금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다.


ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다.


2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드


현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "New ZitMo for Android and Blackberry"를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개하였다.


ASEC에서는 해당  새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행하였다.


이 번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 "SMS(Short Message Service) 송수신 권한"을 설치시 요구하게 된다.



그리고 설치가 완료되면 아래 이미지와 같이 "Zertifikat"라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게 된다. 해당 "Zertifikat"는 독일어로 증명서 또는 인증서를 의미한다.



해당 ZitMo 안드로이드 악성코드를 실행하게 되면 아래 이미지와 같은 독일어로 되어 있는 메시지가 나타나게 되며, 이는 "설치 성공, 정품 인증 코드는 7725486193 입니다."를 의미 한다.



설치가 완료되면 해당 ZitMo 안드로이드 악성코드는 안드로이드 스마트폰이 부팅하게 되면 자신의 아이콘을 숨기고, 감염된 안드로이드 스마트폰으로 송수신되는 모든 SMS들을 특정 휴대전화 번호로 전송하게 된다.


이러한 동작 기법으로 미루어 해당 ZitMo 안드로이드 악성코드는 유럽 지역에서 스마트폰을 이용한 뱅킹(Banking) 서비스 이용시에 사용자 인증을 위해 스마트폰과 휴대 전화로 뱅킹 인증 번호를 SMS로 전송한다는 점을 악용하여 감염된 안드로이드 폰에서 송수신한 뱅킹 인증 번호를 다른 휴대전화로 유출하는 것으로 분석 된다.


이번에 발견된 ZitMo 안드로이드 악성코드는 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo.M


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.


그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 "2012 예상 스마트폰 보안 위협 트렌드"를 발표하며 윈도우 PC에서 감염 및 동작하는 제우스(Zeus) 악성코드의 모바일 버전인 Zitmo[Zeus In The Mobile]가 발견되었으며 심비안(Symbian), 블랙베리(Blackberry)를 거쳐 최근엔 안드로이드(Android) 플랫폼으로까지 확장되었다고 언급한 바가 있다.


금일 러시아 보안 업체 캐스퍼스키(Kaspersky)에서는 블로그 "Android Security Suite Premium = New ZitMo"를 통해 새로운 Zitmo 변형이 발견되었음을 공개하였다.


ASEC에서는 추가적인 조사를 통해 해당 새로운 Zitmo 변형은 구글(Google)의 공식 안드로이드 앱스토어(Appstore)를 통해 유포 된 것이 아니라, 인터넷에 존재하는 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포된 것을 파악하였다.


이 번에 발견된 새로운 Zitmo 변형은 안드로이드 모바일 운영체제에서 감염 및 동작하도록 되어 있으며, 안드로이드 운영체제에 설치 되면 아래 이미지와 같이 허위 보안 소프트웨어로 위장하고 있다.



안드로이드에 감염되는 허위 보안 소프트웨어는 이 번에 처음 발견된 것이 아니며 2012년 5월 해외 보안 업체 아이콘으로 위장한 형태가 발견된 사례가 있다.


그리고 해당 안드로이드 악성코드는 설치 시에 아랭 이미지와 같이 감염된 안드로이드 모바일 기기에서 송수신하는 SMS 메시지 접근 권한과 SMS 발송 권한 등이 사용됨을 보여주고 있다.



해당 Zitmo 안드로이드 악성코드가 실행되면 아래와 같이 일반적인 허위 보안 소프트웨어에서 사용하였던 기법과 동일하게 인증 등록 번호를 입력하도록 요구한다.



그러나 해당 안드로이드 악성코드는 감염된 안드로이드 모바일 기기에서 다음 정보들을 수집하여 특정 C&C 서버로 전송하게 된다.


휴대폰 번호

SubscriberId

DeviceId

모델명

제작사

OS 버전

SMS 메시지


이 번에 발견된 새로운 Zitmo 변형들은 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo

Android-Trojan/Zitmo.B

Android-Trojan/Zitmo.C

Android-Trojan/Zitmo.D


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.

그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시
신고
Posted by 비회원