연말 포상으로 받은 상품권은 악성코드 제작자에게… Posted By ASEC , 2012년 12월 28일 국내에서는 3가지 피해사례가 끊임없이 발견되고 있다. 1. 온라인게임 계정 유출로 인한 피해 2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해 3. 상품권 번호 유출로 인한 피해 1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다. http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드] http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드] http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해] 국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다. 그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자. 해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다. 네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다. testsample.exe CREATE C:WINDOWSsystem32drivers7f12a432.sys testsample.exe CREATE C:WINDOWSsystem32kakubi.dll testsample.exe CREATE C:WINDOWSsystem32wshtcpbi.dll testsample.exe DELETE C:WINDOWSsystem32wshtcpip.dll testsample.exe CREATE…
방통위 사칭 안드로이드 악성 앱 Posted By ASEC , 2012년 11월 22일 지난 10월, 방송통신위원회를 사칭해 스팸 문자 차단 애플리케이션을 무료로 배포하는 것처럼 위장한 악성 안드로이드 애플리케이션이 발견되었다. 확인된 스팸 문자는 아래와 같다. [방통위]통신사합동 스팸문자 차단어플 백신무료 배포 Play 스토어 어플 http://bit.ly/QQyLSs 주소를 클릭해주십시오. 해당 링크를 따라가면 구글 Play 스토어로 접속하여 Stech 개발자가 제작한 Spam Blocker 애플리케이션을 다운로드 하는 페이지로 연결된다. Stech 개발자가 Play 스토어에 등록한 애플리케이션은 “Spam Blocker” 이외에도 “Spam Guard”, “Stop Phishing!!” 이 발견되었다. [그림 1] 구글 Play 스토어에 Stech 개발자로 등록된 애플리케이션 3개의 애플리케이션 모두 스팸 차단 기능은 포함하지 않고 있으며, 설치 시 스마트폰의 정보를 외부로 유출하는 악의적 기능이 포함되어 있다. 위 애플리케이션에 대하여 상세히 알아보자. 아래 그림은 악성 애플리케이션을 설치한 화면이다. [그림 2] Spam Blocker 아이콘 / 실행 화면…
Another fake “Angry Birds” Posted By ASEC , 2012년 4월 5일 안드로이드 플랫폼이 큰 인기를 끌면서 모바일 기반의 악성코드 또한 활개치고 있다. 악성코드는 주로 인기 있는 어플리케이션으로 위장하여 사용자가 설치하게끔 유도하는데 그 대상으로 빠지지 않고 이용되는 인기게임 중 하나가 바로 “Angry Birds” 가 아닐까 한다. 이번에 새롭게 발견된 악성코드 역시 유명게임 “Angry Birds” 를 위장하고 있어 주의가 필요하다. [fig. 가짜 Angry Birds 아이콘] 해당 악성코드는 중국의 써드파티마켓에서 최초 발견되었으며 위와 같이 Angry Birds 게임으로 위장하고 있다. 중국의 써드파티 안드로이드마켓 규모는 우리나라보다 크고 정품어플리케이션을 불법으로 받기 위해 이용하는 경우가 많아 사용자들이 쉽사리 악성어플리케이션에 대해 노출되기 쉬운 환경이다. [fig. manifest 에 나타나는 악성 service] 이 악성코드는 설치 시 “com.neworld.demo.UpdateCheck” 라는 악성 서비스가 실행되는데, 이 서비스는 어플리케이션의 assets 폴더에 저장된 그림파일(mylogo.jpg)에 몰래 숨겨놓은 elf 포맷의 악성파일을 추가적으로 실행하며…
트위터로 전파되는 안드로이드 악성코드 주의 Posted By ASEC , 2012년 3월 14일 1. 개 요 이전 블로그에서 다뤘던 문자과금 및 추가 악성코드 설치를 유발하는 Android-Trojan/Fakeinst 의 변종이 최근 해외에서 다량의 트위터 계정을 통해 안드로이드 악성코드가 확산 중인 것이 발견되어 관련 내용을 공유한다. 2. 분 석 악성코드유포에 사용된 트윗들은 러시아 언어로 작성되었으며 단축URL 을 이용하여 악성코드 설치를 유도하는 특징이 있고, 내용들은 인기어플리케이션을 소개한다거나, 의미 없는 단어 조합 + 악성 어플리케이션 다운로드 URL 로 구성되어 있다. [fig 1. 악성코드 유포 트윗] 트윗에 포함된 단축 URL 을 클릭하면 아래와 같이 악성코드 설치를 유도하는 페이지로 접근된다. 해당 페이지들은 주로 인기어플리케이션(모바일 브라우저, 모바일 백신 등) 설치페이지로 위장되어 있다. [fig 2. 악성코드 유포 웹페이지] 해당 페이지를 통해 설치되는 악성 어플리케이션은 아래와 같은 동작을 한다. 1. 사용자 폰의 개인정보(IMEI, IMSI,phone number 등)를 특정 서버로 유출 2. premium number 로 SMS 과금 3. 백그라운드에서 실행되며 주기적으로 다른…
안드로이드 악성코드, 중동 상륙 Posted By ASEC , 2012년 2월 8일 1. 개 요 최근 안드로이드기반의 스마트폰이 전세계적으로 확산되는 가운데, 중동의 이스라엘을 겨냥한 call 과금형 악성코드가 발견되어 분석 내용을 공유한다. 2. 분 석 해당 악성코드는 구글 안드로이드마켓에서 발견되었으며, “Voice Changer Israel” 이라는 어플리케이션 이름을 사용하고 있다. 이 어플리케이션은 제목 그대로 음성을 변조하여 상대방에게 전화를 걸 수 있는 엔터테인먼트 어플리케이션으로 위장하고 있다. [fig. app icon] 아래의 실행화면을 보면 전화번호 입력란과 전화통화시 세가지의 목소리를 선택할 수 있고, 아래의 통화버튼 밑에 1분당 6 NIS(약 1.6달러) 가 과금 된다는 안내문이 표기되어 있는 것을 확인할 수 있다. [fig. 실행 화면] 코드를 살펴보면, 아래와 같이 동작과정 중 특정 번호(premium number)로 call 을 하여 과금을 시키고, 그후 입력하였던 원래 전화번호로 음성변조된 전화를 건다. [fig. 부분 코드] 아래와 같이 어플리케이션의 권한을 살펴보면 해당 어플이 call 을 통한 과금을 할 수…
