사용자가 입력한 이름과 주민번호는, 전화번호를 탈취한 서버로 전송된다.

 

[그림 5] 전화번호, 이름, 주민번호 수집

 

소액결제 피해를 유발하는 '체스트' 라고 불리는 악성 앱이 작년부터 유행했다. 최근에는 '체스트' 뿐만 아니라 위에서 소개한 것과 유사한 악성 앱으로 인하여 스마트폰 사용자에게 금전적 피해가 발생하고 있다.

 

위와 같이 수집된 개인정보를 이용하여 자동결제 피해를 유발하는 경우가 발견되고 있으며, 경찰 수사결과 범인을 검거하고 있지만, 악성 앱은 끊임 없이 제작/유포 되고 있다.

 

이러한 악성 앱은 스미싱 메시지를 통해 유포되거나, 구글 공식 마켓, 서드파티 마켓에서도 유포되고 있는 만큼 사용자의 각별한 주의가 필요하다. 스마트폰 사용자들은 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.


V3 모바일 AV-TEST 글로벌 인증 정보


해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/PNStealer

신고
Posted by DH, L@@

 

안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 '체스트' (Android-Trojan/Chest)로 인한 사용자의 피해가 끊이지 않고 있으며, 변종이 끊임없이 유포되고 있다.

최근 유포되고 있는 악성 앱에 대하여 살펴보고, 추가된 코드는 무엇인지 확인 해 보겠다.

 

'체스트' 악성 앱은 사용자의 SMS 문자 메시지를 감시하고, 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인하여 소액결제 인증번호가 유출되고, 그 인증번호를 이용하여 금전적 이득을 취하고 있다.

그동안 꾸준히 발견되고 있는 '체스트' 악성 앱과 배포 방식은 동일하지만, 소스 코드가 일부 추가/변경되어 유포되고 있다.

 

 

악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타겟을 관리하고 모니터링 하고 있다.

 

 

[그림 1] 악성 앱 설치 유도 메시지 발송을 위한 타겟 리스트

 

 

 

 

타겟이 정해지면, 아래와 같은 문자메시지를 통하여 스마트폰 사용자에게 악성 앱 설치를 유도 한다.

 

[그림 2] 악성 앱 설치 유도 문자 메시지

 

단축 URL로 연결하여 앱을 설치하면, 아래와 같은 유명한 커피 전문점 "**** 쿠폰" 아이콘이 생성되며, 서비스에 등록된다.

[그림 3] 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)

 

악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다.

 

[그림 4] 악성 앱이 요구하는 권한 정보

 

악성 앱을 실행하면 아래와 같이 시스템 과부화로 잠시 후 다시 이용할 것을 권하고 있다. 소액결제 인증번호를 수집하기 위한 시간을 벌기 위하여, 즉 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.

 

[그림 5] 의도된 오류 메시지 팝업

 

 

악성 앱이 실행되면, 아래 코드에 의하여 스마트폰의 전화번호가 악성코드 제작자에게 전송된다.

감염된 스마트폰의 전화번호를 수집함으로써, 소액결제를 위한 인증번호 발송 작업을 진행하게 된다.

[그림 6] 특정번호로 수신된 SMS 감시/수집 코드

 

위 코드가 실행되면 "mobile=전화번호" 의 형태로 스마트폰의 전화번호가 전송 된다.

 

이 후, 악성코드 제작자는 아래와 같은 코드를 이용하여 특정번호(송신자)를 포함하는 SMS를 감시하고 있다.

if ((!this.numberchk3.equals("01")) || (this.numberchk1.equals("15")) || (this.numberchk1.equals("16")) || (this.numberchk2.equals("01015")) || (this.numberchk2.equals("01016")) || (this.numberchk3.equals("15")) || (this.numberchk3.equals("16")) || (this.numberchk4.equals("01015")) || (this.numberchk4.equals("01016")) || (this.numberchk1.equals("11")) || (this.numberchk3.equals("11")))

 

[그림 7] 특정번호로 수신된 SMS 감시/수집 코드

 

위와 같이 미리 정의된 번호로 발송된 SMS 는 아래와 같은 코드를 이용하여, 스마트폰 전화번호와 함께 특정서버로 전송된다.

 

[그림 8] 전화번호와 SMS 를 특정서버로 전송하는 코드

 

위 코드가 실행되면 "mobile=전화번호&revsms=SMS내용" 의 형태로 전화번호와 문자메시지가 전송 된다.

 

악성코드 제작자는 "대리운전"과 관련된 다량의 SMS 때문에 아래와 같은 코드를 추가한 것으로 보인다.

아래의 코드는 SMS 감시하면서 "대리운전" 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 "대리운전" 메시지를 전달한다.

 

제작자는 더 이상 "앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요"는 받지 않을 것이다.

 

[그림 9] 대리운전 SMS 필터링

 

 

악성 앱에 감염된 사용자의 리스트를 관리하며, 수집한 SMS 에서 "소액결제 인증번호"가 존재하는지 모니터링 하고 있다.

 

 

[그림 10] 감염자로부터 전송된 SMS 내역

 

악성코드 제작자는 이러한 과정을 통하여 금전적 이득을 취하고 있다.

악성 앱에 감염되고, 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

신고
Posted by DH, L@@

 

일본 성인사이트에서 유포되는 악성 어플리케이션

 

일본 사용자를 대상으로 제작된 안드로이드 악성 어플리케이션이 발견되었다.

해당 어플리케이션이 설치될 경우, 사용자 정보가 유출되므로 주의가 필요하다.
관련 악성 어플리케이션에 대하여 살펴보자.

 


1. 유포 경로




- 악성 어플리케이션을 유포하는 일본 성인 사이트

 [그림] 일본 성인사이트 / 악성 어플리케이션 다운로드 페이지




2. 상세 정보




-  버튼을 클릭하면 악성 어플리케이션이 다운로드 된다.

 

 

[그림] 악성 어플리케이션 다운로드 버튼



- 다운로드 받은 악성 어플리케이션


[
그림] 다운로드 화면 / Install 화면


 


- Install 버튼을 클릭하면 아래와 같은 화면으로 전환되며, 설치가 진행된다.


 

[그림] 설치 진행중인 화면

 



- 설치가 완료된 후 아래와 같은 아이콘이 생성되며, 서비스가 등록되어 실행된다.

[그림] 악성 어플리케이션 아이콘 / 서비스 등록 화면

 



- 악성 어플리케이션의 아이콘을 실행하면 제작자가 의도한 사이트로 이동되며, 사용자 정보가 유출된다.


[그림] 악성 어플리케이션 실행화면(웹사이트 이동)

 


3. 코드 분석



- Main
클래스에 특정서버로 사용자의 정보를 전송하는 코드를 확인 할 수 있다.

스마트폰 단말기에 저장된 정보를 읽고, 전송하는 코드가 존재한다.

-> 전화번호, IMEI, 첫번째 계정정보(구글계정), GPS 정보

 


[그림] 스마트폰 단말기 정보 수집1<전화번호, IMEI, 첫번째 계정정보(구글계정)>

 

 



[그림] 스마트폰 단말기 정보 수집2<GPS>

 




- 스마트폰 단말기에 저장된 정보가 특정서버로 전송되는 네트워크 로그다.


[그림] 스마트폰 단말기에 저장된 정보가 전송되는 과정(로그)




4.
진단 현황




위 악성 어플리케이션과 변종은 V3 mobile 제품으로 치료 가능하다.

Android-Trojan/FakeTimer



[그림] 악성 어플리케이션 변종 정보(아이콘/권한)



5.
스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

 

 

신고
Posted by DH, L@@

1. SMS 과금형 안드로이드 악성 어플리케이션


 지금까지는 중국 또는 러시아를 타겟으로, 프리미엄 번호를 이용하여 사용자에게 요금이 부과되는 안드로이드 악성 어플리케이션이 대부분 이었다.
 이번에는 유럽국가를 타겟으로 제작된 안드로이드 악성 어플리케이션을 살펴 보자.




2. 안드로이드 악성 어플리케이션 정보


- SuiConFo 악성 어플리케이션의 정보




[그림] 악성 어플리케이션의 정보(아이콘, 어플리케이션 이름, 패키지 명, 권한 정보)


- Android 2.2 (Froyo 2.2) 이상에서 설치가 가능하도록 제작되어 있다.
- SEND_SMS 권한으로 보아, 과금이 발생할 수 있음을 추정할 수 있다.
- 그 외 여러 권한정보로 어플리케이션의 기능을 추정할 수 있다.


[그림] Android Manifest 정보




- 현재에도 아래와 같은 웹 사이트에 저장되어 있으며, 다운로드가 가능하다.


[그림] 악성 어플리케이션의 유포지



- 설치 여부 선택을 묻고 있다.


[그림] 설치 화면




- 설치된 악성 SuiConFo 어플리케이션

[그림] 설치된 악성어플리케이션 / 실행화면(ERROR)




- 어플리케이션 실행시팝업된 [ERROR] 는 아래의 코드에 의해 실행된 것이다.

[그림] ERROR 코드





- SMSReceiver class 기능
- 81001, 35064, 63000 등의 번호로 수신된 SMS를 사용자가 알 수 없도록 숨긴다.
- SMS 수신하는 기능과 함께, 제작자로 추정되는 번호로 SMS를 전송한다.(통계를 위한 전송으로 추정된다.)

[그림] SMS 관련 코드 일부



- MagicSMSActivity 기능
- 각 국가별 SMS 번호
벨기에 : 9903
스위스 : 543
룩셈부르크 : 64747
독일 : 63000
스페인 : 35064 
영국 : 60999
프랑스 : 81001

- 악성 어플리케이션 제작자는 캐나다를 코딩하면서 실수를 한것으로 추정된다. str2 str3 부분이 반대로 코딩 되어 있다.

[그림] 국가별 SMS 코드



- SuiConFo 의 어플리케이션이 모두 악성은 아니다.
해당 이름으로 제작된 정상적인 어플리케이션도 존재한다.



5. 스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Posted by DH, L@@

1. 站点之家


정보 수집 및 즐겨찾기를 변경하는 안드로이드 악성 어플리케이션이 중국에서 발견 되었다.



2. Android-Trojan/ROMZhanDian 알아보기



- 앱 아이콘 / 필요 권한 정보

[그림] 패키지명 / 권한 정보


- 설치 후 변경 사항

[그림] 설치시 생성된 아이콘 / 바로가기


[그림] 앱 실행 화면 / 추가된 즐겨찾기



- 앱 설치시 필요한 권한 및 설치가능 버전 정보
   Android 1.5 이상에서 설치되며, 부팅시 시작되도록 설정되어 있다.

[그림] Manifest 정보



- 운영 체제, IMEI/IMSI 번호, shop_id, 모델, APP 이름 등, 수집을 시도한다.

[그림] 정보 수집 관련 일부 코드




3. 스마트폰 사용시 주의 사항 !

- 최신의 OS 버전과 V3 모바일을 사용 한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Posted by DH, L@@

 


1. Google++ 에 대하여..


 최근 구글플러스 SNS 의 사용자가 증가함에 따라, 이를 악용한 악성 어플리케이션이 등장 했다.
인기 SNS의 증가와 사용자의 관심을 이용하여 이른바, 사회공학기법의 악성코드 감염 방식과 유사하다고 볼 수 있다. 

 얼마전 구글 서치(Google Search)를 위장한 앱에 이어 구글을 위장한 악성 앱이 다시 등장한 것이다.

Google SSearch 악성 앱 정보 : http://core.ahnlab.com/299 



2. Nicky 로 불리는 악성 앱 Google++


- 악성 앱이 요구하는 권한 정보



[그림] Google++ 어플리케이션 권한 정보




- 앱이 설치되어도 아이콘은 생성되지 않는다. [응용프로그램 관리]를 통하여 확인 가능 하다.

 

[그림] [응용프로그램 관리] 화면




3. 상세 정보


- AndroidManifest.xml 에서 다음과 같이 동작할 것으로 추정 가능 하다.

[그림]  Manifest 일부


- SMS, 통화 내역, GPS 정보 수집 등 Nicky 와 비슷한 동작을 시도 한다.
Android System Message 악성 앱 정보 http://core.ahnlab.com/320

[그림] 악의적 행위를 시도하는 서비스 관련 코드



- V3 모바일에서는 변종에 대하여 다음과 같이 진단하고 있다.

Android-Spyware/Nicky
Android-Spyware/Nicky.B
Android-Spyware/Nicky.C
Android-Spyware/Nicky.D
Android-Spyware/Nicky.E
Android-Spyware/Nicky.F




4. 스마트폰 사용시 주의 사항 !

- 항상 최신의 OS 버전을 사용 한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.



신고
Posted by DH, L@@


개요


어플리케이션 설치시 안드로이드폰의 사용자 정보를 특정 서버로 유출 시키는 목적을 가진 악성앱이 추가로 발견되어 관련내용 공유드립니다.


앱 정보




[그림1] 앱 아이콘


 


 

[그림2] 앱 실행 화면



특징


 


[그림3] 앱 설치 정보 / 권한 정보



상세 정보



- 폰의 주소록에 저장된 번호로 SMS 를 전송한다.

- 특정 서버로 아래와 같은 사용자의 정보 유출을 시도한다.

  • Phone numbers
  • IMEI number
  • Name

 

 [그림4]  Manifest 정보


[그림5] classes.dex 의 SMS 전송 코드의 일부



[그림6] 특정 서버로 전송되는 정보의 일부 코드

 

 

[그림7] 악성 앱 관계도




진단 정보




[그림8] V3 진단화면

 

 

더보기


 

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다

2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다

3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장
신고
Posted by DH, L@@