1. 서 론
안드로이드 마켓에서 최근 발견된 악성 어플리케이션을 제거하기 위해 구글에서 배포한 'Android Market Security Tool' 과 매우 흡사한 모습으로 리패키징 된 악성 어플리케이션이 중국의 써드파티 마켓에서 발견되어 분석 내용 전달드립니다.
[정상 Android Market Security Tool]
2. 악성코드 분석 정보
Android Market Security Tool 로 위장한 악성앱은 sms 컨트롤, network 통신, 외장디스크 에 접근 하는 등의 기능을 사용하기 위해 아래와 같이 본래의 정상앱과 요구 권한이 다릅니다.
 |
 |
[요구 권한 비교. 좌측이 정상앱]
정상과 악성앱의 AndroidManifest 파일 비교를 통해 다수의 Receiver 와 Service 가 추가되어 동작하고 있다는 것을 알 수 있습니다.
[정상앱의 Manifest]
[ 악성앱의 Manifest ]
패키지 구조를 비교해 보면 아래와 같이 AutoSMSReceiver, PhoneCallReiceiver, BGService 등 사용자의 문자메시지, 전화통화내역을 가로채는 목적의 Class 들이 추가되어 있는 것을 확인할 수 있습니다.
 |
 |
[Package Tree 구조 비교. 좌측이 정상앱]
일부 Class 의 변수에는 아래와 같이 C&C 서버 URL 과 Video download server URL 이 저장되어 있습니다.
해당 악성 앱은 아래의 정보들을 Control 할 수 있습니다.
– 정보유출기능
해당 악성 앱은 아래의 정보들을 Control 할 수 있습니다.
– IMEI / IMSI
– 전화 번호
– Android OS Version
– 악성 앱 Install 시간
– SMS 읽고 보내기 등
– 전화 번호
– Android OS Version
– 악성 앱 Install 시간
– SMS 읽고 보내기 등
3. 권고 사항
위 악성 애플리케이션은 V3 mobile 제품에서 아래와 같이 진단하오니 감염이 의심된다면 엔진업데이트 후 수동검사를 통해 설치된 안드로이드 어플리케이션들을 검사해보시기 바랍니다.
– 진단명
Android-Spyware/BgService # 엔진버젼: 2011.03.10.00
Android-Spyware/BgService # 엔진버젼: 2011.03.10.00
또한 아래 안내해드리는 사항을 준수하시어 자신의 스마트폰이 악성코드에 감염되는 것을 예방하시기 바랍니다.
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함.
2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함.
Categories:악성코드 정보