국내 스마트폰 사용자들을 타깃으로 유포되고 있는 악성앱 들이 점차 증가하고 있는 가운데 금융사를 위장한 피싱앱도 종종 발견된다. 스미싱으로 유포되는 악성 앱들은 휴대폰의 소액결제를 통해 금전적인 이득을 취하려는 목적이 대부분인 반면 금융 피싱앱은 보안카드 및 사용자의 금융관련 정보를 모두 탈취하려는 의도로 그 피해가 커질 수 있어 주의를 요한다.

 

최근 발견된 금융사 피싱앱은 금융사 관련 피싱사이트를 통해 배포되는 것으로 추정되며, 설치 시에는 아래와 같이 Google Play Store 아이콘 모양으로 설치가 된다.

 

[그림 1] 앱 설치 시 아이콘

 

앱 설치 시, 어떠한 퍼미션도 요구하지 않았으며 아래 그림과 같이 AndroidManifest.xml 파일 확인 시, 사용자에게 퍼미션을 요구하지 않는 것으로 확인된다.

 

[그림 2] AndroidManifest.xml 파일 내용

Apk 파일 압축 해제 시에 아래와 같이 assets 폴더에 별도로 8개의 apk가 존재하는 것이 확인된다.

 

[그림 3] 압축 해제 시 /assets 폴더

 

또한 classes.dex 파일을 디컴파일 하여 패키지 구조를 보면 아래와 같다.

 

[그림 4] 패키지 정보

 

앱 제작자가 작성한 com.google.bankun 패키지 안의 MainActivity 클래스를 보면 총 6개의 함수가 확인되며, onCreate 를 제외한 나머지 함수들은 제작자가 작성한 함수로 함수들 각각의 기능은 아래 표와 같다.

 

함수명

기능

onCreate

처음 시작되는 EntryPoint 함수

installZxingApk

Apk 인스톨 기능을 하는 함수

isAvilible

뱅킹앱 설치 여부를 체크하는 함수

chmodApk

권한 변경 기능을 하는 함수

getRootAhth

Root 권한을 확인하기 위한 함수

uninstallApk

Apk 언인스톨 기능을 하는 함수

[표 1] 제작자가 작성한 함수들에 대한 각각의 기능

위 함수들의 흐름은 아래 그림과 같이 뱅킹앱 설치 여부 및 루팅 여부 확인 후, 각 조건에 맞게 assets 폴더 안에 있는 1~8.apk 파일을 설치하는 것으로 확인된다. 설치되는 앱들 중, 8.apk 파일을 살펴보면 금융사 앱을 위장한 앱으로 사용자들에게 이름 및 계좌정보 등을 입력 받는 피싱앱으로 확인된다.

 8.apk 파일 외에 추가로 다른 앱들이 발견 되어도 금융사들의 이름만 다를 뿐 그 기능은 유사한 것으로 확인되며, 각 앱들이 위장하고 있는 금융사들은 아래 표와 같다.

    

APK

은행명

1.apk

**은행

2.apk

**은행

3.apk

**은행

4.apk

**

5.apk

**은행

6.apk

** **은행

7.apk

**은행

8.apk

*****

[표 2] 금융사를 위장한 앱 목록

아래 그림은 1.apk (**은행) 앱의 캡처화면으로 8.apk (*** **) 과 이미지만 다를 뿐 그 방식이 유사하다는 것을 알 수 있다.

 [그림 5] 1.apk 앱

 

위와 같은 피싱앱 외에도 국내에서는 주로 스미싱 메시지를 통해 많은 악성 앱들이 유포되므로 사용자들은 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/Bankun

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 '체스트' (Android-Trojan/Chest)로 인한 사용자의 피해가 끊이지 않고 있으며, 변종이 끊임없이 유포되고 있다.

최근 유포되고 있는 악성 앱에 대하여 살펴보고, 추가된 코드는 무엇인지 확인 해 보겠다.

 

'체스트' 악성 앱은 사용자의 SMS 문자 메시지를 감시하고, 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인하여 소액결제 인증번호가 유출되고, 그 인증번호를 이용하여 금전적 이득을 취하고 있다.

그동안 꾸준히 발견되고 있는 '체스트' 악성 앱과 배포 방식은 동일하지만, 소스 코드가 일부 추가/변경되어 유포되고 있다.

 

 

악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타겟을 관리하고 모니터링 하고 있다.

 

 

[그림 1] 악성 앱 설치 유도 메시지 발송을 위한 타겟 리스트

 

 

 

 

타겟이 정해지면, 아래와 같은 문자메시지를 통하여 스마트폰 사용자에게 악성 앱 설치를 유도 한다.

 

[그림 2] 악성 앱 설치 유도 문자 메시지

 

단축 URL로 연결하여 앱을 설치하면, 아래와 같은 유명한 커피 전문점 "**** 쿠폰" 아이콘이 생성되며, 서비스에 등록된다.

[그림 3] 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)

 

악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다.

 

[그림 4] 악성 앱이 요구하는 권한 정보

 

악성 앱을 실행하면 아래와 같이 시스템 과부화로 잠시 후 다시 이용할 것을 권하고 있다. 소액결제 인증번호를 수집하기 위한 시간을 벌기 위하여, 즉 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.

 

[그림 5] 의도된 오류 메시지 팝업

 

 

악성 앱이 실행되면, 아래 코드에 의하여 스마트폰의 전화번호가 악성코드 제작자에게 전송된다.

감염된 스마트폰의 전화번호를 수집함으로써, 소액결제를 위한 인증번호 발송 작업을 진행하게 된다.

[그림 6] 특정번호로 수신된 SMS 감시/수집 코드

 

위 코드가 실행되면 "mobile=전화번호" 의 형태로 스마트폰의 전화번호가 전송 된다.

 

이 후, 악성코드 제작자는 아래와 같은 코드를 이용하여 특정번호(송신자)를 포함하는 SMS를 감시하고 있다.

if ((!this.numberchk3.equals("01")) || (this.numberchk1.equals("15")) || (this.numberchk1.equals("16")) || (this.numberchk2.equals("01015")) || (this.numberchk2.equals("01016")) || (this.numberchk3.equals("15")) || (this.numberchk3.equals("16")) || (this.numberchk4.equals("01015")) || (this.numberchk4.equals("01016")) || (this.numberchk1.equals("11")) || (this.numberchk3.equals("11")))

 

[그림 7] 특정번호로 수신된 SMS 감시/수집 코드

 

위와 같이 미리 정의된 번호로 발송된 SMS 는 아래와 같은 코드를 이용하여, 스마트폰 전화번호와 함께 특정서버로 전송된다.

 

[그림 8] 전화번호와 SMS 를 특정서버로 전송하는 코드

 

위 코드가 실행되면 "mobile=전화번호&revsms=SMS내용" 의 형태로 전화번호와 문자메시지가 전송 된다.

 

악성코드 제작자는 "대리운전"과 관련된 다량의 SMS 때문에 아래와 같은 코드를 추가한 것으로 보인다.

아래의 코드는 SMS 감시하면서 "대리운전" 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 "대리운전" 메시지를 전달한다.

 

제작자는 더 이상 "앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요"는 받지 않을 것이다.

 

[그림 9] 대리운전 SMS 필터링

 

 

악성 앱에 감염된 사용자의 리스트를 관리하며, 수집한 SMS 에서 "소액결제 인증번호"가 존재하는지 모니터링 하고 있다.

 

 

[그림 10] 감염자로부터 전송된 SMS 내역

 

악성코드 제작자는 이러한 과정을 통하여 금전적 이득을 취하고 있다.

악성 앱에 감염되고, 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

어도비(Adobe)에서는 현지 시각으로 2월 7일 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2013-0633 및 CVE-2013-0634를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB13-04 Security updates available for Adobe Flash Player"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 플래쉬 플레이어 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이었다.


해당 제로 데이 취약점들은 특정 대상으로 상대로한 타깃 공격(Targeted Attack)과 웹 사이트를 통해 해당 취약점을 악용하는 플래쉬 파일(SWF)를 유포하는 것으로 공개되었다.


어도비에서는 해당 취약점들에 영향을 받는 플래쉬 플레이어 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows)와 맥킨토시(Macintosh) 설치 된 Adobe Flash Player 11.5.502.146 과 이전 버전

리눅스(Linux)에 설치된 Adobe Flash Player 11.2.202.261과 이전 버전 

안드로이드(Android) 4.x 에 설치된 Adobe Flash Player 11.1.115.36와 이전 버전

안드로이드(Android) 3.x와 2.x 에 설치된 Adobe Flash Player 11.1.111.31와 이전 버전


이 번 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점은 마이크로소프트의 워드(Word)에 임베디드(Embedded) 된 형태로 타깃 공격이 발생하였다.


ASEC에서는 파악한 바로는 총 3개의 마이크로소프트 워드가 공격에 사용되었으며, 아래 이미지와 같은 내용들을 포함하고 있다.





타깃 공격에 사용된 마이크로소프트 워드 파일 중 2개의 워드 파일들은 다음과 같은 구조를 가지고 있으며, 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



그리고 나머지 한 개의 워드 파일은 다음과 같은 구조를 가지고 있으며, 해당 파일 역시 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634은 모두 스택 오버플로우(Stack Overflow)로 인한 공격자가 지정한 임의의 코드를 실행 할 수 있는 코드 실행 취약점이다.


해당 취약점을 악용하는 취약한 어도비 플래쉬 플레이어 파일은 다음과 같은 구조를 가지고 있으며,  "DefineBinayData" 섹션을 2개 가지고 있다.



해당 취약한 어도비 플래쉬 파일에 존재하는 2개의 "DefineBinayData섹션에는 각각 아래 이미지와 같이 32비트에서 실행 할 수 있는 PE 파일과 64비트에서 실행 할 수 있는 PE+ 파일이 존재한다.




그리고  아래 이미지와 같이 시스템에 설치되어 있는 플래쉬 플레이어 버전과 운영체제의 버전을 체크하는 코드가 포함되어 있으며, 해당 버전의 플래쉬 플레이어에서만 취약점이 동작하도록 제작되었다.




해당 취약한 플래쉬 플레이어 파일을 제작한 공격자는 취약한 버전의 플래쉬 플레이어가 설치되어 있는 윈도우 운영체제가 32비트 또는 64비트 인가에 따라 서로 다른 악성코드 감염을 목적으로 제작하였다.


타깃 공격에 사용되었던 마이크로소프트 워드 파일들을 취약한 버전의 어도비 플래쉬 플레이어가 설치된 시스템에서 열게 되면 2개의 워드 파일들은 다음 이미지와 같이 동작하게 된다.


그리고 나머지 1개의 워드 파일은 다음 이미지와 같이 동작하게 된다.



취약한 어도비 플래쉬 파일을 포함하고 있는 마이크로소프트 워드 파일을 열게 되면 다음의 경로에는 abc.cfg (247,296 바이트)을 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\abc.cfg


생성된 abc.cfg (247,296 바이트)는 동일한 경로에 seccenter.xxx (88,016 바이트 또는 33,280 바이트)를 생성하게 된다. 


2개의 마이크로소프트 워드 문서에서는 seccenter.xxx (88,016 바이트)의 복사본을 아래 경로에 Googleupdate.exe (88,016 바이트)로 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


그리고 나머지 1개의 워드 문서에서는 seccenter.xxx (33,280 바이트)의 복사본을 아래 경로에 svchost.exe (33,280 바이트)를 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\svchost.exe


그러나 생성된 svchost.exe (33,280 바이트)은 암호가 설정되어 있는 압축 파일로 분석 당시에는 정상적인 동작을 하지 않았다.


생성된 Googleupdate.exe (88,016 바이트)는 동일한 경로에 config.sys (568 바이트)를 생성하게 되는데, 해당 파일은 XOR로 인코딩(Encoding) 되어 있는 데이터 파일이다. 


해당 데이터 파일을 디코딩(Decoding)하게 되면 아래 이미지와 같이 접속을 시도하는 C&C(Command and Control) 서버의 주소인 ieee.boeing-job.com(108.62.10.13) 를 포함하고 있다.  그러나 분석 당시에는 해당 C&C 서버에는 정상적인 접속이 이루어지지 않았다.



그리고 Googleupdate.exe (88,016 바이트)는 아래 이미지와 같이 한국 온라인 게임 업체의 유효기간이 만료된 비정상적인 디지털 서명 정보가 남아 있다.



Googleupdate.exe (88,016 바이트)가 정상적으로 동작하게 되면 레지스트리(Registry)에 다음 키를 생성하여 시스템이 재부팅하더라도 자동 실행 가능하도록 설정하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Update = C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


 그리고 감염된 시스템에 다음과 같은 보안 소프트웨어의 프로세스가 실행 중인지 확인하여, 만약 존재하게 된다면 강제종료를 시도하게 된다.


avp.exe

qqpctray.exe

kxetray.exe

360tray.exe


이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634를 악용하는 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


DOC/Cve-2013-0633 

DOC/Cve-2013-0634

SWF/Cve-2013-0634 

Win-Trojan/Infostealer.247296

Win-Trojan/Boda.241570 

Win-Trojan/Boda.3328

Win-Trojan/Boda.247296

Win-Trojan/Boda.246272


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.InScript_ZWF


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 어도비에서는 해당 취약점들이 제거되어 있는 플래쉬 플레이어 버전을 배포 중에 있음으로 아래 웹 사이트를 통해 최신 버전의 플래쉬 플레이어를 설치하는 것이 중요하다.


Adobe Flash Player Download Center


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

스마트폰 소액결제 악성코드 주의!!

 

통신사 정보, 전화번호, 인증 SMS 탈취해 소액결제 피해 지속 발생

외식, 영화 등의 유명 브랜드 무료쿠폰을 가장한 SMS로 악성 애플리케이션 설치 유도

인증번호 문자메시지를 사용자가 볼 수 없어 피해 확대

 

스마트폰 소액결제를 노린 안드로이드 악성코드 '체스트(chest)'에 의한 피해가 지속적으로 발생하고 있어 사용자의 주의가 요구된다.

 

지난 11월 국내 첫 금전 피해 사례를 발생시켰던 안드로이드 악성코드 '체스트(chest)'가 발견된 이후, 동일 악성코드 및 변종에 의한 소액결제 피해가 지속적으로 발생하고 있다. 지금까지 발견된 유사 악성코드는 10여 개에 이르며 변종 악성코드가 계속 발견되고 있다.

 

기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다. 하지만 '체스트(chest)'는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격대상을 정한다는 점에서 기존 악성코드보다 진보된 형태라 할 수 있다.

 

특히, 소액결제 시 반드시 필요한 인증번호 문자메시지가 직접 악성코드 제작자에게 전달되고, 사용자는 청구서가 나온 후에야 피해를 확인할 수 있다는 점, 대부분의 사용자가 핸드폰 사용 내역서를 꼼꼼히 살펴보지 않는다는 점에서 이후 유사한 피해가 추가 발생할 우려가 높다.

 

악성코드 제작자는 미리 확보한 개인정보 중 전화번호 리스트를 대상으로, 외식 영화 및 기타 유명 브랜드 무료쿠폰 등을 가장해 특정 URL이 포함된 문자메시지(SMS)를 발송한다. 문자메시지의 내용은 제작자의 의도에 따라 변경될 수 있다. 사용자가 URL로 접속하면 악성코드가 포함된 악성 애플리케이션의 설치를 유도한다. '체스트'가 사용자의 단말기에 설치되면 먼저 통신사 정보와 감염자 전화번호가 해외에 위치한 서버로 전송된다.

 

악성코드 제작자는 '체스트(chest)'가 전달한 정보로 감염자의 단말기를 식별하고, 이미 보유하고 있는 주민번호와 매칭해 소액결제를 시도한다. 이 때, 결제에 필요한 인증번호가 포함된 문자메시지가 사용자의 단말기로 전송되는 경우, 그 내용은 사용자 모르게 악성코드 제작자에게 직접 전달되어 결제에 사용된다. 악성코드 제작자는 게임 사이트 등에서 사이버머니를 구매해 되팔아 현금화하는 것으로 추정된다.

 

사용자는 정보가 외부 서버로 유출되는 것을 바로 알기 어렵기 때문에 청구서가 나온 후에야 피해 사실을 알 수 있다. 국내 휴대폰 소액결제 서비스 한도 금액이 매월 30만원으로 제한되어 있긴 하지만 현재 시장 규모가 2조8000억 원에 이르는 것을 감안하면 전체 피해액은 매우 클 수 있다.

 

이번 악성코드는 대량으로 유출된 개인정보와 결합해 지속적으로 스마트폰 사용자에게 실제 금전적인 피해를 입히고 있다. 사용자는 우선 수상한 문자메시지로 받은 URL을 실행할 때 주의하는 것이 필수적이다. URL을 실행했을 때 애플리케이션의 설치를 유도하면 설치하지 않는 것이 좋다. 또한, 서드파티 마켓은 물론 구글 공식 마켓이라도 안심하지 말고 다른 사용자의 평판을 읽어본 후 설치하는 등 신중함이 필요하다. 아울러 수시로 V3 모바일과 같은 스마트폰 전용 백신으로 점검을 해보는 습관이 필요하다.

 

 

  • 사용자에게 애플리케이션을 설치하도록 유도하는 문자메시지

 



  • 소액결제에 악용된 애플리케이션

 


  • 악성 애플리케이션 '체스트' 동작 개요

순서

동작설명

전달 정보

1

공격자는 사전에 입수한 개인정보를 목록에 있는 공격대상에게 Chest설치를 유도하는 SMS를 발송한다.

 

2

일부 사용자는 SMS에 링크형식으로 포함된 악성코드를 설치한다.

 

3

스마트폰이 감염되면 전화번호와 통신사 정보를 공격자에게 전달하고 좀비 스마트폰 상태가 된다.

전화번호, 통신사정보

4

공격자는 확보한 개인정보 중 주민번호와 감염된 스마트폰 사용자의 전화 번호를 이용해 결제 사이트에 입력한다.

전화번화, 통신사정보, 주민번호

5

소액결제사이트는 인증번호를 감염된 스마트폰으로 전달한다.

소액결제에 필요한 인증번호

6

감염된 스마트폰은 SMS가 수신되면 결제사이트의 발신번호인 경우 사용자에게 SMS를 보여주지 않고 공격자에게 다시 전달한다.

소액결제에 필요한 인증번호

7

공격자는 전달받은 인증번호를 입력한다.

소액결제에 필요한 인증번호

8

소액결제가 가능한 사이트에서 정상적인 결제 절차를 완료하고 공격자는 현금화가 가능한 물품 구매를 완료한다.

 

 

- 악성 애플리케이션의 분석정보는 아래에서 확인 가능하다.

http://asec.ahnlab.com/885

http://asec.ahnlab.com/886



- 관련 기사

http://news.search.naver.com/search.naver?where=news&sm=tab_jum&ie=utf8&query=%EC%95%88%EB%9E%A9+%EC%8A%A4%EB%A7%88%ED%8A%B8%ED%8F%B0+%EC%86%8C%EC%95%A1%EA%B2%B0%EC%A0%9C


 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

구글 플레이 스토어에 스마트폰의 정보를 수집하는 애플리케이션이 등록되어 있었다. 이 애플리케이션을 제작한 DG-NET 제작자에 의하여 플레이 스토어에 등록된 3개의 애플리케이션은 모두 같은 기능이며 총 100만 이상의 다운로드를 기록하였다.

 

[그림1] 스마트폰의 정보를 수집하는 애플리케이션(구글 플레이 스토어)

 

[그림2] 같은 제작자에 의하여 등록된 애플리케이션


현재는 3개의 애플리케이션이 구글 플레이 스토어에서 삭제된 상태이다.

하지만, 아직도 서드 파티 마켓(3rd Party)에서는 다운로드가 가능하다.

 

[그림3] 서드 파티 마켓(3rd Party)에 등록된 애플리케이션

 

 

이외에도 같은 종류의 애플리케이션이 존재했다.

 

[그림4] 추가 애플리케이션

 

해당 애플리케이션을 설치하면 아래와 같은 아이콘이 생성된다.

(2개의 애플리케이션만 설치하였다.)

 

 

[그림5] 애플리케이션 아이콘

 

 

애플리케이션을 실행하면 아래와 같은 화면을 볼 수 있다.

 

[그림6] 애플리케이션 설치 후 실행화면

 

안드로이드 기반의 애플리케이션은 권한 정보를 확인함으로써, 행위를 예측할 수 있다. 권한 정보를 살펴보면 아래와 같다.

 

[그림7] 애플리케이션의 권한 정보

 

 

 

애플이케이션이 실행되면 아래의 정보를 수집하여 특정 서버로 전송한다.

 

-. 사용자의 이메일(구글) 주소

-. IMEI 정보

-. 위치 정보

-. 패키지명 정보

-. 이동통신사망 APN(Access Point Name) 정보

     

실제 네트워크 전송과정은 아래와 같다.

 

[그림8] 수집된 정보를 특정서버로 전송하는 과정

 

 

스마트폰 사용자는 구글 플레이 스토어에서 설치할 경우에도 다른 사용자의 평판과 애플리케이션의 권한 정보를 확인하여 설치하는 습관이 필요하다.

 

또한, 이와 유사한 기능을 하는 애플리케이션이 많기 때문에 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.


이러한 애플리케이션은 V3 Mobile 제품에서 GWalls 또는 Airpush 와 같은 형태로 진단하고 있다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

구글(Google)에서 개발한 안드로이드(Android) 운영체제에서 동작하며, 모바일 뱅킹(Mobile Banking) 정보를 탈취하는 Citmo(Carberp-in-the-Mobile)가 발견되었음을 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서 "Carberp-in-the-Mobile" 블로그를 통해 공개하였다.


안드로이드 운영체제에서 동작하는 모바일 뱅킹 정보 탈취 목적의 안드로이드 악성코드는 올해 몇 차례가 발견 된 사례가 있다.


2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드


2012년 8월 - SMS를 유출하는 ZitMo 안드로이드 악성코드 변형 발견


이 번에 발견된 Citmo는 아래 이미지와 같이 러시아로 제작된 모바일 뱅킹을 위한 특정 은행에서 제작한 사용자 인증을 위한 앱으로 위장하고 있다. 



해당 안드로이드 앱을 설치하면 아래 이미지와 같이 SMS 읽기와 보내기 등의 사용자 권한을 요구하게 된다.



이 번에 발견된 Citmo는 모바일 뱅킹 과정에서 감염된 스마트폰 사용자가 은행으로부터 수신한 모바일 뱅킹을 위한 인증번호를 입력하면 해당 인증 번호를 유출하게 된다. 


그리고 특정 시스템으로부터 수신한 데이터를 이용해 모바일 뱅킹 관련 번호로부터 전송된 SMS 수신을 차단하게 된다. 이 과정에서 감염된 스마트폰 사용자는 자신의 계좌에서 돈이 이체되는 것을 알지 못하게 된다.


이 외에 해당 앱이 안드로이드 스마트폰에 정상적으로 설치 되면, 안드로이드 스마트폰에서 다음 정보들을 수집하여 러시아에 위치한 특정 시스템으로 전송하게 된다.


PhoneNumber

DeviceId

SimCountryIso

SimOperatorName

SMS


이 번에 발견된 모바일 뱅킹 정보를 탈취하기 위한 목적으로 제작된 Citmo는 V3 모바일 제품 군에서 다음과 같이 진단한다.


Android-Spyware/Citmo

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.33을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

인터넷 익스플로러 버전 7과 8의 제로데이 취약점을 악용하는 악성코드

자바 취약점을 악용하는 악성코드

트래픽을 유발하는 악성코드

P2P 사이트를 통해 유포되는 무협지 위장 악성코드
다양한 전자 문서들의 취약점을 악용한 악성코드
취약점을 이용하지 않는 한글 파일 악성코드
윈도우 8로 위장한 허위 백신 발견
당첨! 자동차를 받아가세요
도움말 파일로 위장한 악성코드가 첨부된 메일
UPS, Amazon 메일로 위장한 악성코드
악성코드 치료 후 인터넷 연결이 되지 않는다면


2) 모바일 악성코드 이슈

2012 미국 대선을 노린 광고성 애플리케이션 주의

일본 여성을 타깃으로 하는 Loozfon 모바일 악성코드

Anime character named Anaru(Android Malware)

유명 게임으로 위장한 개인정보를 유출하는 악성 앱 주의


3) 보안 이슈

인터넷 익스플로러 제로데이 취약점(CVE-2012-4969)


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.33 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

일본 애니메이션 캐릭터가 안드로이드 스마트폰의 사용자 정보를 탈취하는 악성코드에 이용되었다.

해당 안드로이드 악성코드 제작자는 구글 마켓과 유사한 형태로 제작된 웹사이트를 이용하여 유포하거나, 스팸 메일을 통하여 유포하는 것으로 알려져 있다.

Anaru 로 불리는 애니메이션 캐릭터와 관련된 안드로이드 악성 어플리케이션에 대하여 알아보자.

Anaru 어플리케이션을 설치시 요구되는 권한은 아래와 같다.

 

[그림] 악성 어플리케이션 권한

 

Anaru 악성 어플리케이션이 설치되면 아래와 같이 아이콘이 생성되고, 실행할 경우 Anaru 캐릭터가 나타난다.

[그림] 어플리케이션 아이콘과 실행화면

 

제작자는 사용자가 어플리케이션을 실행할 경우, 자신의 정보가 유출되는지 알 수 없도록 백그라운드로 정보를 탈취하도록 설계하였다.

 

악성 어플리케이션의 내부 코드를 보면, GliveWallActivityActivity Class를 통하여 스마트폰의 주소록에 저장된 e-mail 주소와 이름을 특정경로에 저장하고, 특정서버로 전송하는 코드가 존재한다.

 

[그림] GliveWallActivityActivity 스마트폰 정보를 탈취하는 코드 부분

 

 

실제 유츌되는 과정을 확인해 보겠다.

 

스마트폰 주소록에는 아래와 같은 "Ahn", "Lab" 2개의 이름이 저장되어 있다.

 

[그림] 스마트폰에 저장된 주소록

 

 

설치된 악성 어플리케이션을 실행할 경우, 아래와 같이 주소록에 저장된 이름과, e-mail 주소를 읽고, 특정 경로에 저장한다.

 

 

[그림] 백그라운드로 실행되는 정보 수집 및 전송 과정

 

수집된 이름과 e-mail 주소는 sdcard/addresscap/list.log 로 저장된다.

 

[그림] 수집된 정보와 저장 경로

 

list.log 에 수집된 정보는 아래 코드에 의하여 특정서버로 전송된다.

 

[그림] 특정서버로 전송되도록 설계된 코드

 

[그림] 특정서버로 전송되는 사용자 정보

 

 

위 악성코드는 V3 mobile 제품군에서 아래와 같이 진단/치료가 가능하다

 

 

<V3 제품군의 진단명>

Android-Spyware/Maistealer (V3. 2012.07.27.00 )

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

최근 일본에서 여성 스마트폰 유저를 타겟으로 한 개인정보 유출형 악성코드가 발견되었다.

악성코드는 일반적으로 성인물, 도박, 불법약물 등 주로 남성들이 혹할만한 매개체 위주로 제작되는데에 반해, 최근 발견된 이 악성어플은 성인 여성을 노리고 제작된 점이 특징이다.

이 악성 어플은 어떠한 경로로 감염되는지 알아보자.

 

A.    여성 종합 정보 사이트

 여성 종합 정보 사이트에 아래그림과 같이 이 남자를 추천합니다라는 광고문구의 링크를 만들어 해당 링크를 클릭할 경우 악성 앱을 다운받아 설치를 유도한다.

 

[fig 1. 여성정보 웹페이지에 있는 이남자를 추천합니다라는 문구의 링크] 출처: Symantec


B.     광고성 스팸 메일 

또 다른 감염방법으로 돈을 많이 벌고 싶은 여성은 보세요라는 내용으로 다량의 스팸 메일을 보내고, 자극적인 내용의 본문 속에 삽입된 링크를 클릭할 경우 악성앱이 다운로드된다.

 

[fig 2. 악성어플을 설치 유도하는 스팸메일 ]

 

다운로드된 악성코드는 아래와 같이 일본어로 구성되어 있는 어플을 설치한다. 어플리케이션의 이름은 당신 이길 수 있어?’ 라는 뜻이며, 호기심을 자극하여  어플을 실행해 보게끔 한다.

 

[fig 3. 악성 어플리케이션 정보]

 

이 악성코드는 실행시 숫자가 카운트된 후 아래와 같이 당신은 졌다라는 화면이 나오며, 특별히 다른 메뉴는 존재하지 않는다.

[fig 4. 악성어플 실행화면]

 

악성어플은 설치 및 실행과정에서 아래와 같이 사용자 개인정보를 탈취하는 기능이 있다. 특히 스마트폰의 주소록을 특정 서버 (http://58.**.**..229/ap**i/a****gist)로 모두 전송하는 기능이 있어 개인정보를 심각하게 침해하므로 주의를 요한다.

 

[fig 5. 악성 코드]


위 악성코드는 V3 mobile 제품군에서 아래와 같이 진단/치료가 가능하다

 

<V3 mobile 제품군의 진단명>

Android-Trojan/Loozfon (V3. 2012.09.04.00 )

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다.


ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다.


2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드


현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "New ZitMo for Android and Blackberry"를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개하였다.


ASEC에서는 해당  새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행하였다.


이 번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 "SMS(Short Message Service) 송수신 권한"을 설치시 요구하게 된다.



그리고 설치가 완료되면 아래 이미지와 같이 "Zertifikat"라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게 된다. 해당 "Zertifikat"는 독일어로 증명서 또는 인증서를 의미한다.



해당 ZitMo 안드로이드 악성코드를 실행하게 되면 아래 이미지와 같은 독일어로 되어 있는 메시지가 나타나게 되며, 이는 "설치 성공, 정품 인증 코드는 7725486193 입니다."를 의미 한다.



설치가 완료되면 해당 ZitMo 안드로이드 악성코드는 안드로이드 스마트폰이 부팅하게 되면 자신의 아이콘을 숨기고, 감염된 안드로이드 스마트폰으로 송수신되는 모든 SMS들을 특정 휴대전화 번호로 전송하게 된다.


이러한 동작 기법으로 미루어 해당 ZitMo 안드로이드 악성코드는 유럽 지역에서 스마트폰을 이용한 뱅킹(Banking) 서비스 이용시에 사용자 인증을 위해 스마트폰과 휴대 전화로 뱅킹 인증 번호를 SMS로 전송한다는 점을 악용하여 감염된 안드로이드 폰에서 송수신한 뱅킹 인증 번호를 다른 휴대전화로 유출하는 것으로 분석 된다.


이번에 발견된 ZitMo 안드로이드 악성코드는 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo.M


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.


그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원