스마트폰 소액결제 악성코드 주의!!

 

통신사 정보, 전화번호, 인증 SMS 탈취해 소액결제 피해 지속 발생

외식, 영화 등의 유명 브랜드 무료쿠폰을 가장한 SMS로 악성 애플리케이션 설치 유도

인증번호 문자메시지를 사용자가 볼 수 없어 피해 확대

 

스마트폰 소액결제를 노린 안드로이드 악성코드 '체스트(chest)'에 의한 피해가 지속적으로 발생하고 있어 사용자의 주의가 요구된다.

 

지난 11월 국내 첫 금전 피해 사례를 발생시켰던 안드로이드 악성코드 '체스트(chest)'가 발견된 이후, 동일 악성코드 및 변종에 의한 소액결제 피해가 지속적으로 발생하고 있다. 지금까지 발견된 유사 악성코드는 10여 개에 이르며 변종 악성코드가 계속 발견되고 있다.

 

기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다. 하지만 '체스트(chest)'는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격대상을 정한다는 점에서 기존 악성코드보다 진보된 형태라 할 수 있다.

 

특히, 소액결제 시 반드시 필요한 인증번호 문자메시지가 직접 악성코드 제작자에게 전달되고, 사용자는 청구서가 나온 후에야 피해를 확인할 수 있다는 점, 대부분의 사용자가 핸드폰 사용 내역서를 꼼꼼히 살펴보지 않는다는 점에서 이후 유사한 피해가 추가 발생할 우려가 높다.

 

악성코드 제작자는 미리 확보한 개인정보 중 전화번호 리스트를 대상으로, 외식 영화 및 기타 유명 브랜드 무료쿠폰 등을 가장해 특정 URL이 포함된 문자메시지(SMS)를 발송한다. 문자메시지의 내용은 제작자의 의도에 따라 변경될 수 있다. 사용자가 URL로 접속하면 악성코드가 포함된 악성 애플리케이션의 설치를 유도한다. '체스트'가 사용자의 단말기에 설치되면 먼저 통신사 정보와 감염자 전화번호가 해외에 위치한 서버로 전송된다.

 

악성코드 제작자는 '체스트(chest)'가 전달한 정보로 감염자의 단말기를 식별하고, 이미 보유하고 있는 주민번호와 매칭해 소액결제를 시도한다. 이 때, 결제에 필요한 인증번호가 포함된 문자메시지가 사용자의 단말기로 전송되는 경우, 그 내용은 사용자 모르게 악성코드 제작자에게 직접 전달되어 결제에 사용된다. 악성코드 제작자는 게임 사이트 등에서 사이버머니를 구매해 되팔아 현금화하는 것으로 추정된다.

 

사용자는 정보가 외부 서버로 유출되는 것을 바로 알기 어렵기 때문에 청구서가 나온 후에야 피해 사실을 알 수 있다. 국내 휴대폰 소액결제 서비스 한도 금액이 매월 30만원으로 제한되어 있긴 하지만 현재 시장 규모가 2조8000억 원에 이르는 것을 감안하면 전체 피해액은 매우 클 수 있다.

 

이번 악성코드는 대량으로 유출된 개인정보와 결합해 지속적으로 스마트폰 사용자에게 실제 금전적인 피해를 입히고 있다. 사용자는 우선 수상한 문자메시지로 받은 URL을 실행할 때 주의하는 것이 필수적이다. URL을 실행했을 때 애플리케이션의 설치를 유도하면 설치하지 않는 것이 좋다. 또한, 서드파티 마켓은 물론 구글 공식 마켓이라도 안심하지 말고 다른 사용자의 평판을 읽어본 후 설치하는 등 신중함이 필요하다. 아울러 수시로 V3 모바일과 같은 스마트폰 전용 백신으로 점검을 해보는 습관이 필요하다.

 

 

  • 사용자에게 애플리케이션을 설치하도록 유도하는 문자메시지

 



  • 소액결제에 악용된 애플리케이션

 


  • 악성 애플리케이션 '체스트' 동작 개요

순서

동작설명

전달 정보

1

공격자는 사전에 입수한 개인정보를 목록에 있는 공격대상에게 Chest설치를 유도하는 SMS를 발송한다.

 

2

일부 사용자는 SMS에 링크형식으로 포함된 악성코드를 설치한다.

 

3

스마트폰이 감염되면 전화번호와 통신사 정보를 공격자에게 전달하고 좀비 스마트폰 상태가 된다.

전화번호, 통신사정보

4

공격자는 확보한 개인정보 중 주민번호와 감염된 스마트폰 사용자의 전화 번호를 이용해 결제 사이트에 입력한다.

전화번화, 통신사정보, 주민번호

5

소액결제사이트는 인증번호를 감염된 스마트폰으로 전달한다.

소액결제에 필요한 인증번호

6

감염된 스마트폰은 SMS가 수신되면 결제사이트의 발신번호인 경우 사용자에게 SMS를 보여주지 않고 공격자에게 다시 전달한다.

소액결제에 필요한 인증번호

7

공격자는 전달받은 인증번호를 입력한다.

소액결제에 필요한 인증번호

8

소액결제가 가능한 사이트에서 정상적인 결제 절차를 완료하고 공격자는 현금화가 가능한 물품 구매를 완료한다.

 

 

- 악성 애플리케이션의 분석정보는 아래에서 확인 가능하다.

http://asec.ahnlab.com/885

http://asec.ahnlab.com/886



- 관련 기사

http://news.search.naver.com/search.naver?where=news&sm=tab_jum&ie=utf8&query=%EC%95%88%EB%9E%A9+%EC%8A%A4%EB%A7%88%ED%8A%B8%ED%8F%B0+%EC%86%8C%EC%95%A1%EA%B2%B0%EC%A0%9C


 

신고
Posted by DH, L@@

구글 플레이 스토어에 스마트폰의 정보를 수집하는 애플리케이션이 등록되어 있었다. 이 애플리케이션을 제작한 DG-NET 제작자에 의하여 플레이 스토어에 등록된 3개의 애플리케이션은 모두 같은 기능이며 총 100만 이상의 다운로드를 기록하였다.

 

[그림1] 스마트폰의 정보를 수집하는 애플리케이션(구글 플레이 스토어)

 

[그림2] 같은 제작자에 의하여 등록된 애플리케이션


현재는 3개의 애플리케이션이 구글 플레이 스토어에서 삭제된 상태이다.

하지만, 아직도 서드 파티 마켓(3rd Party)에서는 다운로드가 가능하다.

 

[그림3] 서드 파티 마켓(3rd Party)에 등록된 애플리케이션

 

 

이외에도 같은 종류의 애플리케이션이 존재했다.

 

[그림4] 추가 애플리케이션

 

해당 애플리케이션을 설치하면 아래와 같은 아이콘이 생성된다.

(2개의 애플리케이션만 설치하였다.)

 

 

[그림5] 애플리케이션 아이콘

 

 

애플리케이션을 실행하면 아래와 같은 화면을 볼 수 있다.

 

[그림6] 애플리케이션 설치 후 실행화면

 

안드로이드 기반의 애플리케이션은 권한 정보를 확인함으로써, 행위를 예측할 수 있다. 권한 정보를 살펴보면 아래와 같다.

 

[그림7] 애플리케이션의 권한 정보

 

 

 

애플이케이션이 실행되면 아래의 정보를 수집하여 특정 서버로 전송한다.

 

-. 사용자의 이메일(구글) 주소

-. IMEI 정보

-. 위치 정보

-. 패키지명 정보

-. 이동통신사망 APN(Access Point Name) 정보

     

실제 네트워크 전송과정은 아래와 같다.

 

[그림8] 수집된 정보를 특정서버로 전송하는 과정

 

 

스마트폰 사용자는 구글 플레이 스토어에서 설치할 경우에도 다른 사용자의 평판과 애플리케이션의 권한 정보를 확인하여 설치하는 습관이 필요하다.

 

또한, 이와 유사한 기능을 하는 애플리케이션이 많기 때문에 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.


이러한 애플리케이션은 V3 Mobile 제품에서 GWalls 또는 Airpush 와 같은 형태로 진단하고 있다.

신고
Posted by DH, L@@

최근 국내 스마트폰 사용자를 타켓으로 제작된 안드로이드 악성 앱이 발견되고 있다.

지난 10월에는 방통위를 사칭한 악성 앱이 발견되기도 했다.

관련 정보는 아래 페이지에서 확인이 가능하다.

http://asec.ahnlab.com/885

 

동일 제작자에 의해 만들어졌을 것으로 추정되는 악성 앱이 추가로 발견되었다.

사용자들의 편의를 위해 각 통신사들은 명세서, 청구서 앱을 제공하는데, 이를 위장하여 유포되는 악성 앱이 발견되었다.

 아래와 같이 단축 URL을 사용하여 유포되고 있었다.

"*** 고객님!

이번달 사용내역입니다

http://tinyurl.com/******* ☜클릭"

 

해당 앱에 대하여 살펴보자.

 

해당 앱을 설치해 확인해보면, 아래와 같이 Google Play 에서 배포되는 정상 앱과 구분이 어렵다.

 

[그림1] 정상 앱의 아이콘(왼쪽)과 악성 앱의 아이콘(오른쪽)

 

퍼미션 정보를 확인해 보면, 정상 앱과 다른 것을 확인할 수 있다.

 

정상 앱의 퍼미션 정보

악성 앱의 퍼미션 정보

-

Your messages

(receive MMS, receive SMS)

Network communication

(full Internet access,

view WI-FI state)

Network communication

(full Internet access,

view network state)

Storage

(modify/delete USB storage contents, modify/delete SD card contents)

Storage

(modify/delete SD card contents)

Phone calls

(read phone state and identity)

Phone calls

(read phone state and identity)

System tools

(retrieve running apps,

change WI-FI state,

Kill background process,

automatically start at boot)

System tools

(prevent phone from sleeping, automatically start at boot)

Your personal information

(read contact data, write contact data)

-

[표 1] 퍼미션 정보

 

앱을 실행하면 아래 그림처럼 오류 메시지를 띄우고 '확인' 버튼을 누르면 앱은 종료가 되지만 사용자들은 일시적인 서버 오류로 생각하고 해당 앱을 지우지 않을 가능성이 크다.

[그림2] 악성 앱 실행 화면

 

실제 앱의 코드를 살펴보자.

 

아래의 코드는 이 앱의 처음 시작 코드이며, 지면 상 위의 변수들까지 보이진 않지만 코드에서 보면 'a' 라는 변수는 Boolean 변수로 값은 true 이다. 이 코드의 의미는 (그림 중간 부분에) if(!a) 조건문에서 알 수 있듯이 항상 거짓으로 else 구문에 있는 메시지 박스를 띄우는 것으로 볼 수 있다. 그러나 이 메시지 박스가 팝업되기 전에 그 위에 코드가 실행되는데, 해당 코드를 보면 Ejifndv 클래스를 브로드 캐스트 하고 미리 정의된 번호로 수신된 SMS 를 수집하여 특정 서버로 전송하는 코드이다.

 

[그림3] 앱의 시작 코드(onCreate)

 

클래스들의 코드를 따라가 보면 아래의 그림과 같고 전송하는 IP의 정보도 알 수 있다.

[그림4] 사용자의 정보를 가져가는 코드

 

위와 같이 사용자 정보를 전송하는 코드 외에도 Ejifndv 클래스에서 또 다른 코드를 확인할 수 있다. 그 코드는 미리 정의된 번호로 수신된 SMS를 홍콩의 특정IP로 전송하며 관련 코드는 아래와 같다.

[그림5] 수신된 SMS의 내용을 전송하는 코드

 

[그림6]  미리 정의된 번호

 

최근 방통위 사칭 앱 뿐만 아니라, 대다수의 사용자들이 이용하는 스마트 청구서라는 앱으로 위장한 것으로 보아 악성코드 제작자들이 국내 사용자들을 타겟으로 하여 유포시키고 있는 것으로 볼 수 있다.

유포방식도 SMS를 이용하여 사용자들이 앱을 설치하도록 유도한다. 이에 사용자들은 Google Play 와 같이 정식으로 등록된 마켓도 주의할 필요가 있으며, 다른 경로로 설치되는 앱은 사용하지 않도록 해야한다.

수시로 V3 mobile 제품으로 점검을 해보는 습관이 필요하다.

 

<V3 제품군의 진단명>

Android-Trojan/Chest

신고
Posted by DH, L@@

2012 런던 올림픽이 개최된지 4일. 국가대표들을 향한 뜨거운 응원에 한반도의 열기는 식을 줄 모른다.

새벽까지 펼쳐지는 우리나라 대표의 경기를 응원하느라 피곤한 몸을 이끌고 출근하는 직장인이 부지기수. 하지만 이번 올림픽은 유난히 편파 판정의 의혹에 국민과 국가대표들의 마음고생이 심한 것 같다. 

악성코드는 런던 올림픽에 대한 사람들의 관심을 이용하여 또 한번 사용자들을 감염시키기 위해 나타났다.


최근 발견된 악성코드는  "London 2012 공식 게임" 이라는 타이틀로 위장하고 있다. 러시아에서 발견되었으며, 구글정식마켓이 아닌 사설마켓에서 발견된 악성코드이다.

이 악성어플은 설치시 사용자 폰의 정보를 무단으로 전송시키며, 아래의 특정한 지정번호로 문자 메시지를 발송한다.

 

 


[그림. malicious code]

[그림. 문자전송에 사용되는 번호]


그리고 아래와 같이 바탕화면 영역에 광고성의 바로가기 링크 ( http://m-[삭제].net ) 를 생성한다. 


[그림. 악성 바로가기]


만일 해당 링크를 실행하게 되면 또다른 악의적인 악성 어플을 다운로드 하여 설치를 유도한다.


이 악성어플은 마켓에서 올림픽 게임어플로 위장하였지만, 실제 어플리케이션의 아이콘은 아래와 같으며 실행시 아무 화면도 나오지 않고 종료된다. (추가패키지를 설치할 가능성이 있으나 코드나 분석환경상의 문제로 안될 수 있다)

[그림. 악성 어플리케이션 속성]


위 악성어플리케이션은 V3 Mobile 제품군으로 아래와 같이 차단가능하다.

엔진버전

2012.07.31.00

진단명

Android-Trojan/Boxer.BHS

Android-Trojan/Boxer.BHT

Android-Trojan/FakeInst.DZB



신고
Posted by 비회원

안드로이드 플랫폼이 큰 인기를 끌면서 모바일 기반의 악성코드 또한 활개치고 있다. 악성코드는 주로 인기 있는 어플리케이션으로 위장하여 사용자가 설치하게끔 유도하는데 그 대상으로 빠지지 않고 이용되는 인기게임 중 하나가 바로 "Angry Birds" 가 아닐까 한다.

 

이번에 새롭게 발견된 악성코드 역시 유명게임 "Angry Birds" 를 위장하고 있어 주의가 필요하다.

 

[fig. 가짜 Angry Birds 아이콘]

 

해당 악성코드는 중국의 써드파티마켓에서 최초 발견되었으며 위와 같이 Angry Birds 게임으로 위장하고 있다. 중국의 써드파티 안드로이드마켓 규모는 우리나라보다 크고 정품어플리케이션을 불법으로 받기 위해 이용하는 경우가 많아 사용자들이 쉽사리 악성어플리케이션에 대해 노출되기 쉬운 환경이다.

 

[fig. manifest 에 나타나는 악성 service]

 

 

이 악성코드는 설치 시 "com.neworld.demo.UpdateCheck" 라는 악성 서비스가 실행되는데, 이 서비스는 어플리케이션의 assets 폴더에 저장된 그림파일(mylogo.jpg)에 몰래 숨겨놓은 elf 포맷의 악성파일을 추가적으로 실행하며 아래와 같은 악의적인 동작을 지속적으로 수행한다.

 

  1. 사용자 폰 정보 탈취
  2. 강제 Rooting 시도
  3. C&C서버와 통신하며 명령수행 (ex.프로그램 설치)

     

 

[fig. 악성 elf 파일이 숨겨진 jpg 그림파일]

 

[fig. jpg 에 포함된 elf 의 binary 코드]

 

 

[fig. 폰정보 탈취코드]

 

[fig. C&C서버 통신 코드]

 

해당 악성코드는 V3 mobile 제품군에서 아래와 같이 진단한다.

Android-Exploit/Rootor.TC

 

아래의 스마트폰 악성코드 피해방지 3계명을 지켜 모바일 라이프를 안전하게 즐기도록 하자. J

 

- 스마트폰 악성코드 피해방지 3계명 http://blog.ahnlab.com/ahnlab/1488

▲백신 검사철저 ▲운영체제 구조 임의 변경 자제 ▲의심 서비스 이용 주의

저작자 표시 비영리 변경 금지
신고
Posted by 비회원
1. 개 요
이전 블로그에서 다뤘던 문자과금 및 추가 악성코드 설치를 유발하는 
Android-Trojan/Fakeinst 의 변종이 최근 해외에서 다량의 트위터 계정을 통해 안드로이드 악성코드가 확산 중인 것이 발견되어 관련 내용을 공유한다.


2. 분 석
악성코드유포에 사용된 트윗들은 러시아 언어로 작성되었으며 단축URL 을 이용하여 악성코드 설치를 유도하는 특징이 있고, 내용들은 인기어플리케이션을 소개한다거나, 의미 없는 단어 조합 + 악성 어플리케이션 다운로드 URL 로 구성되어 있다.








[fig 1. 악성코드 유포 트윗]


트윗에 포함된 단축 URL 을 클릭하면 아래와 같이 악성코드 설치를 유도하는 페이지로 접근된다. 해당 페이지들은 주로 인기어플리케이션(모바일 브라우저, 모바일 백신 등) 설치페이지로 위장되어 있다.





[fig 2. 악성코드 유포 웹페이지]


해당 페이지를 통해 설치되는 악성 어플리케이션은 아래와 같은 동작을 한다.

1. 사용자 폰의 개인정보(IMEI, IMSI,phone number 등)를 특정 서버로 유출
2. premium number 로 SMS 과금
3. 백그라운드에서 실행되며 주기적으로 다른 악성코드 설치 유도




[fig 3. 악성 어플리케이션 실행 화면]






[fig 4. 주기적으로 접근하는 악성코드 설치 유도 페이지]


악성행위관련 코드들은 다음과 같다. 

 



[fig 5. 관련 악성 코드]


3. 진단 현황

위 악성코드는 V3 mobile 제품군에서 아래의 진단명으로 치료가능하다.

Android-Trojan/Fakeinst
Android-Trojan/FakeIM



4. 스마트폰 안전수칙

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
저작자 표시 비영리 변경 금지
신고
Posted by 비회원
1. 개 요

최근 안드로이드기반의 스마트폰이 전세계적으로 확산되는 가운데, 중동의 이스라엘을 겨냥한 call 과금형 악성코드가 발견되어 분석 내용을 공유한다.

 


2. 분 석

해당 악성코드는 구글 안드로이드마켓에서 발견되었으며, "Voice Changer Israel" 이라는 어플리케이션 이름을 사용하고 있다. 이 어플리케이션은 제목 그대로 음성을 변조하여 상대방에게 전화를 걸 수 있는 엔터테인먼트 어플리케이션으로 위장하고 있다.

                                                   [fig. app icon]

아래의 실행화면을 보면 전화번호 입력란과 전화통화시 세가지의 목소리를 선택할 수 있고, 아래의 통화버튼 밑에 1분당 6 NIS(약 1.6달러) 가 과금 된다는 안내문이 표기되어 있는 것을 확인할 수 있다.

                                                         [fig. 실행 화면]

코드를 살펴보면, 아래와 같이 동작과정 중 특정 번호(premium number)로 call 을 하여 과금을 시키고, 그후 입력하였던 원래 전화번호로 음성변조된 전화를 건다.

                                                             [fig. 부분 코드]

아래와 같이 어플리케이션의 권한을 살펴보면 해당 어플이 call 을 통한 과금을 할 수 있다는 짐작을 할 수는 있으나, 원래 어플리케이션 성격상 call 기능이 반드시 포함되어야 하므로 설치시 권한만으로 악성어플임을 인지하는 것은 어렵다.


                      [fig. 사용 권한]



3. 결 론

해당 악성어플은 V3 mobile 제품군에서 Android-Trojan/FakeVoice 로 진단가능하다.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

1. SMS 과금형 안드로이드 악성 어플리케이션


 지금까지는 중국 또는 러시아를 타겟으로, 프리미엄 번호를 이용하여 사용자에게 요금이 부과되는 안드로이드 악성 어플리케이션이 대부분 이었다.
 이번에는 유럽국가를 타겟으로 제작된 안드로이드 악성 어플리케이션을 살펴 보자.




2. 안드로이드 악성 어플리케이션 정보


- SuiConFo 악성 어플리케이션의 정보




[그림] 악성 어플리케이션의 정보(아이콘, 어플리케이션 이름, 패키지 명, 권한 정보)


- Android 2.2 (Froyo 2.2) 이상에서 설치가 가능하도록 제작되어 있다.
- SEND_SMS 권한으로 보아, 과금이 발생할 수 있음을 추정할 수 있다.
- 그 외 여러 권한정보로 어플리케이션의 기능을 추정할 수 있다.


[그림] Android Manifest 정보




- 현재에도 아래와 같은 웹 사이트에 저장되어 있으며, 다운로드가 가능하다.


[그림] 악성 어플리케이션의 유포지



- 설치 여부 선택을 묻고 있다.


[그림] 설치 화면




- 설치된 악성 SuiConFo 어플리케이션

[그림] 설치된 악성어플리케이션 / 실행화면(ERROR)




- 어플리케이션 실행시팝업된 [ERROR] 는 아래의 코드에 의해 실행된 것이다.

[그림] ERROR 코드





- SMSReceiver class 기능
- 81001, 35064, 63000 등의 번호로 수신된 SMS를 사용자가 알 수 없도록 숨긴다.
- SMS 수신하는 기능과 함께, 제작자로 추정되는 번호로 SMS를 전송한다.(통계를 위한 전송으로 추정된다.)

[그림] SMS 관련 코드 일부



- MagicSMSActivity 기능
- 각 국가별 SMS 번호
벨기에 : 9903
스위스 : 543
룩셈부르크 : 64747
독일 : 63000
스페인 : 35064 
영국 : 60999
프랑스 : 81001

- 악성 어플리케이션 제작자는 캐나다를 코딩하면서 실수를 한것으로 추정된다. str2 str3 부분이 반대로 코딩 되어 있다.

[그림] 국가별 SMS 코드



- SuiConFo 의 어플리케이션이 모두 악성은 아니다.
해당 이름으로 제작된 정상적인 어플리케이션도 존재한다.



5. 스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Posted by DH, L@@
1.  안드로이드 악성코드의 변종 증가



 PC Windows 기반의, 동일한 기능 포함한 악성코드는 매우 많은 양의 변종을 양산하고 있다. 악성코드의 제작이 아니라, 공장에서 찍어내고 있다는 표현이 적절하지 않을까.
하지만, 이제는 더이상 PC에서만의 일은 아니다. 

 급격한 안드로이드 악성코드의 증가와 더블어, 악의적인 목적을 가진 유사한 어플리케이션이 등장하고 있다.
이러한 변종 중에 최근 FakeInst 형태의 안드로이드 악성코드가 급증했다.

 이 악성 어플리케이션의 행위와, 추이를 살펴보자.



2. 안드로이드 악성 어플리케이션 정보 FakeInst



- FakeInst  의미는 다른 어플리케이션의 설치를 가장하여, 악의적인 행위를 하는 악성 어플리케이션을 뜻한다.
- 패키지명이 com.depositmobi 인 안드로이드 악성 어플리케이션을 대상으로 확인해 보자.

[그림] FakeInst 형태의 악성 어플리케이션의 아이콘과 권한 정보



- Android Manifest 정보 이다.
- SDK 정보와 권한 정보를 확인 할 수 있다.
- 6개의 어플리케이션이 모두 동일 하다.

[그림] Android Manifest 정보




- 설치 과정

[그림] com.depositmobi 설치 화면1





- Rules 를 선택하면 어플리케이션의 행위에 대하여 안내하고 있다.
- 과금이 발생할 수 있음을 알리고 있지만, 추가설치되는 어플리케이션에 대한 지불은 아니다.

[그림] com.depositmobi 설치 화면2




- SMS 과금을 유발하는 코드 일부

[그림] SMS 관련 코드 일부




- 다운로드되는 어플리케이션과 URL

[그림] 다운로드 URL 정보




-  premium numbers 과금관련 안내 코드
- ex) 7151 : 33.87 ~ 40.00 루브 (МТС 33.87 руб., Мегафон 35.40 руб., Билайн 40.00 руб)
- 루브는 러시아 화폐단위이며, 1 rub = 36.84 원 이다. 


[그림] 과금 안내 코드 일부



3. 변종추이


- 8월 부터 꾸준히 발생했으며, 현재는 1600개를 넘어섰다.

[그림] Android-Trojan/FakeInst 변종 추이 (대상 패키지 : com.depositmobi)





4. V3 모바일 진단 현황



- 아래와 같은 형태의 진단명으로 진단/치료하고 있다.

Android-Trojan/SmsSend
Android-Trojan/FakeInst
Android-Trojan/Agent
Android-Trojan/Boxer





5. 스마트폰 안전수칙


 스마트폰 악성코드는 이제 더 이상 다른 나라 이야기가 아니다. 현재까지 피해사례는 보고되지 않았지만,
항상 주의를 기울이고, 어플리케이션을 설치해야 한다.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Posted by DH, L@@


1. 서 론


 

지난 8월에 발견된 Google+를 위장한 악성 어플 Google++, 그리고 지난 6월에 발견된 Google Search 를 위장한 Google SSearch 를 이어, 이번에는 미국에서 인기있는 온라인 스트리밍 비디오 서비스 어플리케이션을 위장한 악성 어플리케이션 Netflix 가 발견 되었다.

 

이 처럼 인기있는 어플을 위장한 악성 어플리케이션이 지속적으로 발견되고 있기 때문에, 어플리케이션을 설치할 경우, 불필요한 권한을 요구하진 않는지 등등, 스마트폰 안전 수칙에 항상 관심을 갖고 설치해야 한다



 

                                         [그림] Google 위장 안드로이드 악성 어플

 




2.     NETFLIX 로 위장한 악성 어플 분석 





[그림] NETFLIX 위장한 악성 어플의 권한 정보

 

 

 

- Android OS 1.6 이상에서 설치 가능하도록 제작 되었다.



[그림] Manifest 정보

 

 


[그림] 악성 어플의 응용프로그램 정보

 



-
악성 어플을 실행할 경우 아래와 같이 Email Passwoord 를 입력 받는다.


 

                                     [그림] 악성 어플 실행 화면

 



- Email Password 를 입력하면 아래와 같은 화면이 팝업 되고, Cencel 을 선택하면 제거 화면으로 넘어간다.

- 삭제를 취소하려고 해도 취소 되지 않고, 반드시 삭제하도록 되어 있다.

                            [그림] 팝업된 화면 / Cancel 을 선택 후 화면


 

 

- 수집된 Email Password 는 외부서버로 전송을 시도한다.


[그림] Email Password 수집 시도 및 전송 url 코드



- 정상 Netflix 실행시 아래와 같이 스마트폰 상단의 상태바가 표시 되므로 악성과 구분 된다.



[그림] 정상 Netflix 실행 화면

 

 

3. 스마트폰 안전 수칙



1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.

2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Posted by DH, L@@