안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 '체스트' (Android-Trojan/Chest)로 인한 사용자의 피해가 끊이지 않고 있으며, 변종이 끊임없이 유포되고 있다.

최근 유포되고 있는 악성 앱에 대하여 살펴보고, 추가된 코드는 무엇인지 확인 해 보겠다.

 

'체스트' 악성 앱은 사용자의 SMS 문자 메시지를 감시하고, 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인하여 소액결제 인증번호가 유출되고, 그 인증번호를 이용하여 금전적 이득을 취하고 있다.

그동안 꾸준히 발견되고 있는 '체스트' 악성 앱과 배포 방식은 동일하지만, 소스 코드가 일부 추가/변경되어 유포되고 있다.

 

 

악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타겟을 관리하고 모니터링 하고 있다.

 

 

[그림 1] 악성 앱 설치 유도 메시지 발송을 위한 타겟 리스트

 

 

 

 

타겟이 정해지면, 아래와 같은 문자메시지를 통하여 스마트폰 사용자에게 악성 앱 설치를 유도 한다.

 

[그림 2] 악성 앱 설치 유도 문자 메시지

 

단축 URL로 연결하여 앱을 설치하면, 아래와 같은 유명한 커피 전문점 "**** 쿠폰" 아이콘이 생성되며, 서비스에 등록된다.

[그림 3] 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)

 

악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다.

 

[그림 4] 악성 앱이 요구하는 권한 정보

 

악성 앱을 실행하면 아래와 같이 시스템 과부화로 잠시 후 다시 이용할 것을 권하고 있다. 소액결제 인증번호를 수집하기 위한 시간을 벌기 위하여, 즉 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.

 

[그림 5] 의도된 오류 메시지 팝업

 

 

악성 앱이 실행되면, 아래 코드에 의하여 스마트폰의 전화번호가 악성코드 제작자에게 전송된다.

감염된 스마트폰의 전화번호를 수집함으로써, 소액결제를 위한 인증번호 발송 작업을 진행하게 된다.

[그림 6] 특정번호로 수신된 SMS 감시/수집 코드

 

위 코드가 실행되면 "mobile=전화번호" 의 형태로 스마트폰의 전화번호가 전송 된다.

 

이 후, 악성코드 제작자는 아래와 같은 코드를 이용하여 특정번호(송신자)를 포함하는 SMS를 감시하고 있다.

if ((!this.numberchk3.equals("01")) || (this.numberchk1.equals("15")) || (this.numberchk1.equals("16")) || (this.numberchk2.equals("01015")) || (this.numberchk2.equals("01016")) || (this.numberchk3.equals("15")) || (this.numberchk3.equals("16")) || (this.numberchk4.equals("01015")) || (this.numberchk4.equals("01016")) || (this.numberchk1.equals("11")) || (this.numberchk3.equals("11")))

 

[그림 7] 특정번호로 수신된 SMS 감시/수집 코드

 

위와 같이 미리 정의된 번호로 발송된 SMS 는 아래와 같은 코드를 이용하여, 스마트폰 전화번호와 함께 특정서버로 전송된다.

 

[그림 8] 전화번호와 SMS 를 특정서버로 전송하는 코드

 

위 코드가 실행되면 "mobile=전화번호&revsms=SMS내용" 의 형태로 전화번호와 문자메시지가 전송 된다.

 

악성코드 제작자는 "대리운전"과 관련된 다량의 SMS 때문에 아래와 같은 코드를 추가한 것으로 보인다.

아래의 코드는 SMS 감시하면서 "대리운전" 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 "대리운전" 메시지를 전달한다.

 

제작자는 더 이상 "앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요"는 받지 않을 것이다.

 

[그림 9] 대리운전 SMS 필터링

 

 

악성 앱에 감염된 사용자의 리스트를 관리하며, 수집한 SMS 에서 "소액결제 인증번호"가 존재하는지 모니터링 하고 있다.

 

 

[그림 10] 감염자로부터 전송된 SMS 내역

 

악성코드 제작자는 이러한 과정을 통하여 금전적 이득을 취하고 있다.

악성 앱에 감염되고, 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

최근 일본에서 여성 스마트폰 유저를 타겟으로 한 개인정보 유출형 악성코드가 발견되었다.

악성코드는 일반적으로 성인물, 도박, 불법약물 등 주로 남성들이 혹할만한 매개체 위주로 제작되는데에 반해, 최근 발견된 이 악성어플은 성인 여성을 노리고 제작된 점이 특징이다.

이 악성 어플은 어떠한 경로로 감염되는지 알아보자.

 

A.    여성 종합 정보 사이트

 여성 종합 정보 사이트에 아래그림과 같이 이 남자를 추천합니다라는 광고문구의 링크를 만들어 해당 링크를 클릭할 경우 악성 앱을 다운받아 설치를 유도한다.

 

[fig 1. 여성정보 웹페이지에 있는 이남자를 추천합니다라는 문구의 링크] 출처: Symantec


B.     광고성 스팸 메일 

또 다른 감염방법으로 돈을 많이 벌고 싶은 여성은 보세요라는 내용으로 다량의 스팸 메일을 보내고, 자극적인 내용의 본문 속에 삽입된 링크를 클릭할 경우 악성앱이 다운로드된다.

 

[fig 2. 악성어플을 설치 유도하는 스팸메일 ]

 

다운로드된 악성코드는 아래와 같이 일본어로 구성되어 있는 어플을 설치한다. 어플리케이션의 이름은 당신 이길 수 있어?’ 라는 뜻이며, 호기심을 자극하여  어플을 실행해 보게끔 한다.

 

[fig 3. 악성 어플리케이션 정보]

 

이 악성코드는 실행시 숫자가 카운트된 후 아래와 같이 당신은 졌다라는 화면이 나오며, 특별히 다른 메뉴는 존재하지 않는다.

[fig 4. 악성어플 실행화면]

 

악성어플은 설치 및 실행과정에서 아래와 같이 사용자 개인정보를 탈취하는 기능이 있다. 특히 스마트폰의 주소록을 특정 서버 (http://58.**.**..229/ap**i/a****gist)로 모두 전송하는 기능이 있어 개인정보를 심각하게 침해하므로 주의를 요한다.

 

[fig 5. 악성 코드]


위 악성코드는 V3 mobile 제품군에서 아래와 같이 진단/치료가 가능하다

 

<V3 mobile 제품군의 진단명>

Android-Trojan/Loozfon (V3. 2012.09.04.00 )

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안드로이드 플랫폼이 큰 인기를 끌면서 모바일 기반의 악성코드 또한 활개치고 있다. 악성코드는 주로 인기 있는 어플리케이션으로 위장하여 사용자가 설치하게끔 유도하는데 그 대상으로 빠지지 않고 이용되는 인기게임 중 하나가 바로 "Angry Birds" 가 아닐까 한다.

 

이번에 새롭게 발견된 악성코드 역시 유명게임 "Angry Birds" 를 위장하고 있어 주의가 필요하다.

 

[fig. 가짜 Angry Birds 아이콘]

 

해당 악성코드는 중국의 써드파티마켓에서 최초 발견되었으며 위와 같이 Angry Birds 게임으로 위장하고 있다. 중국의 써드파티 안드로이드마켓 규모는 우리나라보다 크고 정품어플리케이션을 불법으로 받기 위해 이용하는 경우가 많아 사용자들이 쉽사리 악성어플리케이션에 대해 노출되기 쉬운 환경이다.

 

[fig. manifest 에 나타나는 악성 service]

 

 

이 악성코드는 설치 시 "com.neworld.demo.UpdateCheck" 라는 악성 서비스가 실행되는데, 이 서비스는 어플리케이션의 assets 폴더에 저장된 그림파일(mylogo.jpg)에 몰래 숨겨놓은 elf 포맷의 악성파일을 추가적으로 실행하며 아래와 같은 악의적인 동작을 지속적으로 수행한다.

 

  1. 사용자 폰 정보 탈취
  2. 강제 Rooting 시도
  3. C&C서버와 통신하며 명령수행 (ex.프로그램 설치)

     

 

[fig. 악성 elf 파일이 숨겨진 jpg 그림파일]

 

[fig. jpg 에 포함된 elf 의 binary 코드]

 

 

[fig. 폰정보 탈취코드]

 

[fig. C&C서버 통신 코드]

 

해당 악성코드는 V3 mobile 제품군에서 아래와 같이 진단한다.

Android-Exploit/Rootor.TC

 

아래의 스마트폰 악성코드 피해방지 3계명을 지켜 모바일 라이프를 안전하게 즐기도록 하자. J

 

- 스마트폰 악성코드 피해방지 3계명 http://blog.ahnlab.com/ahnlab/1488

▲백신 검사철저 ▲운영체제 구조 임의 변경 자제 ▲의심 서비스 이용 주의

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요
이전 블로그에서 다뤘던 문자과금 및 추가 악성코드 설치를 유발하는 
Android-Trojan/Fakeinst 의 변종이 최근 해외에서 다량의 트위터 계정을 통해 안드로이드 악성코드가 확산 중인 것이 발견되어 관련 내용을 공유한다.


2. 분 석
악성코드유포에 사용된 트윗들은 러시아 언어로 작성되었으며 단축URL 을 이용하여 악성코드 설치를 유도하는 특징이 있고, 내용들은 인기어플리케이션을 소개한다거나, 의미 없는 단어 조합 + 악성 어플리케이션 다운로드 URL 로 구성되어 있다.








[fig 1. 악성코드 유포 트윗]


트윗에 포함된 단축 URL 을 클릭하면 아래와 같이 악성코드 설치를 유도하는 페이지로 접근된다. 해당 페이지들은 주로 인기어플리케이션(모바일 브라우저, 모바일 백신 등) 설치페이지로 위장되어 있다.





[fig 2. 악성코드 유포 웹페이지]


해당 페이지를 통해 설치되는 악성 어플리케이션은 아래와 같은 동작을 한다.

1. 사용자 폰의 개인정보(IMEI, IMSI,phone number 등)를 특정 서버로 유출
2. premium number 로 SMS 과금
3. 백그라운드에서 실행되며 주기적으로 다른 악성코드 설치 유도




[fig 3. 악성 어플리케이션 실행 화면]






[fig 4. 주기적으로 접근하는 악성코드 설치 유도 페이지]


악성행위관련 코드들은 다음과 같다. 

 



[fig 5. 관련 악성 코드]


3. 진단 현황

위 악성코드는 V3 mobile 제품군에서 아래의 진단명으로 치료가능하다.

Android-Trojan/Fakeinst
Android-Trojan/FakeIM



4. 스마트폰 안전수칙

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개 요

최근 안드로이드기반의 스마트폰이 전세계적으로 확산되는 가운데, 중동의 이스라엘을 겨냥한 call 과금형 악성코드가 발견되어 분석 내용을 공유한다.

 


2. 분 석

해당 악성코드는 구글 안드로이드마켓에서 발견되었으며, "Voice Changer Israel" 이라는 어플리케이션 이름을 사용하고 있다. 이 어플리케이션은 제목 그대로 음성을 변조하여 상대방에게 전화를 걸 수 있는 엔터테인먼트 어플리케이션으로 위장하고 있다.

                                                   [fig. app icon]

아래의 실행화면을 보면 전화번호 입력란과 전화통화시 세가지의 목소리를 선택할 수 있고, 아래의 통화버튼 밑에 1분당 6 NIS(약 1.6달러) 가 과금 된다는 안내문이 표기되어 있는 것을 확인할 수 있다.

                                                         [fig. 실행 화면]

코드를 살펴보면, 아래와 같이 동작과정 중 특정 번호(premium number)로 call 을 하여 과금을 시키고, 그후 입력하였던 원래 전화번호로 음성변조된 전화를 건다.

                                                             [fig. 부분 코드]

아래와 같이 어플리케이션의 권한을 살펴보면 해당 어플이 call 을 통한 과금을 할 수 있다는 짐작을 할 수는 있으나, 원래 어플리케이션 성격상 call 기능이 반드시 포함되어야 하므로 설치시 권한만으로 악성어플임을 인지하는 것은 어렵다.


                      [fig. 사용 권한]



3. 결 론

해당 악성어플은 V3 mobile 제품군에서 Android-Trojan/FakeVoice 로 진단가능하다.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원


1. 악의적인 다양한 기능이 포함된 안드로이드 악성 어플리케이션


 최근 안드로이드 악성코드는, Windows 기반의 악성코드의 진화과정을 빠르게 닮아가고 있다.
단순한 정보 유출 어플리케이션에서 부터, Root Exploit, SMS 과금형, 허위 안드로이드 백신 어플리케이션, 그리고 2가지 이상의 기능이 합쳐진 형태의 악성 어플리케이션 등, 날이 갈수록 그 수량이 급격히 증가/발전하고 있다.

 이번 포스팅에서 여러가지 기능이 포함된 안드로이드 악성 어플리케이션을 살펴보자.


2. MADDEN NFL 12 로 위장된 악성 어플리케이션




 MADDEN NFL 12 게임으로 위장한 Foncy 악성코드가 발견되었다. 

 해당 악성코드는 IRC 채널에 접속하여 원격 제어가 가능한 Bot 기능을 수행하며, 해당 어플리케이션으로 인하여 추가 생성된 어플리케이션이 동작할 경우, SMS 를 발송하며 이로 인한 과금이 발생 한다.



- 악성 어플리케이션 설치 후 실행 화면

 

[그림] 악성 어플리케이션 아이콘 / 실행 화면


- 설치 이후, 사용자도 모르게 추가 설치되는 악성 어플리케이션

[그림] 설치된 악성 어플리케이션


- 각 어플리케이션 권한 정보

[그림] 사용자가 설치한 어플리케이션의 권한 정보



[그림] 사용자 모르게 추가 설치된 어플리케이션의 권한 정보



3. 상세 정보


- 악성 어플리케이션 APK 파일의 내부 assets 파일 구성 이다.
- png 확장자로 위장한 파일이지만, 파일 형태를 보면 추가 설치되는 apk 파일임을 알 수 있다.
- 각 파일의 기능은 아래와 같다.
header01.png : root exploit
footer01.png : IRC Bot
border01.png : SMS Send

[그림] assets 파일 구성



[그림] border01.png 파일 형태


- border01.png 파일 구성을 보면, 추가설치되는 apk 파일임을 알 수 있다.


[그림] border01.png 파일 구성


4. 코드 분석(1) 사용자가 설치한 어플리케이션(Dropper)


- Android OS 2.2 버전 이상에서 설치 가능함을 알 수 있으며, 사용 권한 정보를 알 수 있다.

[그림] 사용자가 설치한 어플리케이션의 MANIFEST 정보


- Dropper 기능(악성 어플리케이션이 또 다른 추가 어플리케이션을 설치할 수 있는 기능)
- /data/data/com.android.bot/files 디렉토리를 만들고, 읽고 쓰고 실행할 수 있는 모든 권한(777)을 부여한다.

- header01.png, footer01.png, border01.png 파일을 해당 디렉토리에 추출하고, 실행한다.
- 마지막 라인의 "Not registred application on the screen."코드는 어플리케이션이 실행되었을 때 나타나는 문구이다.

[그림] AndroidBotAcitivity 클래스 코드 일부


5. 코드 분석(2) 사용자 모르게 추가 설치된 어플리케이션(Background install)

- Android OS 2.2 버전 이상에서 설치 가능함을 알 수 있으며, 사용 권한 정보를 알 수 있다.

[그림] 추가 설치된 악성 어플리케이션의 MANIFEST 정보

- 81083, 3075, 64747 등의 프리미엄 번호로 수신되는 SMS 를 숨긴다. (사용자가 알 수 없도록 하기 위해)
- 프리미엄 요금 번호로 수신되는 모든 메시지와 번호를 특정서버(http://46.166.x.x)로 보낸다.

[그림] SMSReceiver 클래스 코드 일부


- 각 국가별 프리미엄 번호가 존재한다.
번호 국가코드 국가명
81083
FR
프랑스 France
3075
BE
벨기에 Belgium
543
CH
스위스 Switzerland
64747
LU
룩셈부르크 Luxembourg
60999
CA
캐나다 Canada
63000
DE
독일 Germany
35024
ES
스페인 Spain
60999
GB
영국 United Kingdom
2052
MA
모로코Morocco
7604
SL
시에라 리온 Sierra Leone
1339
RO
루마니아 Romania
2227
NO
노르웨이 Norway
72225
SE
스웨덴 Sweden
23333
US
미국 United States of America
[표] AndroidMeActivity 클래스에 코딩된 국가별 코드 및 프리미엄 SMS 번호


[그림] AndroidMeActivity 클래스 코드 일부

- 과거 버전과 비교하여, 국가가 늘어났으며, 캐나다의 str 코딩 실수가 바로 잡혔다.
- 과거 변종 악성 어플리케이션 정보(http://asec.ahnlab.com/744)

[그림] AndroidMeActivity 클래스 코드 일부


- footer01.png 파일의 IRC Bot 기능
ELF 형태의 파일로 구성되어 있다.

[그림] footer01.png 파일 정보



- 감염된 안드로이드 스마트폰은 199.68.x,x 의 #andros 채널로 부터 명령을 받을 수 있다.
- 변종에 따라 IRC 서버주소는 다르게 구성되어 있다.

[그림] IRC 서버 및 채널 접속 정보



6. 진단 현황



위 악성 어플리케이션과 변종은 V3 mobile 제품으로 치료 가능하다.

Android-Trojan/Foncy




7. 스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

일본 성인사이트에서 유포되는 악성 어플리케이션

 

일본 사용자를 대상으로 제작된 안드로이드 악성 어플리케이션이 발견되었다.

해당 어플리케이션이 설치될 경우, 사용자 정보가 유출되므로 주의가 필요하다.
관련 악성 어플리케이션에 대하여 살펴보자.

 


1. 유포 경로




- 악성 어플리케이션을 유포하는 일본 성인 사이트

 [그림] 일본 성인사이트 / 악성 어플리케이션 다운로드 페이지




2. 상세 정보




-  버튼을 클릭하면 악성 어플리케이션이 다운로드 된다.

 

 

[그림] 악성 어플리케이션 다운로드 버튼



- 다운로드 받은 악성 어플리케이션


[
그림] 다운로드 화면 / Install 화면


 


- Install 버튼을 클릭하면 아래와 같은 화면으로 전환되며, 설치가 진행된다.


 

[그림] 설치 진행중인 화면

 



- 설치가 완료된 후 아래와 같은 아이콘이 생성되며, 서비스가 등록되어 실행된다.

[그림] 악성 어플리케이션 아이콘 / 서비스 등록 화면

 



- 악성 어플리케이션의 아이콘을 실행하면 제작자가 의도한 사이트로 이동되며, 사용자 정보가 유출된다.


[그림] 악성 어플리케이션 실행화면(웹사이트 이동)

 


3. 코드 분석



- Main
클래스에 특정서버로 사용자의 정보를 전송하는 코드를 확인 할 수 있다.

스마트폰 단말기에 저장된 정보를 읽고, 전송하는 코드가 존재한다.

-> 전화번호, IMEI, 첫번째 계정정보(구글계정), GPS 정보

 


[그림] 스마트폰 단말기 정보 수집1<전화번호, IMEI, 첫번째 계정정보(구글계정)>

 

 



[그림] 스마트폰 단말기 정보 수집2<GPS>

 




- 스마트폰 단말기에 저장된 정보가 특정서버로 전송되는 네트워크 로그다.


[그림] 스마트폰 단말기에 저장된 정보가 전송되는 과정(로그)




4.
진단 현황




위 악성 어플리케이션과 변종은 V3 mobile 제품으로 치료 가능하다.

Android-Trojan/FakeTimer



[그림] 악성 어플리케이션 변종 정보(아이콘/권한)



5.
스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

 

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@
과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있다.

이전글 참고
안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의


최근 발견된 악성코드는 '유명한 게임' 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 '유럽' 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없다.

해당 악성코드에 대해 자세히 살펴보자


1. 유포 경로

구글 공식 안드로이드마켓(
http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없다.


[그림. android market 에 유포된 악성코드]
 출처: symantec 블로그


2. 분 석

해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵다.

 

 

[그림. 악성 어플리케이션]


[그림. 정상 어플리케이션]



해당 프로그램을 설치하게 되면 아래와 같이 정상게임에선 뜨지 않는 화면이 나오며 게임플레이를 하기 위해 http://91.xxx.xxx.148/app 를 통해 추가적인 어플리케이션을 다운로드 유도하는 것으로 보이나 현재 정상적인 접속은 되지 않는 것으로 확인된다.




[그림. 실행 화면]

첫화면의 Rules 를 클릭시 해당 프로그램이 sms 를 전송한다는 약관내용이 확인된다. 이와 같은 형태는 이전 블로그에서 다뤘던 FakeInst 변종  과 매우 유사하다.


[그림. rules]

악성코드는 아래와 같이 sim card 에서 단말기의 국가코드를 파싱하여 국가에 맞는 과금번호(premium number)로  문자를 전송한다.


[그림. 문자 과금 코드]

과금 관련 코드는 아래와 같이 총 18개의 유럽지역의 국가에 대해서 발송되도록 설정되어있다.

국가코드  송신 번호  국가이름
am 1121 Armenia
az 9014 Azerbaijan
by 7781 Belarus
cz 90901599 Czech Republic
de 80888 Germany
ee 17013 Estonia
fr 81185 France
gb 79067 United Kingdom
ge 8014 Georgia
il 4545 Israel
kg 4157 Kyrgyzstan
kz 7790 Kazakhstan
lt 1645 Lithuania
lv 1874 Latvia
pl 92525 Poland
ru 7781 Russian Federation
tj 1171 Tajikistan
ua 7540 Ukraine

[표. 문자 과금 대상 국가]


해당 악성코드는 아래와 같이 SMS과금관련 권한을 확인하여서도 구분이 가능하므로, 사용자들은 어플리케이션 설치시 항상 권한을 주의깊게 살핀 후 설치하는 습관을 갖도록 하자.


[그림. 권한]

3. 진단 현황

위 악성코드는 V3 mobile 제품군에서 아래의 진단명으로 치료가능하다.

Android-Trojan/Pavelsms


4. 스마트폰 안전수칙

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. SMS 과금형 안드로이드 악성 어플리케이션


 지금까지는 중국 또는 러시아를 타겟으로, 프리미엄 번호를 이용하여 사용자에게 요금이 부과되는 안드로이드 악성 어플리케이션이 대부분 이었다.
 이번에는 유럽국가를 타겟으로 제작된 안드로이드 악성 어플리케이션을 살펴 보자.




2. 안드로이드 악성 어플리케이션 정보


- SuiConFo 악성 어플리케이션의 정보




[그림] 악성 어플리케이션의 정보(아이콘, 어플리케이션 이름, 패키지 명, 권한 정보)


- Android 2.2 (Froyo 2.2) 이상에서 설치가 가능하도록 제작되어 있다.
- SEND_SMS 권한으로 보아, 과금이 발생할 수 있음을 추정할 수 있다.
- 그 외 여러 권한정보로 어플리케이션의 기능을 추정할 수 있다.


[그림] Android Manifest 정보




- 현재에도 아래와 같은 웹 사이트에 저장되어 있으며, 다운로드가 가능하다.


[그림] 악성 어플리케이션의 유포지



- 설치 여부 선택을 묻고 있다.


[그림] 설치 화면




- 설치된 악성 SuiConFo 어플리케이션

[그림] 설치된 악성어플리케이션 / 실행화면(ERROR)




- 어플리케이션 실행시팝업된 [ERROR] 는 아래의 코드에 의해 실행된 것이다.

[그림] ERROR 코드





- SMSReceiver class 기능
- 81001, 35064, 63000 등의 번호로 수신된 SMS를 사용자가 알 수 없도록 숨긴다.
- SMS 수신하는 기능과 함께, 제작자로 추정되는 번호로 SMS를 전송한다.(통계를 위한 전송으로 추정된다.)

[그림] SMS 관련 코드 일부



- MagicSMSActivity 기능
- 각 국가별 SMS 번호
벨기에 : 9903
스위스 : 543
룩셈부르크 : 64747
독일 : 63000
스페인 : 35064 
영국 : 60999
프랑스 : 81001

- 악성 어플리케이션 제작자는 캐나다를 코딩하면서 실수를 한것으로 추정된다. str2 str3 부분이 반대로 코딩 되어 있다.

[그림] 국가별 SMS 코드



- SuiConFo 의 어플리케이션이 모두 악성은 아니다.
해당 이름으로 제작된 정상적인 어플리케이션도 존재한다.



5. 스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@


1. 서 론


 

지난 8월에 발견된 Google+를 위장한 악성 어플 Google++, 그리고 지난 6월에 발견된 Google Search 를 위장한 Google SSearch 를 이어, 이번에는 미국에서 인기있는 온라인 스트리밍 비디오 서비스 어플리케이션을 위장한 악성 어플리케이션 Netflix 가 발견 되었다.

 

이 처럼 인기있는 어플을 위장한 악성 어플리케이션이 지속적으로 발견되고 있기 때문에, 어플리케이션을 설치할 경우, 불필요한 권한을 요구하진 않는지 등등, 스마트폰 안전 수칙에 항상 관심을 갖고 설치해야 한다



 

                                         [그림] Google 위장 안드로이드 악성 어플

 




2.     NETFLIX 로 위장한 악성 어플 분석 





[그림] NETFLIX 위장한 악성 어플의 권한 정보

 

 

 

- Android OS 1.6 이상에서 설치 가능하도록 제작 되었다.



[그림] Manifest 정보

 

 


[그림] 악성 어플의 응용프로그램 정보

 



-
악성 어플을 실행할 경우 아래와 같이 Email Passwoord 를 입력 받는다.


 

                                     [그림] 악성 어플 실행 화면

 



- Email Password 를 입력하면 아래와 같은 화면이 팝업 되고, Cencel 을 선택하면 제거 화면으로 넘어간다.

- 삭제를 취소하려고 해도 취소 되지 않고, 반드시 삭제하도록 되어 있다.

                            [그림] 팝업된 화면 / Cancel 을 선택 후 화면


 

 

- 수집된 Email Password 는 외부서버로 전송을 시도한다.


[그림] Email Password 수집 시도 및 전송 url 코드



- 정상 Netflix 실행시 아래와 같이 스마트폰 상단의 상태바가 표시 되므로 악성과 구분 된다.



[그림] 정상 Netflix 실행 화면

 

 

3. 스마트폰 안전 수칙



1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.

2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@