스마트폰

SNS 구글플러스(Google+)를 위장한 안드로이드 악성 APP Google++

  1. Google++ 에 대하여..  최근 구글플러스 SNS 의 사용자가 증가함에 따라, 이를 악용한 악성 어플리케이션이 등장 했다. 인기 SNS의 증가와 사용자의 관심을 이용하여 이른바, 사회공학기법의 악성코드 감염 방식과 유사하다고 볼 수 있다.   얼마전 구글 서치(Google Search)를 위장한 앱에 이어 구글을 위장한 악성 앱이 다시 등장한 것이다. Google SSearch 악성 앱 정보 : http://core.ahnlab.com/299  2. Nicky 로 불리는 악성 앱 Google++ – 악성 앱이 요구하는 권한 정보 [그림] Google++ 어플리케이션 권한 정보 – 앱이 설치되어도 아이콘은 생성되지 않는다. [응용프로그램 관리]를 통하여 확인 가능 하다.   [그림] [응용프로그램 관리] 화면 3. 상세 정보 – AndroidManifest.xml 에서 다음과 같이 동작할 것으로 추정 가능 하다. [그림]  Manifest 일부 – SMS, 통화 내역, GPS 정보 수집 등 Nicky 와 비슷한 동작을 시도 한다. Android System Message 악성…

구글 안드로이드마켓에서 퇴출된 sms trojan ‘zsone’

  1.개 요 최근 트로이목마성 어플리케이션으로 밝혀지면서, 구글 안드로이드마켓에서 퇴출당한 'zsone' 악성코드가 알려지게 되었다. 안드로이드 플랫폼에서의 보안위협에 계속 노출되고 있는 사용자들은 이제 더이상 구글이 운영하는 안드로이드 마켓조차 믿고 이용할 수 없다는 국제적 여론도 형성되고 있는 상황이다.  진화하는 모바일 보안위협에 대응하고자 발견된 악성코드에 대해 분석 및 정리하는 시간을 갖도록 하겠다. 2.분 석

Android-AppCare/KidLogger

개요 안드로이드 모바일 유해가능 프로그램 KidLogger 에 관한 정보 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행 화면 특징 [그림3] 권한 정보 상세정보 – Platform Android 2.2 이상에서 설치가 가능하다. – 사용자의 행위 정보를 저장한다. 통화 목록 문자 웹사이트 방문 기록 위 정보 외에도 다수의 정보를 로그로 남기거나 서버로 전송한다. [그림4] manifest 정보 [그림5] classes.dex 정보 [그림6] 저장된 로그 화면 진단정보 [그림7] V3 Mobile 2.0 진단 화면 더보기 접기 Android-AppCare/KidLogger | 2011.05.09.00 접기 1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다 2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다 3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장

안드로이드폰의 개인 정보를 가로채는 악성앱, “Pjapps” 변종 발견

1. 서 론 안드로이드폰 사용자의 개인 정보를 가로채는 악성앱, “Pjapps” 변종이 발견되어 관련 내용 공유합니다. 2. 악성코드 분석 정보 Pjapps 는 이전에 소개드렸던 geimini / ADRD 악성코드와 마찬가지로 정상 App 을 변조 후 리패키징하여, 블랙마켓 등의 3rd party 마켓을 통해 유포되는 악성코드입니다. 이번 변종의 경우 “중국의 눈” 이라 불리는 중국 곳곳의 CCTV를 확인할 수 있는 App 이 변조된 형태로 발견되었습니다. 변조된 App 의 경우, 설치시 기존 정상 App 에 비해 과도한 제어 권한을 요구하는 특징이 있습니다. Pjapps 악성코드가 설치될 경우 아래와 같은 동작을 하게 됩니다. 문자메시지(sms) 읽기(유출) 및 보내기 가능 핸드폰 IMEI/IMSI , 폰번호 등의 정보 유출 가능 원격지 서버에서 핸드폰을 조작할 수 있음   3. V3 진단 현황 v3 mobile 제품에서 아래와 같이 진단가능합니다. v3 mobile 엔진버젼: 2011.02.20.00 진단명: Android-Spyware/Pjapps.C   4. 예방…

안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망

1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.  발견 일시  8월 10일  9월 9일  10월 12일  아이콘  어플리케이션 명  MoviePlayer  PornoPlayer  PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0);    * '7132' 번호로 “846978” 이라는 문자메시지를 발송.       아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”,…