안드로이드 악성코드, 중동 상륙 Posted By ASEC , 2012년 2월 8일 1. 개 요 최근 안드로이드기반의 스마트폰이 전세계적으로 확산되는 가운데, 중동의 이스라엘을 겨냥한 call 과금형 악성코드가 발견되어 분석 내용을 공유한다. 2. 분 석 해당 악성코드는 구글 안드로이드마켓에서 발견되었으며, “Voice Changer Israel” 이라는 어플리케이션 이름을 사용하고 있다. 이 어플리케이션은 제목 그대로 음성을 변조하여 상대방에게 전화를 걸 수 있는 엔터테인먼트 어플리케이션으로 위장하고 있다. [fig. app icon] 아래의 실행화면을 보면 전화번호 입력란과 전화통화시 세가지의 목소리를 선택할 수 있고, 아래의 통화버튼 밑에 1분당 6 NIS(약 1.6달러) 가 과금 된다는 안내문이 표기되어 있는 것을 확인할 수 있다. [fig. 실행 화면] 코드를 살펴보면, 아래와 같이 동작과정 중 특정 번호(premium number)로 call 을 하여 과금을 시키고, 그후 입력하였던 원래 전화번호로 음성변조된 전화를 건다. [fig. 부분 코드] 아래와 같이 어플리케이션의 권한을 살펴보면 해당 어플이 call 을 통한 과금을 할 수…
구글 안드로이드마켓, 또 다시 악성코드 발견! Posted By ASEC , 2011년 12월 14일 과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있다. 이전글 참고 안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의 최근 발견된 악성코드는 ‘유명한 게임’ 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 ‘유럽’ 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없다. 해당 악성코드에 대해 자세히 살펴보자 1. 유포 경로 구글 공식 안드로이드마켓(http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없다. [그림. android market 에 유포된 악성코드] 출처: symantec 블로그 2. 분 석 해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵다. [그림. 악성 어플리케이션] [그림. 정상 어플리케이션] 해당 프로그램을 설치하게 되면 아래와…
