1. 개 요

최근 안드로이드기반의 스마트폰이 전세계적으로 확산되는 가운데, 중동의 이스라엘을 겨냥한 call 과금형 악성코드가 발견되어 분석 내용을 공유한다.

 


2. 분 석

해당 악성코드는 구글 안드로이드마켓에서 발견되었으며, "Voice Changer Israel" 이라는 어플리케이션 이름을 사용하고 있다. 이 어플리케이션은 제목 그대로 음성을 변조하여 상대방에게 전화를 걸 수 있는 엔터테인먼트 어플리케이션으로 위장하고 있다.

                                                   [fig. app icon]

아래의 실행화면을 보면 전화번호 입력란과 전화통화시 세가지의 목소리를 선택할 수 있고, 아래의 통화버튼 밑에 1분당 6 NIS(약 1.6달러) 가 과금 된다는 안내문이 표기되어 있는 것을 확인할 수 있다.

                                                         [fig. 실행 화면]

코드를 살펴보면, 아래와 같이 동작과정 중 특정 번호(premium number)로 call 을 하여 과금을 시키고, 그후 입력하였던 원래 전화번호로 음성변조된 전화를 건다.

                                                             [fig. 부분 코드]

아래와 같이 어플리케이션의 권한을 살펴보면 해당 어플이 call 을 통한 과금을 할 수 있다는 짐작을 할 수는 있으나, 원래 어플리케이션 성격상 call 기능이 반드시 포함되어야 하므로 설치시 권한만으로 악성어플임을 인지하는 것은 어렵다.


                      [fig. 사용 권한]



3. 결 론

해당 악성어플은 V3 mobile 제품군에서 Android-Trojan/FakeVoice 로 진단가능하다.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원
스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다.


▶ 개인정보 유출

해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다.

1. IMEI
2. 제조사 (manufacturer)
3. Model 번호
4. IMSI


[pic. data stealing code]


[pic. sending data with http post ]



다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.)

해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.

 com.cola.twisohu
 com.sohu.newsclient
 com.duomi.android
 com.snda.youni
 cn.emoney.l2
 com.diguayouxi
 com.mx.browser
 com.uc.browser
 com.onekchi.xda
 cn.goapk.market
 com.wuba
 com.mappn.gfan
 com.hiapk.marketpho

[pic. checking md5sum ]


현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다.

2011.08.10.00
Android-Spyware/Netsend

아래의 수칙을 지켜 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.


신고
Posted by 비회원

1. 서 론

정상 어플리케이션인 "Steamy Windows" 에 악성코드를 삽입하여 중국어버젼으로 리패키징한 악성 안드로이드 애플리케이션 변종이 금일 발견되었습니다.





2. 악성코드 분석 정보

위와 같은 악성어플리케이션은 구글에서 공식적으로 운영하는 마켓이 아닌, "Third-party market" (제 3자에 의해 제공되는 안드로이드마켓) 에서 발견되었습니다.

구글에서 제공하는 어플리케이션 Market 의 경우는 자체 검수시스템에 의해 업로드되는 앱들에 대해 검증하는 절차가 있지만, "Third-pary market" 은 대부분 위와 같은 검수시스템이 아예 없거나, 불법앱을 업로드하는 사람에 대해 인증할 수 있는 부분이 없기 때문에 악성어플리케이션이 존재할 가능성이 매우 높으므로,  앱을 다운받을때는 가급적 공식마켓을 이용하는 습관이 필요합니다.

정상 애플리케이션에 특정 코드가 삽입되어 리패키징된 경우에는, 사용자들이 정상앱과 차이점을 구별하기 쉽지 않으나, 추가된 코드에 의해 아래 화면과 같이 앱 설치시 요구되는 권한이 매우 증가되는 점으로 파악가능합니다.

[변경된 요구 권한]

또한 정상 애플리케이션에는 존재하지 않는 service 코드들이 아래와 같이 추가된 것을 알 수 있습니다.

[추가된 서비스]

이 악성앱은 실행시 기존의 앱의 기능을 정상적으로 수행하며, 백그라운드로 사용자 개인정보를 유출할 수 있습니다. 유출가능한 정보는 IMEI/IMSI , 핸드폰번호, Service Provider 등이 있으며, 추가적으로 사용자의 음성통화내용도 유출될 가능성이 존재합니다. 또한 정보유출과 별도로, 해당 악성앱은 문자메시지(SMS)를 통해 외부에서 원격조종을 하는 기능이 포함되어 있는 것으로 밝혀졌습니다.



3. 권고 사항

위 악성 애플리케이션은 V3 mobile 제품에서 아래와 같이 진단하오니, 감염이 의심된다면 엔진업데이트 후 수동검사를 통해 설치된 어플리케이션들을 검사해보시기 바랍니다.

- 진단명
 Android-Spyware/Adrd.E   # 엔진버젼: 2011.03.02.00
 Android-Spyware/Adrd.F   # 엔진버젼: 2011.03.02.00
 Android-Spyware/Adrd.G   # 엔진버젼: 2011.03.02.00
 Android-Spyware/Adrd.H   # 엔진버젼: 2011.03.02.01




또한 아래 안내해드리는 사항을 지키셔서, 자신의 스마트폰이 악성코드에 감염되는 것을 예방하시기 바랍니다.
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함.

신고
Posted by 비회원