Anaru 로 불리는 일본 애니메이션 안드로이드 악성코드 Posted By ASEC , 2012년 9월 10일 일본 애니메이션 캐릭터가 안드로이드 스마트폰의 사용자 정보를 탈취하는 악성코드에 이용되었다. 해당 안드로이드 악성코드 제작자는 구글 마켓과 유사한 형태로 제작된 웹사이트를 이용하여 유포하거나, 스팸 메일을 통하여 유포하는 것으로 알려져 있다. Anaru 로 불리는 애니메이션 캐릭터와 관련된 안드로이드 악성 어플리케이션에 대하여 알아보자. Anaru 어플리케이션을 설치시 요구되는 권한은 아래와 같다. [그림] 악성 어플리케이션 권한 Anaru 악성 어플리케이션이 설치되면 아래와 같이 아이콘이 생성되고, 실행할 경우 Anaru 캐릭터가 나타난다. [그림] 어플리케이션 아이콘과 실행화면 제작자는 사용자가 어플리케이션을 실행할 경우, 자신의 정보가 유출되는지 알 수 없도록 백그라운드로 정보를 탈취하도록 설계하였다. 악성 어플리케이션의 내부 코드를 보면, GliveWallActivityActivity Class를 통하여 스마트폰의 주소록에 저장된 e-mail 주소와 이름을 특정경로에 저장하고, 특정서버로 전송하는 코드가 존재한다. [그림] GliveWallActivityActivity 스마트폰 정보를 탈취하는 코드 부분 실제 유츌되는 과정을…
2012 런던 올림픽 게임으로 위장한 안드로이드 악성코드 발견 Posted By ASEC , 2012년 7월 31일 2012 런던 올림픽이 개최된지 4일. 국가대표들을 향한 뜨거운 응원에 한반도의 열기는 식을 줄 모른다. 새벽까지 펼쳐지는 우리나라 대표의 경기를 응원하느라 피곤한 몸을 이끌고 출근하는 직장인이 부지기수. 하지만 이번 올림픽은 유난히 편파 판정의 의혹에 국민과 국가대표들의 마음고생이 심한 것 같다. 악성코드는 런던 올림픽에 대한 사람들의 관심을 이용하여 또 한번 사용자들을 감염시키기 위해 나타났다. 최근 발견된 악성코드는 “London 2012 공식 게임” 이라는 타이틀로 위장하고 있다. 러시아에서 발견되었으며, 구글정식마켓이 아닌 사설마켓에서 발견된 악성코드이다. 이 악성어플은 설치시 사용자 폰의 정보를 무단으로 전송시키며, 아래의 특정한 지정번호로 문자 메시지를 발송한다. [그림. malicious code] [그림. 문자전송에 사용되는 번호] 그리고 아래와 같이 바탕화면 영역에 광고성의 바로가기 링크 ( http://m-[삭제].net ) 를 생성한다. [그림. 악성 바로가기] 만일 해당 링크를 실행하게 되면 또다른 악의적인 악성 어플을 다운로드 하여 설치를 유도한다. 이 악성어플은 마켓에서…
QR 코드를 통해 감염되는 안드로이드 악성코드 발견 Posted By ASEC , 2011년 10월 7일 스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술이다. QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었다. [ 그림. 광고에 사용되는 QR 코드 ] 위키피디아 참고 http://ko.wikipedia.org/wiki/QR_코드 러시아의 특정 웹사이트에서 이와 같이 효과적으로 정보전달을 할 수 있는 매개체인 QR코드가 SMS를 통해 과금을 시키는 스마트폰 악성코드를 유포하는데 활용된 것이 밝혀져 관련 내용을 전한다. 1. 유포 유형 러시아의 특정 웹페이지에서 어플리케이션 홍보형식으로 QRcode 와 주소링크를 통해 유포되었다. 화면 중앙 상단에 안드로이드 어플리케이션을 바로 받을 수 있는 URL과 QRcode 를 스캔할 수 있게 되어있고, 좌측에는 어플리케이션 실행 화면이 나와있다. [ 그림. 악성코드를 유포하는 러시아 웹사이트 ] 2. 악성코드…
정보 수집 및 즐겨찾기를 변경하는 Android 악성 앱 站点之家 Posted By ASEC , 2011년 9월 20일 1. 站点之家 정보 수집 및 즐겨찾기를 변경하는 안드로이드 악성 어플리케이션이 중국에서 발견 되었다. 2. Android-Trojan/ROMZhanDian 알아보기 – 앱 아이콘 / 필요 권한 정보 [그림] 패키지명 / 권한 정보 – 설치 후 변경 사항 [그림] 설치시 생성된 아이콘 / 바로가기 [그림] 앱 실행 화면 / 추가된 즐겨찾기 – 앱 설치시 필요한 권한 및 설치가능 버전 정보 Android 1.5 이상에서 설치되며, 부팅시 시작되도록 설정되어 있다. [그림] Manifest 정보 – 운영 체제, IMEI/IMSI 번호, shop_id, 모델, APP 이름 등, 수집을 시도한다. [그림] 정보 수집 관련 일부 코드 3. 스마트폰 사용시 주의 사항 ! – 최신의 OS 버전과 V3 모바일을 사용 한다. 1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다. 2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저…
SMS, 통화내역을 수집/전송하는 안드로이드 악성 앱 Nicky Posted By ASEC , 2011년 8월 2일 1. Android-Spyware/Nicky 정보! 해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다. 2. Nicky 악성 앱 Android System Message 정보! * 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다. [그림] Nicky Spyware 권한 정보 [그림] 灵猫安安 의 설치/실행 정보 * android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다. [그림] Manifest 정보 * 사용자의 정보를 수집/전송하는 class 정보들 [그림] 정보 수집/전송하는 class 전체 화면 * 수집된 정보 저장 위치는 아래 코드로 추정 가능하다. /sdcard/shangzhou/callrecord/ * 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일 [그림] 통화내역 저장 화면 * 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다. [그림] 특정 서버로…