1. 개요
중국에서 유명한 QQ 관련, 게임을 리패키징한 안드로이드 모바일 악성코드가 발견되었다.
이번 악성 앱의 큰 특징은 추가 악성 앱을 설치하여, 악의적인 행위를 한다.
2. 앱 정보

[그림1] 앱 아이콘

[그림2] 앱 실행화면
3. 특징
QQ 게임을 리패키징 한 악성 앱을 설치할 경우, busybox 의 압축을 해제하여, 악의적인 ELF 파일을 생성하고 anserverb 를 “xxx.apk” 로 변경하여 악성 앱 설치를 시도한다. busybox 는 압축된 파일.

[그림3] 악성 앱(apk)를 압축해제 후 파일 구성 화면
1) 앱 설치시 다음과 같은 권한을 요구한다.
– Android 1.5 이상에서 설치가능.
– SD카드 콘텐츠 수정/삭제.
– 인터넷에 최대한 액세스 가능.
– 휴대전화 상태 및 ID 읽기 가능.

[그림4] 권한 정보

[그림5] manifest 로 본 앱의 권한 정보와 설치 가능 버전

[그림6] xxx.apk 변경하여, 추가 악성 앱 설치시도의 일부 코드 1

[그림7] xxx.apk 변경하여, 추가 악성 앱 설치시도의 일부 코드 2
2) 추가 설치되는 com.android.battery 의 권한/행위 정보
– 연락처 데이터 읽기, 테이터 생성.
– 인터넷에 최대한 액세스.
– SD 카드 콘텐츠 수정/삭제.
– 휴대전화 상태 및 ID 읽기.
– 전화번호 자동 연결, SMS 메시지 보내기.
– 휴대전화가 절전 모드로 전환되지 않도록 설정.

[그림8] 추가 설치되는 앱의 권한 정보
– 앱이 설치되어도 아이콘이 생성되지 않는다.(백그라운드 동작)
– android.permission.RECEIVE_BOOT_COMPLETED 권한으로
부팅시에 자동 실행되어 백그라운드로 동작을 시도한다.
– android.permission.RECEIVE_BOOT_COMPLETED 권한으로
부팅시에 자동 실행되어 백그라운드로 동작을 시도한다.

[그림9] 추가 설치되는 com.android.battery 의 manifest 로 본 권한 정보
3) 정적분석을 통하여 다음과 같이 추정 가능하다.
– 백그라운드로 동작하며 외부로 정보 유출, 일부 보안 프로그램 방해 등의 다양한 악의적 행위를 할 것으로 추정된다.
– 백그라운드로 동작하며 외부로 정보 유출, 일부 보안 프로그램 방해 등의 다양한 악의적 행위를 할 것으로 추정된다.

[그림10] 보안제품 변경을 시도할 것으로 추정되는 일부코드
4. 진단정보

*안철수연구소가 권하는 스마트폰 보안 수칙 10계명
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다. 2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다. 3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다. 4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다. 5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다. 6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다. 7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다. 8. ID, 패스워드 등을 스마트폰에 저장하지 않는다. 9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다. 10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다. |
Categories:악성코드 정보