1. 서론
중국에서 정상 App 으로 위장한 안드로이드 악성코드가 발견되어 관련내용을 공유합니다.

[그림1] 악성코드가 포함된, 변조 상태의 'monkey jump'
1) 악성코드 유포방법
중국의 써드파티 안드로이드 마켓에서 최초로 발견되었으며, 이 악성 app 은 'monkey jump' 등 원본 게임의 소스에 악성코드를 추가하여 수정한 후, 다시 패키징하여 마켓에 배포하는 방식을 사용합니다.
이와 같이 변조된 app 은 아래 그림과 같이 app 을 다운받아설치시 요구되는 권한갯수가 매우 증가하나, 사용자들이 눈치채지 못하고 설치할 확률이 높습니다.
android.permission.INTERNET
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.VIBRATE
android.permission.INTERNET
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.VIBRATE
com.android.launcher.permission.INSTALL_SHORTCUT
android.permission.ACCESS_FINE_LOCATION
android.permission.CALL_PHONE
android.permission.MOUNT_UNMOUNT_FILESYSTEMS
android.permission.READ_CONTACTS
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.WRITE_CONTACTS
android.permission.WRITE_EXTERNAL_STORAGE
com.android.browser.permission.READ_HISTORY_BOOKMARKS
com.android.browser.permission.WRITE_HISTORY_BOOKMARKS
android.permission.ACCESS_GPS
android.permission.ACCESS_LOCATION
android.permission.RESTART_PACKAGES
android.permission.RECEIVE_SMS
android.permission.WRITE_SMS


이 악성 app 을 설치되면, 아래와 같은 도메인으로 지속적으로 연결을 시도합니다.

[그림 3] 접속 시도하는 domain
또한 해당 도메인을 통하여, 유출될 수 있는 정보는 아래와 같습니다.
현재 V3 mobile 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.
진단명 : Android-Spyware/Geimini
엔진버전 : 2010.12.31.00
2) 출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.
Categories:악성코드 정보