SNS 구글플러스(Google+)를 위장한 안드로이드 악성 APP Google++

  1. Google++ 에 대하여..  최근 구글플러스 SNS 의 사용자가 증가함에 따라, 이를 악용한 악성 어플리케이션이 등장 했다. 인기 SNS의 증가와 사용자의 관심을 이용하여 이른바, 사회공학기법의 악성코드 감염 방식과 유사하다고 볼 수 있다.   얼마전 구글 서치(Google Search)를 위장한 앱에 이어 구글을 위장한 악성 앱이 다시 등장한 것이다. Google SSearch 악성 앱 정보 : http://core.ahnlab.com/299  2. Nicky 로 불리는 악성 앱 Google++ – 악성 앱이 요구하는 권한 정보 [그림] Google++ 어플리케이션 권한 정보 – 앱이 설치되어도 아이콘은 생성되지 않는다. [응용프로그램 관리]를 통하여 확인 가능 하다.   [그림] [응용프로그램 관리] 화면 3. 상세 정보 – AndroidManifest.xml 에서 다음과 같이 동작할 것으로 추정 가능 하다. [그림]  Manifest 일부 – SMS, 통화 내역, GPS 정보 수집 등 Nicky 와 비슷한 동작을 시도 한다. Android System Message 악성…

스마트폰 정보를 유출시키는 안드로이드 악성코드 주의

스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다. ▶ 개인정보 유출 해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다. 1. IMEI 2. 제조사 (manufacturer) 3. Model 번호 4. IMSI [pic. data stealing code] [pic. sending data with http post ] 다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.) 해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.  com.cola.twisohu  com.sohu.newsclient  com.duomi.android  com.snda.youni  cn.emoney.l2  com.diguayouxi  com.mx.browser  com.uc.browser  com.onekchi.xda  cn.goapk.market  com.wuba  com.mappn.gfan  com.hiapk.marketpho [pic. checking md5sum ] 현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다. 2011.08.10.00 Android-Spyware/Netsend…

AV(19+) 에도 AV(Anti-Virus)는 필요하다 !?

  1. 파일 공유사이트, utorrent, P2P 프로그램에서 다운로드 받은 파일 주의 ! – 파일 공유사이트에서 받은 파일, 믿을 수 있을까 ? – 많은 사람들이 파일 공유사이트를 이용하는 가장 큰 이유중에 하나는 접근하기 쉽고, 원하는것을 쉽게 얻을 수 있어서 일것 이다. 하지만, 파일 공유사이트 및 특정사이트의 접속만(취약점)으로 악성코드에 감염되는 사례를 다수 보여왔고, 현재에도 여전히 유효하다. – 악성코드 유형 및 배포 URL 자료  [그림] 악성코드 유형 분포도 / 악성코드 배포 URL 2. 내 PC의 보안패치, 응용프로그램 패치로 취약점을 조치한다면, 안전할까? – 악성코드가 이용하는 취약점을 패치하였다면, 사이트 접속만으로 감염되지는 않는다. 하지만, 공유되는 파일에 대한 안전성까지 보장하는 것은 아니다. – 파일 공유사이트가 악성코드 경유지 뿐만 아니라, 악성코드 제작자의 유포지로 악용되는 점을 안내하고자 한다. 3. 파일 공유사이트, utorrent, P2P 프로그램에서 받은 동영상(AV) 을 살펴 보자. [그림] 동영상으로 추정되는, exe 로 압축된 형태의…

SMS, 통화내역을 수집/전송하는 안드로이드 악성 앱 Nicky

  1. Android-Spyware/Nicky 정보! 해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다. 2. Nicky 악성 앱 Android System Message 정보! * 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다. [그림] Nicky Spyware 권한 정보 [그림] 灵猫安安 의 설치/실행 정보 * android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다.                                                         [그림] Manifest 정보 * 사용자의 정보를 수집/전송하는 class 정보들 [그림] 정보 수집/전송하는 class 전체 화면 * 수집된 정보 저장 위치는 아래 코드로 추정 가능하다. /sdcard/shangzhou/callrecord/ * 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일 [그림] 통화내역 저장 화면   * 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다.  [그림] 특정 서버로…

안드로이드 운영체제(2.1버전) 취약점 주의 및 보안 업데이트 권고

출처: 한국인터넷침해대응센터(krcert) http://www.krcert.or.kr/secureNoticeList.do □ 개요    o 안드로이드 2.1(Eclair)이하 버전에서 조작된 SSL인증서를 불러올 때 인증서 정보를 제대로       표시하지 못하는 취약점을 발표[1]         o 공격자에 의해 조작된 SSL인증서가 게시된 웹서버에 사용자가 접속할 경우 피싱공격 등의       피해를 입을 수 있음    o 2.1(Eclair) 버전이하 안드로이드 사용자는 스마트폰 제조사 또는 이통사에 문의하여        최신 OS업데이트 적용 권고 □ 해당 시스템    o 영향 받는 소프트웨어      – 안드로이드 2.1(Eclair)이하 버전    o 영향 받지 않는 소프트웨어      – 안드로이드 2.2(Froyo)이상 버전 □ 해결방안    o 안드로이드 2.1(Eclair)이하 버전      – 해당 스마트폰 제조사 또는 이통사에 문의하여 최신 OS업데이트 적용      – OS업데이트가 불가능할 경우 아래의 임시 해결책 적용       ※ 자바스크립트 사용 체크 해제 □ 용어 정리    o 피싱(Phishing) : 신뢰할 만한…