스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술이다.

QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었다.


[ 그림. 광고에 사용되는 QR 코드 ]



러시아의 특정 웹사이트에서 이와 같이 효과적으로 정보전달을 할 수 있는 매개체인 QR코드가 SMS를 통해 과금을 시키는 스마트폰 악성코드를 유포하는데 활용된 것이 밝혀져 관련 내용을 전한다.


1. 유포 유형

러시아의 특정 웹페이지에서 어플리케이션 홍보형식으로 QRcode 와 주소링크를 통해 유포되었다.

화면 중앙 상단에 안드로이드 어플리케이션을 바로 받을 수 있는 URL과 QRcode 를 스캔할 수 있게 되어있고, 좌측에는 어플리케이션 실행 화면이 나와있다.


[ 그림. 악성코드를 유포하는 러시아 웹사이트 ]


2. 악성코드 분석

해당 악성코드는 아래 그림과 같은 권한을 사용한다.
아래의 SEND_SMS 권한은 문자를 송신할 때 반드시 요구되는 권한으로 악성어플리케이션을 구분하는데 중요한 단서가 된다.

만일 게임과 같이 설치하려는 어플리케이션이 문자를 송신할 필요가 전혀 없는 어플리케이션인데 SEND_SMS 권한을 사용하고 있다면, 한번쯤 악성어플인지 의심할 필요가 있다.


[ 그림. 악성 어플리케이션 정보 ]


아래와 같은 코드를 이용하여 "2476" 의 premium rate number 로 문자를 송신하는 기능이 있다.
(러시아에선 약 6달러가 결제된다고 알려져 있다.)

참고로 이 악성코드는 Disassemble 시 코드를 분석하기 어렵도록 약간의 난독화가 되어 있다.


[ 그림. 문자과금 관련 코드 ]


3. 결 론

위 악성코드는 Android-Trojan/SmsSend.K 로 V3 모바일제품에서 진단한다.

스마트폰 악성코드는 더이상 개념상의 악성코드가 아닌 실제로 웹상에서 유포되고 있고, 현재도 악성코드에 감염된 스마트폰이 분명히 존재한다.

또한 위 악성코드처럼 악성코드는 항상 최신의 트렌드를 반영하며 좀 더 많은 기기들을 감염시키기 위해 기법을 발전시키며 사용자들을 유혹하고 있는 점에 주목하자.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.




신고
Posted by 비회원

 


1. Google++ 에 대하여..


 최근 구글플러스 SNS 의 사용자가 증가함에 따라, 이를 악용한 악성 어플리케이션이 등장 했다.
인기 SNS의 증가와 사용자의 관심을 이용하여 이른바, 사회공학기법의 악성코드 감염 방식과 유사하다고 볼 수 있다. 

 얼마전 구글 서치(Google Search)를 위장한 앱에 이어 구글을 위장한 악성 앱이 다시 등장한 것이다.

Google SSearch 악성 앱 정보 : http://core.ahnlab.com/299 



2. Nicky 로 불리는 악성 앱 Google++


- 악성 앱이 요구하는 권한 정보



[그림] Google++ 어플리케이션 권한 정보




- 앱이 설치되어도 아이콘은 생성되지 않는다. [응용프로그램 관리]를 통하여 확인 가능 하다.

 

[그림] [응용프로그램 관리] 화면




3. 상세 정보


- AndroidManifest.xml 에서 다음과 같이 동작할 것으로 추정 가능 하다.

[그림]  Manifest 일부


- SMS, 통화 내역, GPS 정보 수집 등 Nicky 와 비슷한 동작을 시도 한다.
Android System Message 악성 앱 정보 http://core.ahnlab.com/320

[그림] 악의적 행위를 시도하는 서비스 관련 코드



- V3 모바일에서는 변종에 대하여 다음과 같이 진단하고 있다.

Android-Spyware/Nicky
Android-Spyware/Nicky.B
Android-Spyware/Nicky.C
Android-Spyware/Nicky.D
Android-Spyware/Nicky.E
Android-Spyware/Nicky.F




4. 스마트폰 사용시 주의 사항 !

- 항상 최신의 OS 버전을 사용 한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.



신고
Posted by DH, L@@
스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다.


▶ 개인정보 유출

해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다.

1. IMEI
2. 제조사 (manufacturer)
3. Model 번호
4. IMSI


[pic. data stealing code]


[pic. sending data with http post ]



다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.)

해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.

 com.cola.twisohu
 com.sohu.newsclient
 com.duomi.android
 com.snda.youni
 cn.emoney.l2
 com.diguayouxi
 com.mx.browser
 com.uc.browser
 com.onekchi.xda
 cn.goapk.market
 com.wuba
 com.mappn.gfan
 com.hiapk.marketpho

[pic. checking md5sum ]


현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다.

2011.08.10.00
Android-Spyware/Netsend

아래의 수칙을 지켜 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.


신고
Posted by 비회원

 


1. Android-Spyware/Nicky 정보!


해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다.


2. Nicky 악성 앱 Android System Message 정보!



* 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다.

[그림] Nicky Spyware 권한 정보



[그림] 灵猫安安 의 설치/실행 정보




* android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다.

        <service android:name=".MainService" android:exported="true">
        <service android:name=".GpsService" android:exported="true">
        <service android:name=".SocketService">
        <service android:name=".XM_SmsListener" />
        <service android:name=".XM_CallListener" />
        <service android:name=".XM_CallRecordService" />
        <service android:name=".RecordService" />

[그림] Manifest 정보


* 사용자의 정보를 수집/전송하는 class 정보들

[그림] 정보 수집/전송하는 class 전체 화면



* 수집된 정보 저장 위치는 아래 코드로 추정 가능하다.
/sdcard/shangzhou/callrecord/




* 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일


[그림] 통화내역 저장 화면
 


* 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다. 


[그림] 특정 서버로 전송을 시도하도록 되어 있는 코드의 일부



* V3 모바일 진단 화면


[그림] V3 모바일 화면



* V3 모바일에서는 변종에 대하여 다음과 같이 진단하고 있다.
Android-Spyware/Nicky
Android-Spyware/Nicky.B
Android-Spyware/Nicky.C



* 스마트폰 사용시 주의사항!



 
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

 
신고
Posted by DH, L@@


1. Android-Trojan/Ggtrack 알아보자!



기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다.

이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자.

[그림] 악성코드 관계도

 

[그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면)



2. Ggtrack 악성앱 Battery Saver 정보!


* 아래 그림(표)에서 알 수 있듯이 앱 목적에 맞지 않게 과도한 권한을 필요로 하고 있다.

[그림] Battery Saver 권한 정보


[그림] Battery Saver 설치/실행 정보




* 서버와 통신하는 일부 코드
 


* SMS를 모니터링 하여, 아래와 같은 번호가 일치할 경우 사용자에게 메시지를 숨김으로써, 사용자 모르게 악의적 행위가 동작하도록 작성된 일부 코드이다.

 




"YES" 회신을 보내며, 사용자의 number, message, sdk 버전등의 정보를 서버로 보낸다.
 





* V3 모바일에서는 다음과 같이 진단하고 있다.

[그림] V3 모바일 악성 앱 진단 화면


* 스마트폰 사용시 주의사항!



1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Posted by DH, L@@
1. 개 요


안드로이드 온라인 동영상 스트리밍 플레이어
로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다.

 

  

 


[fig] fake online video streaming player




2. 분 석


A. SMS 과금 및 휴대폰 정보 탈취


악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다.


[fig] sendsms to premium number


만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다.
이 악성앱은 영리하게도 회신되는 문자를 사용자가
볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다.

이 악성앱은 "10" 으로 시작되는 번호들로 전송되는 SMS에 관해 필터링 하였다.



[fig] filtering feedback from service provider


이외에 추가적으로 핸드폰의 Sim 카드 serial 을 얻고, 특정 서버로 전송한다.



[fig] gathering sim serial-number



B. 악성코드 확산

이 악성앱은 감염된 폰에서 과금을 하는 것뿐만 아니라 악성앱 자신을 광고(Self-advertising) 하는 기능도 포함되어 있어 주의가 필요하다.
사용자는 좋은 앱 소개시켜준다는 의도로 추천링크를 전송했는데, 받는 사람에게 악성앱을 설치하게끔 유도한 꼴이 될 수 있다.

Self-advertising 은 아래와 같이 친구추천기능을 통해 e-mail , 또는 sms 로 악성앱을 다운 및 설치할 수 있는 링크를 전송하여 이루어진다.

 


[fig] self-advertising


[fig] self-advertising code



3. Wrap-up
해당 악성코드는 V3 mobile 제품군에서 아래와 같이 진단하고 있다.

- 엔진버전
  2011.07.19.00


- 진단명
  Android-Trojan/SmsSend.AA
  Android-Trojan/SmsSend.AB


아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.



 
신고
Posted by 비회원
1. 개 요

안드로이드 게임. "FastRacing" 으로 위장하여, 설치시 사용자폰의 SMS 발신/수신 내역, 전화통화기록 등을 사용자 모르게 감시하고, 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었다.

해당 악성코드는 "GoldDream" 이라 불리우며, '정상적인 게임'에 악의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓에서 유포된 것이 해외 유명대학의 연구팀에 의해 밝혀져 관련 소식이 전해지게 되었다.

"GoldDream" 은 또한 사용자폰을 감시하는 기능 이외에 C&C서버를 통해 스마트폰에 특정 명령을 내릴 수있는 bot 기능도 포함되어 있는데,  이는 "GoldDream"에서 최초로 발견된 기능은 아니며 "DroidKungFu
" 나 이전의 다른 안드로이드 악성코드에서도 보여지는 최근 악성코드의 트렌드이다.

안드로이드 악성코드도 이젠 실험적인 레벨을 넘어 점점
정립된 프로세스를 갖추며 짜임새있게 배포되고 있다는 것을 나타내고 있다.

 

 

[그림] Application 정보



2. 분 석

 A. SMS/통화기록/핸드폰 정보 감시 및 탈취

악성 앱을 설치하게 되면 동시에 receiver 가 등록되며, 등록 이후에 발생되는 system event 들을 가로챈다.
system event 들은 여러가지가 있지만 GoldDream은 SMS와 전화 송수신내역에 대해 Listen 하여 사용자 모르게 해당 정보들을 text 파일로 저장 후, 원격서버 (le**r.g**p.net) 로 전송한다.


[그림] save incoming/outcoming phone call
 


[그림] upload phone log file

 


 B. 원격지 명령수행(C&C)

Receiver 와 같이 등록되는 악성 Service 는 Remote server(C&C서버) 에서 명령을 전달받고 수행하는 역할을 한다. 이때 등록되는 악성 Service 는 부트 타임에 로딩되도록 설계되어있어 폰이 켜져있는 동안은 항상 C&C서버의 조종을 받을 수 있는 이른바 "좀비폰" 상태가 된다.
이때 C&C서버로부터 수행가능한 Command 들은 아래와 같다.

- 백그라운드 SMS 발송
- 강제 전화 연결
- 지정된 어플리케이션 삭제
- 지정된 어플리케이션 설치
- 로그 파일(개인 정보) C&C서버로 전송



[그림] C&C Commands


3. Wrap-up
"GoldDream" 악성코드는 V3 mobile 제품군에서 아래와 같이 진단하고 있다.

- 엔진버전
2011.07.06.00


- 진단명
Android-Trojan/Gdream



아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.


The credit of discovering this malware goes to Dr. Xuxian Jiang and his research team at North Carolina State University.

신고
Posted by 비회원
1. 개 요

안드로이드폰을 강제루팅 후 권한을 탈취하여 좀비화시키는 악성코드가 또 다시 발견되었다.
해당 악성코드는 'DroidKungFu' 라 불리며,  이전 DroidDream 악성코드와 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로서 악성코드가 계속 진화하고 있다는 것을 증명하고 있다.
본 포스트를 통해 악성코드가 어떻게 진화하였는지 알아보자.


2. 분 석

  1. 유포 경로
    'DroidKungFu' 악성코드는 정상 앱을 리패키징(re-package) 하여 유포되며, 중국 내 몇몇의 App Market 과 forum 들에서 유포되었다.


                                                                그림. 악성 어플

  2. 정보 수집
    해당 악성코드가 설치되면, 먼저 doSearchReport() -> updateInfo() 함수를 통해 스마트폰의 다양한 정보들을 수집 후 특정 서버로 전송한다.

                                                             그림. dosearchReport


                                                             그림. updateinfo


    이 과정에서 탈취되는 정보와 유출 경로는 다음과 같다

    - 탈취 정보

    imei
    ostype
    osapi
    model
    SDKVersion
    SDcard info
    internal Memory Size
    Net operator
    phone number
    running service



  3. Rooting
    정보 수집 후 악성앱은 사용자의 폰에 대해 getPermission() 함수를 통해 루팅을 시도한다.
    이때 이용되는 exploit 코드는 "RageAgainstTheCage" 라는 exploit 으로 DroidDream 때 사용되었던 코드와 동일한 코드로 Android 2.2 이하의 버전에서는 위 exploit 에 노출될 수 있다.


                                                           그림. getPermisson

    해당 익스플로잇은 '/assets/ratc' 파일로 AES 알고리즘을 사용하여 암호화되어 있는데, 악성앱 실행시 복호화되어 실행되어 진다.
    복호화에 사용되는 Key 값은 아래와 같다.


                                                           그림. 암호key

  4. Installing more malware
    rooting 이 성공하면 cplegacyres() 함수를 통해 'assets' 에 저장되어 있던 다른 악성 앱을 설치하게 되는데, 이 악성앱은 구글의 'Google Search' 앱을 위장하고 있다.


                                                              그림. cplegacyres

     

     정상앱의 경우 어플리케이션 이름은 'Google Serach' 이지만 해당 악성앱은 'Google SSearch' 라는 이름을 사용하고 있어 육안으로 구분이 가능하다.


                                                          그림. Google SSearch

    설치되는 악성 'Google SSearch' 는 서비스 형태로 System 권한을 받아 동작하며, 사용자폰을 원격통제(좀비화)하는 기능을 수행한다.
    이 때 사용되는 Command 는 아래와 같다.

    - C&C 커맨드 목록

    execHomepage : 지정된 homepage 를 연다
    execInstall : 지정된 url 의 안드로이드 패키지(앱) 파일을 다운받고 설치한다
    execStartApp : 지정된 안드로이드 앱을 실행시킨다.
    execOpenUrl : 지정된 url 을 연다
    execDelete : 지정된 file 을 삭제한다.


                                                                 그림. commands

3. 마치며


해당 악성코드는 V3 mobile 에서 아래와 같이 진단하고 있다.

엔진버전: 2011.06.07.00

Android-Exploit/Rootor.I
Android-Exploit/Rootor.K



                                                                 그림. 진단화면

아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

 
The credit of discovering this malware goes to Dr. Xuxian Jiang and his research team at North Carolina State University.

신고
Posted by 비회원

 


1. 개요


중국에서 유명한 QQ 관련, 게임을 리패키징한 안드로이드 모바일 악성코드가 발견되었다.
이번 악성 앱의 큰 특징은 추가 악성 앱을 설치하여, 악의적인 행위를 한다.

2. 앱 정보


[그림1] 앱 아이콘

 

[그림2] 앱 실행화면


3. 특징


QQ 게임을 리패키징 한 악성 앱을 설치할 경우,  busybox 의 압축을 해제하여, 악의적인 ELF 파일을 생성하고 anserverb 를 "xxx.apk" 로 변경하여 악성 앱 설치를 시도한다. busybox 는 압축된 파일.

 

[그림3] 악성 앱(apk)를 압축해제 후 파일 구성 화면


1) 앱 설치시 다음과 같은 권한을 요구한다.

   - Android 1.5 이상에서 설치가능.
   - SD카드 콘텐츠 수정/삭제.
   - 인터넷에 최대한 액세스 가능.
   - 휴대전화 상태 및 ID 읽기 가능.

[그림4] 권한 정보

[그림5] manifest 로 본 앱의 권한 정보와 설치 가능 버전

[그림6] xxx.apk 변경하여, 추가 악성 앱 설치시도의 일부 코드 1


[그림7] xxx.apk 변경하여, 추가 악성 앱 설치시도의 일부 코드 2


2) 추가 설치되는 com.android.battery 의 권한/행위 정보

   - 연락처 데이터 읽기, 테이터 생성.
   - 인터넷에 최대한 액세스.
   - SD 카드 콘텐츠 수정/삭제.
   - 휴대전화 상태 및 ID 읽기.
   - 전화번호 자동 연결, SMS 메시지 보내기.
   - 휴대전화가 절전 모드로 전환되지 않도록 설정.
 

[그림8] 추가 설치되는 앱의 권한 정보



   - 앱이 설치되어도 아이콘이 생성되지 않는다.(백그라운드 동작)
   - android.permission.RECEIVE_BOOT_COMPLETED 권한으로
      부팅시에 자동 실행되어 백그라운드로 동작을 시도한다.

[그림9] 추가 설치되는 com.android.battery 의 manifest 로 본 권한 정보


3) 정적분석을 통하여 다음과 같이 추정 가능하다.
   - 백그라운드로 동작하며 외부로 정보 유출, 일부 보안 프로그램 방해 등의 다양한 악의적 행위를 할 것으로 추정된다.

[그림10] 보안제품 변경을 시도할 것으로 추정되는 일부코드

4. 진단정보



*안철수연구소가 권하는 스마트폰 보안 수칙 10계명

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다. 
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다. 
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다. 
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

신고
Posted by DH, L@@
1. 개 요

정상앱에 악성코드를 심어 안드로이드마켓에 재배포하여 사용자들을 감염시켰던 DroidDream 악성코드가 다시 발견되었다고 해외벤더사에 의해 밝혀져 관련 내용을 공유한다.

[그림1. 악성앱 Sexy Legs]

이전 DroidDream 분석정보
안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의

http://core.ahnlab.com/259

* 유포경로
DroidDream 악성앱은 Google Android Market 에서 배포되었으며, 현재는 마켓에서 퇴출당해 다운받을 수 없는 상태이다.

현재까지 파악된 개발자이름별 악성앱들의 목록은 아래와 같다.


Magic Photo Studio

  • Sexy Girls: Hot Japanese
  • Sexy Legs
  • HOT Girls 4
  • Beauty Breasts
  • Sex Sound
  • Sex Sound: Japanese
  • HOT Girls 1
  • HOT Girls 2
  • HOT Girls 3

Mango Studio

  • Floating Image Free
  • System Monitor
  • Super StopWatch and Timer
  • System Info Manager

E.T. Tean

  • Call End Vibrate

BeeGoo

  • Quick Photo Grid
  • Delete Contacts
  • Quick Uninstaller
  • Contact Master
  • Brightness Settings
  • Volume Manager
  • Super Photo Enhance
  • Super Color Flashlight
  • Paint Master

DroidPlus

  • Quick Cleaner
  • Super App Manager
  • Quick SMS Backup

GluMobi

  • Tetris
  • Bubble Buster Free
  • Quick History Eraser
  • Super Compass and Leveler
  • Go FallDown !
  • Solitaire Free
  • Scientific Calculator
  • TenDrip

출처: Lookout 블로그


2. 분 석


DroidDream 은 기존 정상앱에 악성코드를 심어 리패키징을 하여 유포하는 대표적인 악성코드이다.
이번에 추가된 코드의 경우 'passionteam.lightdd' 라는 패키지명을 사용하였고, 'CoreService' 라는 서비스 코드를 추가하여 악성행위를 서비스로 동작시킨다.

[그림2. 추가된 악성코드 구조]

현재까지 분석된 악성행위는 다음과 같다.

  • 시스템 정보 탈취
    • IMEI
    • IMSI
    • 설치된 App 정보
    • SDKVersion 등

  • 외부 어플리케이션 원격설치

이전에 분석되었던 루팅시키는 코드의 경우, 현재 악성코드에선 발견되지 않았다.

3. 악성코드 감염 예방


V3 mobile에서는 관련 악성코드를 아래와 같이 진단하고 있다.

V3모바일: 2011.06.02.00 
Android-Trojan/LightDD
Android-Trojan/LightDD.B
Android-Trojan/LightDD.C
Android-Trojan/LightDD.D
Android-Trojan/LightDD.E

아래의 수칙을 통해 스마트폰 악성코드에 감염되는 것을 어느정도 예방가능하다.

1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함.

신고
Posted by 비회원