안드로이드 악성코드

소셜기능을 통해 확산되고 SMS 과금시키는 Android 악성앱 주의

1. 개 요 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다.        [fig] fake online video streaming player 2. 분 석 A. SMS 과금 및 휴대폰 정보 탈취 악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다. [fig] sendsms to premium number 만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다. 이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다. 이 악성앱은 “10” 으로 시작되는 번호들로 전송되는 SMS에…

정상앱을 위장한 악성어플. DroidDream 귀환

1. 개 요 정상앱에 악성코드를 심어 안드로이드마켓에 재배포하여 사용자들을 감염시켰던 DroidDream 악성코드가 다시 발견되었다고 해외벤더사에 의해 밝혀져 관련 내용을 공유한다. [그림1. 악성앱 Sexy Legs] 이전 DroidDream 분석정보 안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의 http://core.ahnlab.com/259 * 유포경로 DroidDream 악성앱은 Google Android Market 에서 배포되었으며, 현재는 마켓에서 퇴출당해 다운받을 수 없는 상태이다. 현재까지 파악된 개발자이름별 악성앱들의 목록은 아래와 같다. Magic Photo Studio Sexy Girls: Hot Japanese Sexy Legs HOT Girls 4 Beauty Breasts Sex Sound Sex Sound: Japanese HOT Girls 1 HOT Girls 2 HOT Girls 3 Mango Studio Floating Image Free System Monitor Super StopWatch and Timer System Info Manager E.T. Tean Call End Vibrate BeeGoo Quick Photo Grid Delete Contacts Quick Uninstaller Contact Master Brightness Settings Volume Manager Super Photo Enhance Super…

안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의

1. 서 론 금일 안드로이드폰을 강제로 rooting(기기의 루트권한을 획득하여, 기본적으로 접근불가한 부분을 수정가능하게 함) 하며 추가로 사용자정보를 가로채는 악성 어플리케이션 4종이 발견되어 관련 내용 공유드립니다. 2. 악성코드 분석 정보 – 악성코드 유포지  이번에 발견된 악성 어플리케이션은 종전의 다른 악성앱들이 블랙마켓과 같은 “Third-party market” 에서 발견된 것과는 다르게 구글에서 제공하는 안드로이드 공식 마켓을 통해 유포된 것으로 전해지고 있습니다. 관련 내용은 아래 링크를 통해 확인가능합니다. http://www.androidpolice.com/2011/03/01/the-mother-of-all-android-malware-has-arrived-stolen-apps-released-to-the-market-that-root-your-phone-steal-your-data-and-open-backdoor/ 해당 악성앱들은 현재는 안드로이드마켓에서 삭제되어서 더이상 다운받을 수 없는 상태입니다. – 악성코드 정보 악성앱은 설치시 아래와 같이 권한이 추가되지만 기존 Geinimi 나 ADRD 악성앱과는 달리 많지않은 권한이 추가되므로 권한만을 바탕으로는 사용자가 악성앱인 점을 눈치채지 못할 가능성이 높습니다. 단, 특이한 점은 root 권한 획득을 위해 사용되는 exploit 코드가 wifi 를 이용하므로 아래와 같이 wifi 상태제어에 관련된 권한이 추가되어 있는 것을 확인하실 수 있습니다….

게임어플리케이션 으로 위장하여 사용자정보를 가로채는 악성 안드로이드앱 주의!

1. 서론 중국에서 정상 App 으로 위장한 안드로이드 악성코드가 발견되어 관련내용을 공유합니다.                                      [그림1] 악성코드가 포함된, 변조 상태의 'monkey jump' 2. 악성코드 유포 방법 및 영향 1) 악성코드 유포방법 중국의 써드파티 안드로이드 마켓에서 최초로 발견되었으며, 이 악성 app 은 'monkey jump' 등 원본 게임의 소스에 악성코드를 추가하여 수정한 후, 다시 패키징하여 마켓에 배포하는 방식을 사용합니다. 이와 같이 변조된 app 은 아래 그림과 같이 app 을 다운받아설치시 요구되는 권한갯수가 매우 증가하나, 사용자들이 눈치채지 못하고 설치할 확률이 높습니다. – 원본 app 의 요구 권한 android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE – 변조된 app 의 요구 권한 android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE com.android.launcher.permission.INSTALL_SHORTCUT android.permission.ACCESS_FINE_LOCATION android.permission.CALL_PHONE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CONTACTS android.permission.READ_SMS android.permission.SEND_SMS android.permission.SET_WALLPAPER android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE com.android.browser.permission.READ_HISTORY_BOOKMARKS com.android.browser.permission.WRITE_HISTORY_BOOKMARKS android.permission.ACCESS_GPS android.permission.ACCESS_LOCATION android.permission.RESTART_PACKAGES android.permission.RECEIVE_SMS android.permission.WRITE_SMS [그림 2] 변조된 app 의 요구 권한   2)…