1. 개요


중국에서 유명한 QQ 관련, 게임을 리패키징한 안드로이드 모바일 악성코드가 발견되었다.
이번 악성 앱의 큰 특징은 추가 악성 앱을 설치하여, 악의적인 행위를 한다.

2. 앱 정보


[그림1] 앱 아이콘

 

[그림2] 앱 실행화면


3. 특징


QQ 게임을 리패키징 한 악성 앱을 설치할 경우,  busybox 의 압축을 해제하여, 악의적인 ELF 파일을 생성하고 anserverb 를 "xxx.apk" 로 변경하여 악성 앱 설치를 시도한다. busybox 는 압축된 파일.

 

[그림3] 악성 앱(apk)를 압축해제 후 파일 구성 화면


1) 앱 설치시 다음과 같은 권한을 요구한다.

   - Android 1.5 이상에서 설치가능.
   - SD카드 콘텐츠 수정/삭제.
   - 인터넷에 최대한 액세스 가능.
   - 휴대전화 상태 및 ID 읽기 가능.

[그림4] 권한 정보

[그림5] manifest 로 본 앱의 권한 정보와 설치 가능 버전

[그림6] xxx.apk 변경하여, 추가 악성 앱 설치시도의 일부 코드 1


[그림7] xxx.apk 변경하여, 추가 악성 앱 설치시도의 일부 코드 2


2) 추가 설치되는 com.android.battery 의 권한/행위 정보

   - 연락처 데이터 읽기, 테이터 생성.
   - 인터넷에 최대한 액세스.
   - SD 카드 콘텐츠 수정/삭제.
   - 휴대전화 상태 및 ID 읽기.
   - 전화번호 자동 연결, SMS 메시지 보내기.
   - 휴대전화가 절전 모드로 전환되지 않도록 설정.
 

[그림8] 추가 설치되는 앱의 권한 정보



   - 앱이 설치되어도 아이콘이 생성되지 않는다.(백그라운드 동작)
   - android.permission.RECEIVE_BOOT_COMPLETED 권한으로
      부팅시에 자동 실행되어 백그라운드로 동작을 시도한다.

[그림9] 추가 설치되는 com.android.battery 의 manifest 로 본 권한 정보


3) 정적분석을 통하여 다음과 같이 추정 가능하다.
   - 백그라운드로 동작하며 외부로 정보 유출, 일부 보안 프로그램 방해 등의 다양한 악의적 행위를 할 것으로 추정된다.

[그림10] 보안제품 변경을 시도할 것으로 추정되는 일부코드

4. 진단정보



*안철수연구소가 권하는 스마트폰 보안 수칙 10계명

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다. 
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다. 
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다. 
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

1.개 요


최근 트로이목마성 어플리케이션으로 밝혀지면서, 구글 안드로이드마켓에서 퇴출당한 'zsone' 악성코드가 알려지게 되었다.
안드로이드 플랫폼에서의 보안위협에 계속 노출되고 있는 사용자들은 이제 더이상 구글이 운영하는 안드로이드 마켓조차 믿고 이용할 수 없다는 국제적 여론도 형성되고 있는 상황이다. 
진화하는 모바일 보안위협에 대응하고자 발견된 악성코드에 대해 분석 및 정리하는 시간을 갖도록 하겠다.


2.분 석


  • Why "zsone"?

    zsone이란 별칭을 갖게된 이유는 안드로이드마켓에 해당 악성앱을 등록한 개발자 ID가 zsone 이였기 때문이다.

    구글 안드로이드마켓에 zsone 으로 등록되어있는 앱은 총 13개이고, 그 중 10개의 앱에 악성행위를 하는 코드(사용자 몰래 특정번호로 SMS전송)가 담겨있다.
    현재는 등록된 13개의 앱이 모두 마켓에서 Ban된 상태라 더이상 다운로드가 불가능하다.

    악성앱의 이름목록은 아래와 같고, 이중 분석에 사용된 앱은 "iCalender"이다.

     

    • iMatch
    • 3D Cube horror terrible
    • ShakeBanger
    • Shake Break
    • Sea Ball
    • iMine
    • iCalendar
    • LoveBaby
    • iCartoon
    • iBook

  

[그림1] zsone에 의해 등록된 앱(출처 appbrain)


  • Malicious code Analysis


    'iCalender' 앱은 외형적으론 일반적인 달력앱으로 보이지만, 백그라운드로 악성행위를 한다.

     

    [그림2] iCalender

     

    [그림3] main 화면

     

    아래와 같이 'iCalender' 앱이 실행되고, showImg() 가 5번 호출되면 sensSms()가 호출되면서 SMS를 보내게 된다.

     
     

    [그림4] showImg()


    이때 sensSms()는 getStateVal()을 이용하여 sharedPreferences 에 저장된 string 을 읽어오게 되는데, 이때 기록되는 값은 일종의 flag로서 sendSms()가 호출되면 반드시 'Y' 를 기록한다.
    따라서 두번이상 같은 문자를 보내지 않으려는 의도의 코드로 해석할 수 있다.

 


[그림5] sendSms()

뒤이어 sensTextMessage() 를 이용하여 '1066185829' 번호로 '921X1' 이란 내용의 SMS를 보낸다.

위 문자의 의미는 정확히 밝혀지진 않았지만, 중국에서 premium call 로서 활용되는 번호로서 특정 서비스의 과금을 목적으로 하는 번호로 알려져있다. 우리나라에선 해당 번호로 추가요금이 발생하지 않으므로 국내에선 피해가 적을 것이다.

마지막의 save()함수는 위에 설명했듯이 flag로서 'Y' 값을 저장한다.
  

 


[그림6] save()

또한 해당 앱은 별도의 smsReceiver를 설치하여, 특정 전화번호로 온 sms을 숨기는 기능도 갖고 있다.


[그림7] smsReceive()


3.마무리


'zsone' 악성코드는 V3모바일제품군에 아래와 같이 반영되었다.
 


                                진단명                          엔진버전 
               Android-Trojan/SmsSend.F
               Android-Trojan/SmsSend.G
               Android-Trojan/SmsSend.H
               Android-Trojan/SmsSend.I
               Android-Trojan/SmsSend.J
                            2011.05.17.00

만일 V3모바일을 사용하지 않을 경우에는 위에 열거한 리스트를 참조하여 어플리케이션 목록에서 수동으로 삭제하면 된다.


스마트폰 안전수칙

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지
2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제
3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장

 

신고
Creative Commons License
Creative Commons License
Posted by 비회원

개요

안드로이드 모바일 유해가능 프로그램 KidLogger 에 관한 정보


앱 정보


[그림1] 앱 아이콘


[그림2] 앱 실행 화면



특징


[그림3] 권한 정보




상세정보

- Platform Android 2.2 이상에서 설치가 가능하다.
- 사용자의 행위 정보를 저장한다.

  • 통화 목록
  • 문자
  • 웹사이트 방문 기록
  • 위 정보 외에도 다수의 정보를 로그로 남기거나 서버로 전송한다.


[그림4] manifest 정보


[그림5] classes.dex 정보


[그림6] 저장된 로그 화면


진단정보


[그림7] V3 Mobile 2.0 진단 화면


더보기

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다

2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다

3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@


개요


어플리케이션 설치시 안드로이드폰의 사용자 정보를 특정 서버로 유출 시키는 목적을 가진 악성앱이 추가로 발견되어 관련내용 공유드립니다.


앱 정보




[그림1] 앱 아이콘


 


 

[그림2] 앱 실행 화면



특징


 


[그림3] 앱 설치 정보 / 권한 정보



상세 정보



- 폰의 주소록에 저장된 번호로 SMS 를 전송한다.

- 특정 서버로 아래와 같은 사용자의 정보 유출을 시도한다.

  • Phone numbers
  • IMEI number
  • Name

 

 [그림4]  Manifest 정보


[그림5] classes.dex 의 SMS 전송 코드의 일부



[그림6] 특정 서버로 전송되는 정보의 일부 코드

 

 

[그림7] 악성 앱 관계도




진단 정보




[그림8] V3 진단화면

 

 

더보기


 

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다

2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다

3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

1. 중국의 서드파티 마켓을 통해 배포되는 악성 어플리케이션 정보


[그림1] 응용프로그램 관리

  



[그림4] App 의 Manifest 내용



2. V3 Mobile 진단 정보


[그림5] V3 moblie 진단화면


 Android-Spyware/MinServ   # 엔진버젼: 2011.03.15.00
 


3. 예방방법
 

1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함.
: D
신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. 서론


성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.

2. 악성코드 정보

해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.

 발견 일시
 8월 10일
 9월 9일
 10월 12일
 아이콘
 어플리케이션 명
 MoviePlayer  PornoPlayer  PornoPlayer

[표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션


[그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션

어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.


  android.telephony.SmsManager.sendTextMessage("7132", 0, "846978", 0, 0);
   *
'7132' 번호로 "846978" 이라는 문자메시지를 발송.
     
아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.

  android.telephony.SmsManager.sendTextMessage("7132", 0, "845784", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "846996", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "844858", 0, 0);

[표 2] 성인 동영상 플레이어를 위장한 악성 어플리케이션

3. 대응 현황


현재 V3 Mobile에서는 사용자에게 SMS 요금을 과금시키는 PornoPlayer 어플리케이션을  Android-Trojan/SmsSend.B 진단명으로 진단/치료 기능을 제공하고 있습니다.

[그림 2] V3 Mobile 수동검사에서 Android-Trojan/SmsSend.B 진단



[그림 3] V3 Mobile 실시간 검사에서 Android-Trojan/SmsSend.B 진단


4. 예방 방법
 
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2)
출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 서론
 요즘 최고의 히트상품은 뭐니뭐니 해도 스마트폰 일 것 입니다.최근 안드로이드폰 월페이퍼 어플리케이션(App)에  포함된 사용자 개인정보 유출기능이 확인되어 주의가 요망되기에 내용을 포스팅 합니다.


2. 악성코드 정보
 이번에 이슈가 되고 있는 악성 어플리케이션은 정상적인 월페이퍼 어플리케이션 내부에 사용자정보를 수집하고, 네트워크로 전달하는 기능이 들어 있습니다.

이렇게 정보가 수집되고 전달되는 부분에 대해서는 지속적으로 고민하고, 논의하여 현재의 스마트폰 환경에 적합한 기준을 수립할 예정입니다.
아래 화면은 실제 해당 악성 어플리케이션을 실행한 화면 입니다.


 
 
 
[그림] 이번에 이슈가 되고 있는 악성 어플리케이션


3. 대응 현황
 V3 Mobile에서는 앱의 구동과는 무관해 보이는 사용자 개인정보가 네트워크를 통해 유출되는 부분에 문제제기를 하였고, 그 일환으로 아래와 같이 Android-Spyware/EWalls 진단명으로 진단하게 되었습니다. 아래 화면은 V3 Mobile을 통해 발견된 악성코드의 진단/치료 화면 입니다.

 
[그림] V3 Mobile 제품에서 악성 어플리케이션을 진단한 화면


진단된 악성코드에 대해 삭제여부를 묻는 화면 입니다. '예' 를 선택하여 삭제하실 것을 권해 드립니다.


[그림] V3 Mobile 제품에서 악성 어플리케이션을 진단한 화면



4. 결론
 스마트폰 보안에 대한 다양한 의견 및 뉴스기사들이 등장하고 있는 요즘 입니다. 유해성 유무 판단이 쉽지 않은 만큼 사용자들의 각별한 주의가 요망됩니다.

출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제하기시 바라며 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.

앞으로 저희 ASEC 대응팀 블로그에서는 사용자들의 앱 이용에 참고하실만한 정보가 확인될 때마다 이 자릴 빌어 소개하도록 하겠습니다. 고맙습니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원