안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

1.개 요


최근 트로이목마성 어플리케이션으로 밝혀지면서, 구글 안드로이드마켓에서 퇴출당한 'zsone' 악성코드가 알려지게 되었다.
안드로이드 플랫폼에서의 보안위협에 계속 노출되고 있는 사용자들은 이제 더이상 구글이 운영하는 안드로이드 마켓조차 믿고 이용할 수 없다는 국제적 여론도 형성되고 있는 상황이다. 
진화하는 모바일 보안위협에 대응하고자 발견된 악성코드에 대해 분석 및 정리하는 시간을 갖도록 하겠다.


2.분 석


  • Why "zsone"?

    zsone이란 별칭을 갖게된 이유는 안드로이드마켓에 해당 악성앱을 등록한 개발자 ID가 zsone 이였기 때문이다.

    구글 안드로이드마켓에 zsone 으로 등록되어있는 앱은 총 13개이고, 그 중 10개의 앱에 악성행위를 하는 코드(사용자 몰래 특정번호로 SMS전송)가 담겨있다.
    현재는 등록된 13개의 앱이 모두 마켓에서 Ban된 상태라 더이상 다운로드가 불가능하다.

    악성앱의 이름목록은 아래와 같고, 이중 분석에 사용된 앱은 "iCalender"이다.

     

    • iMatch
    • 3D Cube horror terrible
    • ShakeBanger
    • Shake Break
    • Sea Ball
    • iMine
    • iCalendar
    • LoveBaby
    • iCartoon
    • iBook

  

[그림1] zsone에 의해 등록된 앱(출처 appbrain)


  • Malicious code Analysis


    'iCalender' 앱은 외형적으론 일반적인 달력앱으로 보이지만, 백그라운드로 악성행위를 한다.

     

    [그림2] iCalender

     

    [그림3] main 화면

     

    아래와 같이 'iCalender' 앱이 실행되고, showImg() 가 5번 호출되면 sensSms()가 호출되면서 SMS를 보내게 된다.

     
     

    [그림4] showImg()


    이때 sensSms()는 getStateVal()을 이용하여 sharedPreferences 에 저장된 string 을 읽어오게 되는데, 이때 기록되는 값은 일종의 flag로서 sendSms()가 호출되면 반드시 'Y' 를 기록한다.
    따라서 두번이상 같은 문자를 보내지 않으려는 의도의 코드로 해석할 수 있다.

 


[그림5] sendSms()

뒤이어 sensTextMessage() 를 이용하여 '1066185829' 번호로 '921X1' 이란 내용의 SMS를 보낸다.

위 문자의 의미는 정확히 밝혀지진 않았지만, 중국에서 premium call 로서 활용되는 번호로서 특정 서비스의 과금을 목적으로 하는 번호로 알려져있다. 우리나라에선 해당 번호로 추가요금이 발생하지 않으므로 국내에선 피해가 적을 것이다.

마지막의 save()함수는 위에 설명했듯이 flag로서 'Y' 값을 저장한다.
  

 


[그림6] save()

또한 해당 앱은 별도의 smsReceiver를 설치하여, 특정 전화번호로 온 sms을 숨기는 기능도 갖고 있다.


[그림7] smsReceive()


3.마무리


'zsone' 악성코드는 V3모바일제품군에 아래와 같이 반영되었다.
 


                                진단명                          엔진버전 
               Android-Trojan/SmsSend.F
               Android-Trojan/SmsSend.G
               Android-Trojan/SmsSend.H
               Android-Trojan/SmsSend.I
               Android-Trojan/SmsSend.J
                            2011.05.17.00

만일 V3모바일을 사용하지 않을 경우에는 위에 열거한 리스트를 참조하여 어플리케이션 목록에서 수동으로 삭제하면 된다.


스마트폰 안전수칙

1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지
2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제
3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장

 

신고
Creative Commons License
Creative Commons License
Posted by 비회원