1. 악의적인 다양한 기능이 포함된 안드로이드 악성 어플리케이션
최근 안드로이드 악성코드는, Windows 기반의 악성코드의 진화과정을 빠르게 닮아가고 있다.
단순한 정보 유출 어플리케이션에서 부터, Root Exploit, SMS 과금형, 허위 안드로이드 백신 어플리케이션, 그리고 2가지 이상의 기능이 합쳐진 형태의 악성 어플리케이션 등, 날이 갈수록 그 수량이 급격히 증가/발전하고 있다.
이번 포스팅에서 여러가지 기능이 포함된 안드로이드 악성 어플리케이션을 살펴보자.
2. MADDEN NFL 12 로 위장된 악성 어플리케이션

MADDEN NFL 12 게임으로 위장한 Foncy 악성코드가 발견되었다.
해당 악성코드는 IRC 채널에 접속하여 원격 제어가 가능한 Bot 기능을 수행하며, 해당 어플리케이션으로 인하여 추가 생성된 어플리케이션이 동작할 경우, SMS 를 발송하며 이로 인한 과금이 발생 한다.
– 악성 어플리케이션 설치 후 실행 화면

[그림] 악성 어플리케이션 아이콘 / 실행 화면
– 설치 이후, 사용자도 모르게 추가 설치되는 악성 어플리케이션

[그림] 설치된 악성 어플리케이션
– 각 어플리케이션 권한 정보

[그림] 사용자가 설치한 어플리케이션의 권한 정보

[그림] 사용자 모르게 추가 설치된 어플리케이션의 권한 정보
3. 상세 정보
– 악성 어플리케이션 APK 파일의 내부 assets 파일 구성 이다.
– png 확장자로 위장한 파일이지만, 파일 형태를 보면 추가 설치되는 apk 파일임을 알 수 있다.
– 각 파일의 기능은 아래와 같다.
header01.png : root exploit
footer01.png : IRC Bot
border01.png : SMS Send

[그림] assets 파일 구성

[그림] border01.png 파일 형태
– border01.png 파일 구성을 보면, 추가설치되는 apk 파일임을 알 수 있다.

[그림] border01.png 파일 구성
4. 코드 분석(1) 사용자가 설치한 어플리케이션(Dropper)
– Android OS 2.2 버전 이상에서 설치 가능함을 알 수 있으며, 사용 권한 정보를 알 수 있다.

[그림] 사용자가 설치한 어플리케이션의 MANIFEST 정보
– Dropper 기능(악성 어플리케이션이 또 다른 추가 어플리케이션을 설치할 수 있는 기능)
– /data/data/com.android.bot/files 디렉토리를 만들고, 읽고 쓰고 실행할 수 있는 모든 권한(777)을 부여한다.
– header01.png, footer01.png, border01.png 파일을 해당 디렉토리에 추출하고, 실행한다.
– 마지막 라인의 “Not registred application on the screen.”코드는 어플리케이션이 실행되었을 때 나타나는 문구이다.

[그림] AndroidBotAcitivity 클래스 코드 일부
5. 코드 분석(2) 사용자 모르게 추가 설치된 어플리케이션(Background install)
– Android OS 2.2 버전 이상에서 설치 가능함을 알 수 있으며, 사용 권한 정보를 알 수 있다.

[그림] 추가 설치된 악성 어플리케이션의 MANIFEST 정보
– 81083, 3075, 64747 등의 프리미엄 번호로 수신되는 SMS 를 숨긴다. (사용자가 알 수 없도록 하기 위해)
– 프리미엄 요금 번호로 수신되는 모든 메시지와 번호를 특정서버(http://46.166.x.x)로 보낸다.

[그림] SMSReceiver 클래스 코드 일부
– 각 국가별 프리미엄 번호가 존재한다.
번호 | 국가코드 | 국가명 |
81083 |
FR
|
프랑스 France |
3075 |
BE
|
벨기에 Belgium |
543 |
CH
|
스위스 Switzerland |
64747 |
LU
|
룩셈부르크 Luxembourg |
60999 |
CA
|
캐나다 Canada |
63000 |
DE
|
독일 Germany |
35024 |
ES
|
스페인 Spain |
60999 |
GB
|
영국 United Kingdom |
2052 |
MA
|
모로코Morocco |
7604 |
SL
|
시에라 리온 Sierra Leone |
1339 |
RO
|
루마니아 Romania |
2227 |
NO
|
노르웨이 Norway |
72225 |
SE
|
스웨덴 Sweden |
23333 |
US
|
미국 United States of America |
[표] AndroidMeActivity 클래스에 코딩된 국가별 코드 및 프리미엄 SMS 번호

[그림] AndroidMeActivity 클래스 코드 일부
– 과거 버전과 비교하여, 국가가 늘어났으며, 캐나다의 str 코딩 실수가 바로 잡혔다.
– 과거 변종 악성 어플리케이션 정보(http://asec.ahnlab.com/744)

[그림] AndroidMeActivity 클래스 코드 일부
– footer01.png 파일의 IRC Bot 기능
ELF 형태의 파일로 구성되어 있다.

[그림] footer01.png 파일 정보
– 감염된 안드로이드 스마트폰은 199.68.x,x 의 #andros 채널로 부터 명령을 받을 수 있다.
– 변종에 따라 IRC 서버주소는 다르게 구성되어 있다.

[그림] IRC 서버 및 채널 접속 정보
6. 진단 현황
위 악성 어플리케이션과 변종은 V3 mobile 제품으로 치료 가능하다.
Android-Trojan/Foncy
Categories:악성코드 정보