스마트폰을 좀비화시키는 DroidKungFu 악성코드 등장. Posted By ASEC , 2011년 6월 7일 1. 개 요 안드로이드폰을 강제루팅 후 권한을 탈취하여 좀비화시키는 악성코드가 또 다시 발견되었다. 해당 악성코드는 'DroidKungFu' 라 불리며, 이전 DroidDream 악성코드와 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로서 악성코드가 계속 진화하고 있다는 것을 증명하고 있다. 본 포스트를 통해 악성코드가 어떻게 진화하였는지 알아보자. 2. 분 석 유포 경로 'DroidKungFu' 악성코드는 정상 앱을 리패키징(re-package) 하여 유포되며, 중국 내 몇몇의 App Market 과 forum 들에서 유포되었다. 그림. 악성 어플 정보 수집 해당 악성코드가 설치되면, 먼저 doSearchReport() -> updateInfo() 함수를 통해 스마트폰의 다양한 정보들을 수집 후 특정 서버로 전송한다. 그림. dosearchReport 그림. updateinfo 이 과정에서 탈취되는 정보와 유출 경로는 다음과 같다 – 탈취 정보 imei ostype osapi model SDKVersion SDcard info internal Memory Size Net operator phone number running service – 유출 경로 http://www.xinh*****.com:8111/GetCert/DevInfo? http://search.go**********id.com:8511/search/getty.php…
Adobe Flash Player 보안 업데이트 배포 Posted By ASEC , 2011년 6월 7일 국내 해킹된 사이트를 통해서 유포되는 악성코드가 PC를 감염시키기 위해서 Internet Explorer에 존재하는 취약점 뿐만 아니라, 브라우저에 추가기능으로 실행되는 Adobe Flash Player의 취약점을 이용한 사례도 증가하고 있다. 2011년 01월부터 4월까지 국내 해킹된 사이트를 통해서 유포되었던 악성코드가 PC를 감염시키기 위해서 가장 많이 사용했던 취약점을 통계를 산출해 보면 아래 [표 1]과 같다. 순 위 취약점 ID Application 1 MS10-018 Internet Explorer 2 MS10-090 Internet Explorer 3 MS11-003 Internet Explorer 4 CVE-2011-0611 Adobe Flash Player 5 CVE-2011-0609 Adobe Flash Player [표 1] 응용 프로그램 취약점 Top 5 [표 1]중에서도 주로 MS10-018, MS10-090, CVE-2011-0611 취약점 등이 함께 사용되는 사례가 증가하고 있다. 만약 자신의 PC가 분명히 보안 업데이트는 했는데 악성코드에 감염되는 경우라면 Adobe Flash Player 취약점은 패치가 되었는지 반드시 점검해 볼 필요가 있다. 현지 시간으로 2011년 06월…
중국 QQ 게임을 리패키징한 안드로이드 악성 앱 Android-Trojan/DropAnserver Posted By ASEC , 2011년 6월 3일 1. 개요 중국에서 유명한 QQ 관련, 게임을 리패키징한 안드로이드 모바일 악성코드가 발견되었다. 이번 악성 앱의 큰 특징은 추가 악성 앱을 설치하여, 악의적인 행위를 한다. 2. 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행화면 3. 특징 QQ 게임을 리패키징 한 악성 앱을 설치할 경우, busybox 의 압축을 해제하여, 악의적인 ELF 파일을 생성하고 anserverb 를 “xxx.apk” 로 변경하여 악성 앱 설치를 시도한다. busybox 는 압축된 파일. [그림3] 악성 앱(apk)를 압축해제 후 파일 구성 화면 1) 앱 설치시 다음과 같은 권한을 요구한다. – Android 1.5 이상에서 설치가능. – SD카드 콘텐츠 수정/삭제. – 인터넷에 최대한 액세스 가능. – 휴대전화 상태 및 ID 읽기 가능. [그림4] 권한 정보 [그림5] manifest 로 본 앱의 권한 정보와 설치 가능 버전 [그림6] xxx.apk 변경하여,…
스마트폰 이용을 방해하는 스팸문자 Posted By ASEC , 2011년 6월 2일 최근 스마트폰이 확산됨에 따라 여러가지 문제들이 많이 발생하고 있습니다. 그중 최근에 많은 사용자들이 이용하는 문자서비스 관련 앱인 카카오톡을 통해 아래와 같은 주소의 문자를 받으면 절대 열어보지 말라는 경고의 트윗이 많이 보였습니다. 위에서 경고한 사이트에 접속한 결과 아래처럼 팝업창이 계속해서 나타나고 있었습니다. 이러한 페이지는 일반적으로 PC에서 웹서핑을 방해하기 위해 스크립트를 이용해 무한 Alert 창을 띄우던 조크성 페이지와 동일했습니다. 다만 모바일기기가 점점 PC화 되면서 PC에서 생기던 문제가 스마트폰에도 그대로 영향을 미치는 것입니다. 이렇게 PC에서 문제가 되던 부분이 현재는 스마트폰으로 그대로 적용이 되고 있습니다. 그럼 이러한 무한 팝업은 어떻게 해제할 수 있을까요? 안드로이드 OS를 사용하는 스마트폰일 경우 작업관리자에서 강제로 브라우저를 종료 후 다시 브라우저를 켜면 해당 페이지로 접속이 되지 않습니다. 다만 아이폰은 강제로 Safari를 끈 후 다시 Safari를 실행하면 해당 페이지로 다시 접속하게…
정상앱을 위장한 악성어플. DroidDream 귀환 Posted By ASEC , 2011년 6월 1일 1. 개 요 정상앱에 악성코드를 심어 안드로이드마켓에 재배포하여 사용자들을 감염시켰던 DroidDream 악성코드가 다시 발견되었다고 해외벤더사에 의해 밝혀져 관련 내용을 공유한다. [그림1. 악성앱 Sexy Legs] 이전 DroidDream 분석정보 안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의 http://core.ahnlab.com/259 * 유포경로 DroidDream 악성앱은 Google Android Market 에서 배포되었으며, 현재는 마켓에서 퇴출당해 다운받을 수 없는 상태이다. 현재까지 파악된 개발자이름별 악성앱들의 목록은 아래와 같다. Magic Photo Studio Sexy Girls: Hot Japanese Sexy Legs HOT Girls 4 Beauty Breasts Sex Sound Sex Sound: Japanese HOT Girls 1 HOT Girls 2 HOT Girls 3 Mango Studio Floating Image Free System Monitor Super StopWatch and Timer System Info Manager E.T. Tean Call End Vibrate BeeGoo Quick Photo Grid Delete Contacts Quick Uninstaller Contact Master Brightness Settings Volume Manager Super Photo Enhance Super…
