국내에서는 3가지 피해사례가 끊임없이 발견되고 있다.

1. 온라인게임 계정 유출로 인한 피해

2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해

3. 상품권 번호 유출로 인한 피해

 

1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다.

http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해]

 

국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다.

그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자.

 

해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다.

네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다.

 

testsample.exe     CREATE C:\WINDOWS\system32\drivers\7f12a432.sys    

testsample.exe     CREATE C:\WINDOWS\system32\kakubi.dll

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpbi.dll    

testsample.exe     DELETE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Coor.bat    

[File Monitor Information]

 

testsample.exe     TCP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     

testsample.exe     HTTP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     2xx.16.1xx.xxx/xx/get.asp?mac=3F72BD929D0****9E0C0E24FDDCC4F09&os=winxp%20Professional&avs=(V3)&ps=NO.&ver=NOON    

testsample.exe     TCP DISCONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80

[Network Monitor Information]

 

감염된 상태에서 특정 사이트를 접속하여 실제 유출되는 과정을 살펴보자.

 

- 계정 정보 탈취

[그림1] 북**** 닷컴 로그인 화면

 

위의 [그림1]은 북****닷컴 사이트의 로그인 화면이며, 로그인을 하게 되면 아래와 같은 패킷이 확인된다.

 

[그림2] 로그인 시, 패킷 덤프

 

[그림2]는 패킷을 캡쳐한 화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가 전송되는 것을 확인할 수 있다.

 

- 상품권 정보 탈취

 

[그림3] 북****닷컴 상품권 입력 화면

 

 

[그림4] 상품권 번호 입력 시, 패킷덤프

 

로그인 후에 상품권 번호 입력을 하게 되면 로그인 계정과 마찬가지로 상품권 정보를 탈취하는 패킷을 확인할 수 있으며, 이 역시 같은 IP로 상품권 정보가 전송 된다. 테스트로 살펴본 북****닷컴 외에도 악성코드가 로드 되어 있을 때 메모리에서 아래의 사이트 String 정보들을 확인할 수 있었고 이 사이트들의 계정 정보도 탈취할 수 있다는 것을 보여준다.

 

aran.kr.gameclub.com

login.nexon.com

auth.siren24.com

bns.plaync.com

heroes.nexon.com

www.nexon.com

www.happymoney.co.kr

www.teencash.co.kr

www.cultureland.co.kr

www.booknlife.com

capogames.net

dragonnest.nexon.com

elsword.nexon.com

clubaudition.ndolfin.com

www.netmarble.net

itemmania.com

www.itembay.com

www.pmang.com

aion.plaync.jp

plaync.co.kr

maplestory.nexon.com

fifaonline.pmang.com

df.nexon.com

nxpay.nexon.com

baram.nexon.com

(생략…)

[그 외 해당 사이트들]

 

실제로 유출사례가 발견 되었고 꾸준히 발견되고 있는 악성코드인 만큼 사용자들의 각별한 주의가 요구된다.

이외에도 많은 악성코드들이 윈도우 및 응용프로그램 취약점을 통하여 감염된다.

따라서, 반드시 최신 보안패치를 설치하고, 안전성이 확인되지 않은 파일공유사이트(P2P, Torrent)등에서 받은 불법적인 파일은 실행하지 않는것이 중요하다.

 

Microsoft

http://update.microsoft.com

 

Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

▶ 한글과컴퓨터 업데이트 방법

http://asec.ahnlab.com/888 

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

지난 10월, 방송통신위원회를 사칭해 스팸 문자 차단 애플리케이션을 무료로 배포하는 것처럼 위장한 악성 안드로이드 애플리케이션이 발견되었다.

 

확인된 스팸 문자는 아래와 같다.

 

[방통위]통신사합동 스팸문자 차단어플 백신무료 배포 Play 스토어 어플

http://bit.ly/QQyLSs 주소를 클릭해주십시오.

 

해당 링크를 따라가면 구글 Play 스토어로 접속하여 Stech 개발자가 제작한 Spam Blocker 애플리케이션을 다운로드 하는 페이지로 연결된다.

Stech 개발자가 Play 스토어에 등록한 애플리케이션은 "Spam Blocker" 이외에도

"Spam Guard", "Stop Phishing!!" 이 발견되었다.

 

[그림 1] 구글 Play 스토어에 Stech 개발자로 등록된 애플리케이션

 

 

3개의 애플리케이션 모두 스팸 차단 기능은 포함하지 않고 있으며, 설치 시 스마트폰의 정보를 외부로 유출하는 악의적 기능이 포함되어 있다.

 

위 애플리케이션에 대하여 상세히 알아보자.

 

아래 그림은 악성 애플리케이션을 설치한 화면이다.

    

[그림 2] Spam Blocker 아이콘 / 실행 화면

 

해당 애플리케이션의 권한 정보를 살펴보자.

 

[그림 3] 악성 애플리케이션 권한정보

 

 

 

 

아래 그림에서 애플리케이션의 행위를 추정할 수 있는 퍼미션이 3개 모두 동일하다.

 

[그림 4] AndroidManifest.xml 정보

 

Dex 파일의 소스 코드를 확인해보면, 전화번호와 통신망 사업자 정보를 수집하여 특정 서버로 전송하는 코드가 존재한다.

 

[그림 5] 전화번호, 통신망 사업자 정보를 수집하는 코드 중 일부

 

SMSService 클래스에는 아래와 같은 미리 정의된 번호로 수신될 경우, 해당 SMS를 외부서버(50.18.59.8)로 유출하는 코드가 존재한다.

 

애플리케이션에 따라 외부서버의 주소는 각각 다르다.

Spam Guard : 54.243.187.198

Stop phishing : 50.18.59.185

 

[그림 6] 미리 정의된 SMS 수신번호

 

위 3개의 악성 애플리케이션 내부에는 자사의 상징적인 이미지와 통신사(KT, SK), 그리고 골프와 관련된 아이콘이 포함되어 있다. 향후 악성 애플리케이션을 추가 제작하려는 의도가 있을 것으로 추정된다.

[그림 7] 애플리케이션 내부에 포함된 아이콘 이미지 파일

 

 

V3  모바일 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/Chest

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안드로이드 플랫폼이 큰 인기를 끌면서 모바일 기반의 악성코드 또한 활개치고 있다. 악성코드는 주로 인기 있는 어플리케이션으로 위장하여 사용자가 설치하게끔 유도하는데 그 대상으로 빠지지 않고 이용되는 인기게임 중 하나가 바로 "Angry Birds" 가 아닐까 한다.

 

이번에 새롭게 발견된 악성코드 역시 유명게임 "Angry Birds" 를 위장하고 있어 주의가 필요하다.

 

[fig. 가짜 Angry Birds 아이콘]

 

해당 악성코드는 중국의 써드파티마켓에서 최초 발견되었으며 위와 같이 Angry Birds 게임으로 위장하고 있다. 중국의 써드파티 안드로이드마켓 규모는 우리나라보다 크고 정품어플리케이션을 불법으로 받기 위해 이용하는 경우가 많아 사용자들이 쉽사리 악성어플리케이션에 대해 노출되기 쉬운 환경이다.

 

[fig. manifest 에 나타나는 악성 service]

 

 

이 악성코드는 설치 시 "com.neworld.demo.UpdateCheck" 라는 악성 서비스가 실행되는데, 이 서비스는 어플리케이션의 assets 폴더에 저장된 그림파일(mylogo.jpg)에 몰래 숨겨놓은 elf 포맷의 악성파일을 추가적으로 실행하며 아래와 같은 악의적인 동작을 지속적으로 수행한다.

 

  1. 사용자 폰 정보 탈취
  2. 강제 Rooting 시도
  3. C&C서버와 통신하며 명령수행 (ex.프로그램 설치)

     

 

[fig. 악성 elf 파일이 숨겨진 jpg 그림파일]

 

[fig. jpg 에 포함된 elf 의 binary 코드]

 

 

[fig. 폰정보 탈취코드]

 

[fig. C&C서버 통신 코드]

 

해당 악성코드는 V3 mobile 제품군에서 아래와 같이 진단한다.

Android-Exploit/Rootor.TC

 

아래의 스마트폰 악성코드 피해방지 3계명을 지켜 모바일 라이프를 안전하게 즐기도록 하자. J

 

- 스마트폰 악성코드 피해방지 3계명 http://blog.ahnlab.com/ahnlab/1488

▲백신 검사철저 ▲운영체제 구조 임의 변경 자제 ▲의심 서비스 이용 주의

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
이전 블로그에서 다뤘던 문자과금 및 추가 악성코드 설치를 유발하는 
Android-Trojan/Fakeinst 의 변종이 최근 해외에서 다량의 트위터 계정을 통해 안드로이드 악성코드가 확산 중인 것이 발견되어 관련 내용을 공유한다.


2. 분 석
악성코드유포에 사용된 트윗들은 러시아 언어로 작성되었으며 단축URL 을 이용하여 악성코드 설치를 유도하는 특징이 있고, 내용들은 인기어플리케이션을 소개한다거나, 의미 없는 단어 조합 + 악성 어플리케이션 다운로드 URL 로 구성되어 있다.








[fig 1. 악성코드 유포 트윗]


트윗에 포함된 단축 URL 을 클릭하면 아래와 같이 악성코드 설치를 유도하는 페이지로 접근된다. 해당 페이지들은 주로 인기어플리케이션(모바일 브라우저, 모바일 백신 등) 설치페이지로 위장되어 있다.





[fig 2. 악성코드 유포 웹페이지]


해당 페이지를 통해 설치되는 악성 어플리케이션은 아래와 같은 동작을 한다.

1. 사용자 폰의 개인정보(IMEI, IMSI,phone number 등)를 특정 서버로 유출
2. premium number 로 SMS 과금
3. 백그라운드에서 실행되며 주기적으로 다른 악성코드 설치 유도




[fig 3. 악성 어플리케이션 실행 화면]






[fig 4. 주기적으로 접근하는 악성코드 설치 유도 페이지]


악성행위관련 코드들은 다음과 같다. 

 



[fig 5. 관련 악성 코드]


3. 진단 현황

위 악성코드는 V3 mobile 제품군에서 아래의 진단명으로 치료가능하다.

Android-Trojan/Fakeinst
Android-Trojan/FakeIM



4. 스마트폰 안전수칙

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요

최근 안드로이드기반의 스마트폰이 전세계적으로 확산되는 가운데, 중동의 이스라엘을 겨냥한 call 과금형 악성코드가 발견되어 분석 내용을 공유한다.

 


2. 분 석

해당 악성코드는 구글 안드로이드마켓에서 발견되었으며, "Voice Changer Israel" 이라는 어플리케이션 이름을 사용하고 있다. 이 어플리케이션은 제목 그대로 음성을 변조하여 상대방에게 전화를 걸 수 있는 엔터테인먼트 어플리케이션으로 위장하고 있다.

                                                   [fig. app icon]

아래의 실행화면을 보면 전화번호 입력란과 전화통화시 세가지의 목소리를 선택할 수 있고, 아래의 통화버튼 밑에 1분당 6 NIS(약 1.6달러) 가 과금 된다는 안내문이 표기되어 있는 것을 확인할 수 있다.

                                                         [fig. 실행 화면]

코드를 살펴보면, 아래와 같이 동작과정 중 특정 번호(premium number)로 call 을 하여 과금을 시키고, 그후 입력하였던 원래 전화번호로 음성변조된 전화를 건다.

                                                             [fig. 부분 코드]

아래와 같이 어플리케이션의 권한을 살펴보면 해당 어플이 call 을 통한 과금을 할 수 있다는 짐작을 할 수는 있으나, 원래 어플리케이션 성격상 call 기능이 반드시 포함되어야 하므로 설치시 권한만으로 악성어플임을 인지하는 것은 어렵다.


                      [fig. 사용 권한]



3. 결 론

해당 악성어플은 V3 mobile 제품군에서 Android-Trojan/FakeVoice 로 진단가능하다.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있다.

이전글 참고
안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의


최근 발견된 악성코드는 '유명한 게임' 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 '유럽' 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없다.

해당 악성코드에 대해 자세히 살펴보자


1. 유포 경로

구글 공식 안드로이드마켓(
http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없다.


[그림. android market 에 유포된 악성코드]
 출처: symantec 블로그


2. 분 석

해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵다.

 

 

[그림. 악성 어플리케이션]


[그림. 정상 어플리케이션]



해당 프로그램을 설치하게 되면 아래와 같이 정상게임에선 뜨지 않는 화면이 나오며 게임플레이를 하기 위해 http://91.xxx.xxx.148/app 를 통해 추가적인 어플리케이션을 다운로드 유도하는 것으로 보이나 현재 정상적인 접속은 되지 않는 것으로 확인된다.




[그림. 실행 화면]

첫화면의 Rules 를 클릭시 해당 프로그램이 sms 를 전송한다는 약관내용이 확인된다. 이와 같은 형태는 이전 블로그에서 다뤘던 FakeInst 변종  과 매우 유사하다.


[그림. rules]

악성코드는 아래와 같이 sim card 에서 단말기의 국가코드를 파싱하여 국가에 맞는 과금번호(premium number)로  문자를 전송한다.


[그림. 문자 과금 코드]

과금 관련 코드는 아래와 같이 총 18개의 유럽지역의 국가에 대해서 발송되도록 설정되어있다.

국가코드  송신 번호  국가이름
am 1121 Armenia
az 9014 Azerbaijan
by 7781 Belarus
cz 90901599 Czech Republic
de 80888 Germany
ee 17013 Estonia
fr 81185 France
gb 79067 United Kingdom
ge 8014 Georgia
il 4545 Israel
kg 4157 Kyrgyzstan
kz 7790 Kazakhstan
lt 1645 Lithuania
lv 1874 Latvia
pl 92525 Poland
ru 7781 Russian Federation
tj 1171 Tajikistan
ua 7540 Ukraine

[표. 문자 과금 대상 국가]


해당 악성코드는 아래와 같이 SMS과금관련 권한을 확인하여서도 구분이 가능하므로, 사용자들은 어플리케이션 설치시 항상 권한을 주의깊게 살핀 후 설치하는 습관을 갖도록 하자.


[그림. 권한]

3. 진단 현황

위 악성코드는 V3 mobile 제품군에서 아래의 진단명으로 치료가능하다.

Android-Trojan/Pavelsms


4. 스마트폰 안전수칙

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. SMS 과금형 안드로이드 악성 어플리케이션


 지금까지는 중국 또는 러시아를 타겟으로, 프리미엄 번호를 이용하여 사용자에게 요금이 부과되는 안드로이드 악성 어플리케이션이 대부분 이었다.
 이번에는 유럽국가를 타겟으로 제작된 안드로이드 악성 어플리케이션을 살펴 보자.




2. 안드로이드 악성 어플리케이션 정보


- SuiConFo 악성 어플리케이션의 정보




[그림] 악성 어플리케이션의 정보(아이콘, 어플리케이션 이름, 패키지 명, 권한 정보)


- Android 2.2 (Froyo 2.2) 이상에서 설치가 가능하도록 제작되어 있다.
- SEND_SMS 권한으로 보아, 과금이 발생할 수 있음을 추정할 수 있다.
- 그 외 여러 권한정보로 어플리케이션의 기능을 추정할 수 있다.


[그림] Android Manifest 정보




- 현재에도 아래와 같은 웹 사이트에 저장되어 있으며, 다운로드가 가능하다.


[그림] 악성 어플리케이션의 유포지



- 설치 여부 선택을 묻고 있다.


[그림] 설치 화면




- 설치된 악성 SuiConFo 어플리케이션

[그림] 설치된 악성어플리케이션 / 실행화면(ERROR)




- 어플리케이션 실행시팝업된 [ERROR] 는 아래의 코드에 의해 실행된 것이다.

[그림] ERROR 코드





- SMSReceiver class 기능
- 81001, 35064, 63000 등의 번호로 수신된 SMS를 사용자가 알 수 없도록 숨긴다.
- SMS 수신하는 기능과 함께, 제작자로 추정되는 번호로 SMS를 전송한다.(통계를 위한 전송으로 추정된다.)

[그림] SMS 관련 코드 일부



- MagicSMSActivity 기능
- 각 국가별 SMS 번호
벨기에 : 9903
스위스 : 543
룩셈부르크 : 64747
독일 : 63000
스페인 : 35064 
영국 : 60999
프랑스 : 81001

- 악성 어플리케이션 제작자는 캐나다를 코딩하면서 실수를 한것으로 추정된다. str2 str3 부분이 반대로 코딩 되어 있다.

[그림] 국가별 SMS 코드



- SuiConFo 의 어플리케이션이 모두 악성은 아니다.
해당 이름으로 제작된 정상적인 어플리케이션도 존재한다.



5. 스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@


1. 서 론


 

지난 8월에 발견된 Google+를 위장한 악성 어플 Google++, 그리고 지난 6월에 발견된 Google Search 를 위장한 Google SSearch 를 이어, 이번에는 미국에서 인기있는 온라인 스트리밍 비디오 서비스 어플리케이션을 위장한 악성 어플리케이션 Netflix 가 발견 되었다.

 

이 처럼 인기있는 어플을 위장한 악성 어플리케이션이 지속적으로 발견되고 있기 때문에, 어플리케이션을 설치할 경우, 불필요한 권한을 요구하진 않는지 등등, 스마트폰 안전 수칙에 항상 관심을 갖고 설치해야 한다



 

                                         [그림] Google 위장 안드로이드 악성 어플

 




2.     NETFLIX 로 위장한 악성 어플 분석 





[그림] NETFLIX 위장한 악성 어플의 권한 정보

 

 

 

- Android OS 1.6 이상에서 설치 가능하도록 제작 되었다.



[그림] Manifest 정보

 

 


[그림] 악성 어플의 응용프로그램 정보

 



-
악성 어플을 실행할 경우 아래와 같이 Email Passwoord 를 입력 받는다.


 

                                     [그림] 악성 어플 실행 화면

 



- Email Password 를 입력하면 아래와 같은 화면이 팝업 되고, Cencel 을 선택하면 제거 화면으로 넘어간다.

- 삭제를 취소하려고 해도 취소 되지 않고, 반드시 삭제하도록 되어 있다.

                            [그림] 팝업된 화면 / Cancel 을 선택 후 화면


 

 

- 수집된 Email Password 는 외부서버로 전송을 시도한다.


[그림] Email Password 수집 시도 및 전송 url 코드



- 정상 Netflix 실행시 아래와 같이 스마트폰 상단의 상태바가 표시 되므로 악성과 구분 된다.



[그림] 정상 Netflix 실행 화면

 

 

3. 스마트폰 안전 수칙



1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.

2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@
스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다.


▶ 개인정보 유출

해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다.

1. IMEI
2. 제조사 (manufacturer)
3. Model 번호
4. IMSI


[pic. data stealing code]


[pic. sending data with http post ]



다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.)

해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.

 com.cola.twisohu
 com.sohu.newsclient
 com.duomi.android
 com.snda.youni
 cn.emoney.l2
 com.diguayouxi
 com.mx.browser
 com.uc.browser
 com.onekchi.xda
 cn.goapk.market
 com.wuba
 com.mappn.gfan
 com.hiapk.marketpho

[pic. checking md5sum ]


현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다.

2011.08.10.00
Android-Spyware/Netsend

아래의 수칙을 지켜 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원

 


1. Android-Spyware/Nicky 정보!


해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다.


2. Nicky 악성 앱 Android System Message 정보!



* 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다.

[그림] Nicky Spyware 권한 정보



[그림] 灵猫安安 의 설치/실행 정보




* android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다.

        <service android:name=".MainService" android:exported="true">
        <service android:name=".GpsService" android:exported="true">
        <service android:name=".SocketService">
        <service android:name=".XM_SmsListener" />
        <service android:name=".XM_CallListener" />
        <service android:name=".XM_CallRecordService" />
        <service android:name=".RecordService" />

[그림] Manifest 정보


* 사용자의 정보를 수집/전송하는 class 정보들

[그림] 정보 수집/전송하는 class 전체 화면



* 수집된 정보 저장 위치는 아래 코드로 추정 가능하다.
/sdcard/shangzhou/callrecord/




* 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일


[그림] 통화내역 저장 화면
 


* 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다. 


[그림] 특정 서버로 전송을 시도하도록 되어 있는 코드의 일부



* V3 모바일 진단 화면


[그림] V3 모바일 화면



* V3 모바일에서는 변종에 대하여 다음과 같이 진단하고 있다.
Android-Spyware/Nicky
Android-Spyware/Nicky.B
Android-Spyware/Nicky.C



* 스마트폰 사용시 주의사항!



 
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

 
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@