안드로이드 악성코드

구글 안드로이드마켓, 또 다시 악성코드 발견!

과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있다. 이전글 참고 안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의 최근 발견된 악성코드는 ‘유명한 게임’ 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 ‘유럽’ 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없다. 해당 악성코드에 대해 자세히 살펴보자 1. 유포 경로 구글 공식 안드로이드마켓(http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없다. [그림. android market 에 유포된 악성코드]  출처: symantec 블로그 2. 분 석 해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵다.     [그림. 악성 어플리케이션] [그림. 정상 어플리케이션] 해당 프로그램을 설치하게 되면 아래와…

유럽을 타겟으로 제작된 안드로이드 악성 어플리케이션

1. SMS 과금형 안드로이드 악성 어플리케이션  지금까지는 중국 또는 러시아를 타겟으로, 프리미엄 번호를 이용하여 사용자에게 요금이 부과되는 안드로이드 악성 어플리케이션이 대부분 이었다.  이번에는 유럽국가를 타겟으로 제작된 안드로이드 악성 어플리케이션을 살펴 보자. 2. 안드로이드 악성 어플리케이션 정보 – SuiConFo 악성 어플리케이션의 정보 [그림] 악성 어플리케이션의 정보(아이콘, 어플리케이션 이름, 패키지 명, 권한 정보) – Android 2.2 (Froyo 2.2) 이상에서 설치가 가능하도록 제작되어 있다. – SEND_SMS 권한으로 보아, 과금이 발생할 수 있음을 추정할 수 있다. – 그 외 여러 권한정보로 어플리케이션의 기능을 추정할 수 있다. [그림] Android Manifest 정보 – 현재에도 아래와 같은 웹 사이트에 저장되어 있으며, 다운로드가 가능하다. [그림] 악성 어플리케이션의 유포지 – 설치 여부 선택을 묻고 있다. [그림] 설치 화면 – 설치된 악성 SuiConFo 어플리케이션 [그림] 설치된 악성어플리케이션 / 실행화면(ERROR) – 어플리케이션 실행시팝업된 [ERROR] 는…

스마트폰 정보를 유출시키는 안드로이드 악성코드 주의

스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다. ▶ 개인정보 유출 해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다. 1. IMEI 2. 제조사 (manufacturer) 3. Model 번호 4. IMSI [pic. data stealing code] [pic. sending data with http post ] 다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.) 해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.  com.cola.twisohu  com.sohu.newsclient  com.duomi.android  com.snda.youni  cn.emoney.l2  com.diguayouxi  com.mx.browser  com.uc.browser  com.onekchi.xda  cn.goapk.market  com.wuba  com.mappn.gfan  com.hiapk.marketpho [pic. checking md5sum ] 현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다. 2011.08.10.00 Android-Spyware/Netsend…

SMS, 통화내역을 수집/전송하는 안드로이드 악성 앱 Nicky

  1. Android-Spyware/Nicky 정보! 해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다. 2. Nicky 악성 앱 Android System Message 정보! * 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다. [그림] Nicky Spyware 권한 정보 [그림] 灵猫安安 의 설치/실행 정보 * android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다.                                                         [그림] Manifest 정보 * 사용자의 정보를 수집/전송하는 class 정보들 [그림] 정보 수집/전송하는 class 전체 화면 * 수집된 정보 저장 위치는 아래 코드로 추정 가능하다. /sdcard/shangzhou/callrecord/ * 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일 [그림] 통화내역 저장 화면   * 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다.  [그림] 특정 서버로…