1. SMS 과금형 안드로이드 악성 어플리케이션


 지금까지는 중국 또는 러시아를 타겟으로, 프리미엄 번호를 이용하여 사용자에게 요금이 부과되는 안드로이드 악성 어플리케이션이 대부분 이었다.
 이번에는 유럽국가를 타겟으로 제작된 안드로이드 악성 어플리케이션을 살펴 보자.




2. 안드로이드 악성 어플리케이션 정보


- SuiConFo 악성 어플리케이션의 정보




[그림] 악성 어플리케이션의 정보(아이콘, 어플리케이션 이름, 패키지 명, 권한 정보)


- Android 2.2 (Froyo 2.2) 이상에서 설치가 가능하도록 제작되어 있다.
- SEND_SMS 권한으로 보아, 과금이 발생할 수 있음을 추정할 수 있다.
- 그 외 여러 권한정보로 어플리케이션의 기능을 추정할 수 있다.


[그림] Android Manifest 정보




- 현재에도 아래와 같은 웹 사이트에 저장되어 있으며, 다운로드가 가능하다.


[그림] 악성 어플리케이션의 유포지



- 설치 여부 선택을 묻고 있다.


[그림] 설치 화면




- 설치된 악성 SuiConFo 어플리케이션

[그림] 설치된 악성어플리케이션 / 실행화면(ERROR)




- 어플리케이션 실행시팝업된 [ERROR] 는 아래의 코드에 의해 실행된 것이다.

[그림] ERROR 코드





- SMSReceiver class 기능
- 81001, 35064, 63000 등의 번호로 수신된 SMS를 사용자가 알 수 없도록 숨긴다.
- SMS 수신하는 기능과 함께, 제작자로 추정되는 번호로 SMS를 전송한다.(통계를 위한 전송으로 추정된다.)

[그림] SMS 관련 코드 일부



- MagicSMSActivity 기능
- 각 국가별 SMS 번호
벨기에 : 9903
스위스 : 543
룩셈부르크 : 64747
독일 : 63000
스페인 : 35064 
영국 : 60999
프랑스 : 81001

- 악성 어플리케이션 제작자는 캐나다를 코딩하면서 실수를 한것으로 추정된다. str2 str3 부분이 반대로 코딩 되어 있다.

[그림] 국가별 SMS 코드



- SuiConFo 의 어플리케이션이 모두 악성은 아니다.
해당 이름으로 제작된 정상적인 어플리케이션도 존재한다.



5. 스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@
1.  안드로이드 악성코드의 변종 증가



 PC Windows 기반의, 동일한 기능 포함한 악성코드는 매우 많은 양의 변종을 양산하고 있다. 악성코드의 제작이 아니라, 공장에서 찍어내고 있다는 표현이 적절하지 않을까.
하지만, 이제는 더이상 PC에서만의 일은 아니다. 

 급격한 안드로이드 악성코드의 증가와 더블어, 악의적인 목적을 가진 유사한 어플리케이션이 등장하고 있다.
이러한 변종 중에 최근 FakeInst 형태의 안드로이드 악성코드가 급증했다.

 이 악성 어플리케이션의 행위와, 추이를 살펴보자.



2. 안드로이드 악성 어플리케이션 정보 FakeInst



- FakeInst  의미는 다른 어플리케이션의 설치를 가장하여, 악의적인 행위를 하는 악성 어플리케이션을 뜻한다.
- 패키지명이 com.depositmobi 인 안드로이드 악성 어플리케이션을 대상으로 확인해 보자.

[그림] FakeInst 형태의 악성 어플리케이션의 아이콘과 권한 정보



- Android Manifest 정보 이다.
- SDK 정보와 권한 정보를 확인 할 수 있다.
- 6개의 어플리케이션이 모두 동일 하다.

[그림] Android Manifest 정보




- 설치 과정

[그림] com.depositmobi 설치 화면1





- Rules 를 선택하면 어플리케이션의 행위에 대하여 안내하고 있다.
- 과금이 발생할 수 있음을 알리고 있지만, 추가설치되는 어플리케이션에 대한 지불은 아니다.

[그림] com.depositmobi 설치 화면2




- SMS 과금을 유발하는 코드 일부

[그림] SMS 관련 코드 일부




- 다운로드되는 어플리케이션과 URL

[그림] 다운로드 URL 정보




-  premium numbers 과금관련 안내 코드
- ex) 7151 : 33.87 ~ 40.00 루브 (МТС 33.87 руб., Мегафон 35.40 руб., Билайн 40.00 руб)
- 루브는 러시아 화폐단위이며, 1 rub = 36.84 원 이다. 


[그림] 과금 안내 코드 일부



3. 변종추이


- 8월 부터 꾸준히 발생했으며, 현재는 1600개를 넘어섰다.

[그림] Android-Trojan/FakeInst 변종 추이 (대상 패키지 : com.depositmobi)





4. V3 모바일 진단 현황



- 아래와 같은 형태의 진단명으로 진단/치료하고 있다.

Android-Trojan/SmsSend
Android-Trojan/FakeInst
Android-Trojan/Agent
Android-Trojan/Boxer





5. 스마트폰 안전수칙


 스마트폰 악성코드는 이제 더 이상 다른 나라 이야기가 아니다. 현재까지 피해사례는 보고되지 않았지만,
항상 주의를 기울이고, 어플리케이션을 설치해야 한다.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

1. 站点之家


정보 수집 및 즐겨찾기를 변경하는 안드로이드 악성 어플리케이션이 중국에서 발견 되었다.



2. Android-Trojan/ROMZhanDian 알아보기



- 앱 아이콘 / 필요 권한 정보

[그림] 패키지명 / 권한 정보


- 설치 후 변경 사항

[그림] 설치시 생성된 아이콘 / 바로가기


[그림] 앱 실행 화면 / 추가된 즐겨찾기



- 앱 설치시 필요한 권한 및 설치가능 버전 정보
   Android 1.5 이상에서 설치되며, 부팅시 시작되도록 설정되어 있다.

[그림] Manifest 정보



- 운영 체제, IMEI/IMSI 번호, shop_id, 모델, APP 이름 등, 수집을 시도한다.

[그림] 정보 수집 관련 일부 코드




3. 스마트폰 사용시 주의 사항 !

- 최신의 OS 버전과 V3 모바일을 사용 한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 


1. Android-Spyware/Nicky 정보!


해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다.


2. Nicky 악성 앱 Android System Message 정보!



* 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다.

[그림] Nicky Spyware 권한 정보



[그림] 灵猫安安 의 설치/실행 정보




* android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다.

        <service android:name=".MainService" android:exported="true">
        <service android:name=".GpsService" android:exported="true">
        <service android:name=".SocketService">
        <service android:name=".XM_SmsListener" />
        <service android:name=".XM_CallListener" />
        <service android:name=".XM_CallRecordService" />
        <service android:name=".RecordService" />

[그림] Manifest 정보


* 사용자의 정보를 수집/전송하는 class 정보들

[그림] 정보 수집/전송하는 class 전체 화면



* 수집된 정보 저장 위치는 아래 코드로 추정 가능하다.
/sdcard/shangzhou/callrecord/




* 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일


[그림] 통화내역 저장 화면
 


* 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다. 


[그림] 특정 서버로 전송을 시도하도록 되어 있는 코드의 일부



* V3 모바일 진단 화면


[그림] V3 모바일 화면



* V3 모바일에서는 변종에 대하여 다음과 같이 진단하고 있다.
Android-Spyware/Nicky
Android-Spyware/Nicky.B
Android-Spyware/Nicky.C



* 스마트폰 사용시 주의사항!



 
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

 
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@


1. Android-Trojan/Ggtrack 알아보자!



기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다.

이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자.

[그림] 악성코드 관계도

 

[그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면)



2. Ggtrack 악성앱 Battery Saver 정보!


* 아래 그림(표)에서 알 수 있듯이 앱 목적에 맞지 않게 과도한 권한을 필요로 하고 있다.

[그림] Battery Saver 권한 정보


[그림] Battery Saver 설치/실행 정보




* 서버와 통신하는 일부 코드
 


* SMS를 모니터링 하여, 아래와 같은 번호가 일치할 경우 사용자에게 메시지를 숨김으로써, 사용자 모르게 악의적 행위가 동작하도록 작성된 일부 코드이다.

 




"YES" 회신을 보내며, 사용자의 number, message, sdk 버전등의 정보를 서버로 보낸다.
 





* V3 모바일에서는 다음과 같이 진단하고 있다.

[그림] V3 모바일 악성 앱 진단 화면


* 스마트폰 사용시 주의사항!



1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

개요

안드로이드 모바일 유해가능 프로그램 KidLogger 에 관한 정보


앱 정보


[그림1] 앱 아이콘


[그림2] 앱 실행 화면



특징


[그림3] 권한 정보




상세정보

- Platform Android 2.2 이상에서 설치가 가능하다.
- 사용자의 행위 정보를 저장한다.

  • 통화 목록
  • 문자
  • 웹사이트 방문 기록
  • 위 정보 외에도 다수의 정보를 로그로 남기거나 서버로 전송한다.


[그림4] manifest 정보


[그림5] classes.dex 정보


[그림6] 저장된 로그 화면


진단정보


[그림7] V3 Mobile 2.0 진단 화면


더보기

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다

2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다

3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@


개요


어플리케이션 설치시 안드로이드폰의 사용자 정보를 특정 서버로 유출 시키는 목적을 가진 악성앱이 추가로 발견되어 관련내용 공유드립니다.


앱 정보




[그림1] 앱 아이콘


 


 

[그림2] 앱 실행 화면



특징


 


[그림3] 앱 설치 정보 / 권한 정보



상세 정보



- 폰의 주소록에 저장된 번호로 SMS 를 전송한다.

- 특정 서버로 아래와 같은 사용자의 정보 유출을 시도한다.

  • Phone numbers
  • IMEI number
  • Name

 

 [그림4]  Manifest 정보


[그림5] classes.dex 의 SMS 전송 코드의 일부



[그림6] 특정 서버로 전송되는 정보의 일부 코드

 

 

[그림7] 악성 앱 관계도




진단 정보




[그림8] V3 진단화면

 

 

더보기


 

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다

2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다

3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

1. 중국의 서드파티 마켓을 통해 배포되는 악성 어플리케이션 정보


[그림1] 응용프로그램 관리

  



[그림4] App 의 Manifest 내용



2. V3 Mobile 진단 정보


[그림5] V3 moblie 진단화면


 Android-Spyware/MinServ   # 엔진버젼: 2011.03.15.00
 


3. 예방방법
 

1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함.
: D
신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. 서론


성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.

2. 악성코드 정보

해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.

 발견 일시
 8월 10일
 9월 9일
 10월 12일
 아이콘
 어플리케이션 명
 MoviePlayer  PornoPlayer  PornoPlayer

[표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션


[그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션

어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.


  android.telephony.SmsManager.sendTextMessage("7132", 0, "846978", 0, 0);
   *
'7132' 번호로 "846978" 이라는 문자메시지를 발송.
     
아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.

  android.telephony.SmsManager.sendTextMessage("7132", 0, "845784", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "846996", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "844858", 0, 0);

[표 2] 성인 동영상 플레이어를 위장한 악성 어플리케이션

3. 대응 현황


현재 V3 Mobile에서는 사용자에게 SMS 요금을 과금시키는 PornoPlayer 어플리케이션을  Android-Trojan/SmsSend.B 진단명으로 진단/치료 기능을 제공하고 있습니다.

[그림 2] V3 Mobile 수동검사에서 Android-Trojan/SmsSend.B 진단



[그림 3] V3 Mobile 실시간 검사에서 Android-Trojan/SmsSend.B 진단


4. 예방 방법
 
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2)
출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원