Drive by Download 기법의 안드로이드 악성앱 Ggtrack Posted By ASEC , 2011년 7월 25일 1. Android-Trojan/Ggtrack 알아보자! 기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다. 이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자. [그림] 악성코드 관계도 [그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면) 2. Ggtrack 악성앱 Battery Saver 정보! * 아래 그림(표)에서 알 수 있듯이 앱 목적에 맞지 않게 과도한 권한을 필요로 하고 있다. [그림] Battery Saver 권한 정보 [그림] Battery Saver 설치/실행 정보 * 서버와 통신하는 일부 코드 * SMS를 모니터링 하여, 아래와 같은 번호가 일치할 경우 사용자에게 메시지를 숨김으로써, 사용자 모르게 악의적…
노출형 배너 광고를 이용한 악성코드 유포사례 Posted By ASEC , 2011년 7월 25일 해킹된 사이트를 통한 악성코드 유포는 평일이면 잠잠하다가 주말이 시작되는 금요일 저녁부터 발생하여 토, 일요일에 집중된다. 이번 주는 일부 블로그에서 악성코드가유포되는 것이 탐지되었다. 해당 블로그들의 공통점을 조사해 본 결과 특정 업체에서 제공하는 배너광고 스크립트를 사용하고 있었다. 검색 사이트를 이용해서 해당 배너광고 스크립트를 사용하는 블로그, 사이트의 현황을 검색해 본 결과 아래그림처럼 상당수의 블로그나 사이트에서 해당 배너광고 스크립트를 사용하고 있음을 확인 할 수 있었다. [그림 1] 검색 사이트 검색결과 결론은 특정 배너광고 업체가 해킹되었고 해당 업체에서 제공한 배너광고 스크립트를 사용하는 모든 블로그나 사이트는 악성코드 유포 사이트로 이용될 수 있는 위험에 놓여 있다. 이번 사례와 관련해서 안철수연구소에서는 이미 “배너광고 사이트를 통한 악성코드 유포사례“에 대해서 아래 주소에서 언급한 바 있다. * 관련 정보: 여러분의 배너광고는 안전한가요?: http://core.ahnlab.com/257 악성코드는 온라인 게임 사이트를 타고,,,: http://core.ahnlab.com/256 배너…
소셜기능을 통해 확산되고 SMS 과금시키는 Android 악성앱 주의 Posted By ASEC , 2011년 7월 19일 1. 개 요 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다. [fig] fake online video streaming player 2. 분 석 A. SMS 과금 및 휴대폰 정보 탈취 악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다. [fig] sendsms to premium number 만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다. 이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다. 이 악성앱은 “10” 으로 시작되는 번호들로 전송되는 SMS에…
시스템 파일 교체 악성코드는 계속 변화 중… Posted By ASEC , 2011년 7월 18일 지난주말에도 어김없이 국내 일부 사이트들이 해킹되어 윈도우 정상 시스템 파일을 교체하는 악성코드가 유포되었다. 그리고 이번 주에 유포된 “정상 윈도우 파일인 ws2help.dll을 교체하는 악성코드에서 감염방식의 변화“가 있었다. 어떤 부분에서 변화가 있었는지 지금부터 살펴보도록 하겠다. • 원형 vs. 변형 [그림 1] 원형의 ws2help.dll 교체과정 기존의 악성코드에서 정상 윈도우 파일인 ws2help.dll을 [그림 1]의 과정대로 교체를 했다면 이번 주말에 발견된 악성코드는 아래 과정을 거친다. [그림 2] 변형의 ws2help.dll 교체과정 [그림 1]과 [그림 2]의 차이점은 [그림 1], 드롭퍼에 의해서 ws2help.dll로 생성된 악성 DLL이 악의적인 목적(특정 온라인 게임 사용자의 계정정보 탈취, 백신 무력화 등)을 수행하면서 정상 프로그램과 백업된 정상 DLL인 ws3help.dll(원본 파일명은 ws2help.dll)에 다리 역할을 했다면 [그림 2], 드롭퍼가 실행되면 sleep.dll , 패치된 ws2help.dll을 생성하고 이후 동작방식은 imm32.dll이 패치되었을 때와 동일하다. • 참고정보: http://core.ahnlab.com/267, 위 주소에서…
카카오톡 PC버전이라고? 내 정보, 돈까지 빼갈 수 있어.. Posted By ASEC , 2011년 7월 13일 스마트폰 사용자의 필수 어플이라 할 수 있는 대표 스마트폰 모바일 메신저 카카오톡의 PC용 버전으로 위장한 악성 프로그램이 사용자의 개인정보 및 돈을 빼간 사실이 발견되어 주의가 필요하다. 카카오톡 PC버전 위장 프로그램 유포는… 카카오톡 정식 홈페이지 사이트 주소인 “www.kakao.com“과 유사한 “www.kakao.ez.to“라는 주소로 웹사이트를 개설해 실제 홈페이지와 동일한 디자인을 적용 신규회원에게 문화상품권을 제공한다는 안내를 하며 사용자에게 PC버전 다운로드 및 설치를 유도한다. 현재는 해당 웹사이트가 유효하진 않지만, 아래와 같은 아이콘의 카카오톡 PC버전 위장용 파일은 블로그나 카페를 통해 유포될 가능성이 있어 주의가 필요하다. [그림1] 카카오톡 PC버전 위장파일의 아이콘 실제로 데스크탑에서 카카오톡을 사용할 수 있는 방법으로, 스마트폰 환경처럼 PC에서 가상머신 프로그램을 이용해 안드로이드 운영체제 상에서 카카오톡을 사용하는 방법이 있을 수 있다. 하지만 카카오톡 PC버전을 위장한 이 악성프로그램은 기본 Windows 상에서 실행파일 형태로 바로 실행가능하며, 실행 시…
