정보 수집 및 즐겨찾기를 변경하는 Android 악성 앱 站点之家 Posted By ASEC , 2011년 9월 20일 1. 站点之家 정보 수집 및 즐겨찾기를 변경하는 안드로이드 악성 어플리케이션이 중국에서 발견 되었다. 2. Android-Trojan/ROMZhanDian 알아보기 – 앱 아이콘 / 필요 권한 정보 [그림] 패키지명 / 권한 정보 – 설치 후 변경 사항 [그림] 설치시 생성된 아이콘 / 바로가기 [그림] 앱 실행 화면 / 추가된 즐겨찾기 – 앱 설치시 필요한 권한 및 설치가능 버전 정보 Android 1.5 이상에서 설치되며, 부팅시 시작되도록 설정되어 있다. [그림] Manifest 정보 – 운영 체제, IMEI/IMSI 번호, shop_id, 모델, APP 이름 등, 수집을 시도한다. [그림] 정보 수집 관련 일부 코드 3. 스마트폰 사용시 주의 사항 ! – 최신의 OS 버전과 V3 모바일을 사용 한다. 1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다. 2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저…
SMS, 통화내역을 수집/전송하는 안드로이드 악성 앱 Nicky Posted By ASEC , 2011년 8월 2일 1. Android-Spyware/Nicky 정보! 해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다. 2. Nicky 악성 앱 Android System Message 정보! * 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다. [그림] Nicky Spyware 권한 정보 [그림] 灵猫安安 의 설치/실행 정보 * android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다. [그림] Manifest 정보 * 사용자의 정보를 수집/전송하는 class 정보들 [그림] 정보 수집/전송하는 class 전체 화면 * 수집된 정보 저장 위치는 아래 코드로 추정 가능하다. /sdcard/shangzhou/callrecord/ * 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일 [그림] 통화내역 저장 화면 * 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다. [그림] 특정 서버로…
Drive by Download 기법의 안드로이드 악성앱 Ggtrack Posted By ASEC , 2011년 7월 25일 1. Android-Trojan/Ggtrack 알아보자! 기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다. 이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자. [그림] 악성코드 관계도 [그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면) 2. Ggtrack 악성앱 Battery Saver 정보! * 아래 그림(표)에서 알 수 있듯이 앱 목적에 맞지 않게 과도한 권한을 필요로 하고 있다. [그림] Battery Saver 권한 정보 [그림] Battery Saver 설치/실행 정보 * 서버와 통신하는 일부 코드 * SMS를 모니터링 하여, 아래와 같은 번호가 일치할 경우 사용자에게 메시지를 숨김으로써, 사용자 모르게 악의적…
[주의] 통화 및 SMS송수신 내역을 감시하는 안드로이드 악성코드 GoldDream 등장 Posted By ASEC , 2011년 7월 7일 1. 개 요 안드로이드 게임. “FastRacing” 으로 위장하여, 설치시 사용자폰의 SMS 발신/수신 내역, 전화통화기록 등을 사용자 모르게 감시하고, 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었다. 해당 악성코드는 “GoldDream” 이라 불리우며, '정상적인 게임'에 악의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓에서 유포된 것이 해외 유명대학의 연구팀에 의해 밝혀져 관련 소식이 전해지게 되었다. “GoldDream” 은 또한 사용자폰을 감시하는 기능 이외에 C&C서버를 통해 스마트폰에 특정 명령을 내릴 수있는 bot 기능도 포함되어 있는데, 이는 “GoldDream“에서 최초로 발견된 기능은 아니며 “DroidKungFu” 나 이전의 다른 안드로이드 악성코드에서도 보여지는 최근 악성코드의 트렌드이다. 안드로이드 악성코드도 이젠 실험적인 레벨을 넘어 점점 정립된 프로세스를 갖추며 짜임새있게 배포되고 있다는 것을 나타내고 있다. [그림] Application 정보 2. 분 석 A. SMS/통화기록/핸드폰 정보 감시 및 탈취 악성 앱을 설치하게 되면 동시에 receiver 가 등록되며, 등록 이후에 발생되는 system event 들을 가로챈다….
스마트폰을 좀비화시키는 DroidKungFu 악성코드 등장. Posted By ASEC , 2011년 6월 7일 1. 개 요 안드로이드폰을 강제루팅 후 권한을 탈취하여 좀비화시키는 악성코드가 또 다시 발견되었다. 해당 악성코드는 'DroidKungFu' 라 불리며, 이전 DroidDream 악성코드와 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로서 악성코드가 계속 진화하고 있다는 것을 증명하고 있다. 본 포스트를 통해 악성코드가 어떻게 진화하였는지 알아보자. 2. 분 석 유포 경로 'DroidKungFu' 악성코드는 정상 앱을 리패키징(re-package) 하여 유포되며, 중국 내 몇몇의 App Market 과 forum 들에서 유포되었다. 그림. 악성 어플 정보 수집 해당 악성코드가 설치되면, 먼저 doSearchReport() -> updateInfo() 함수를 통해 스마트폰의 다양한 정보들을 수집 후 특정 서버로 전송한다. 그림. dosearchReport 그림. updateinfo 이 과정에서 탈취되는 정보와 유출 경로는 다음과 같다 – 탈취 정보 imei ostype osapi model SDKVersion SDcard info internal Memory Size Net operator phone number running service – 유출 경로 http://www.xinh*****.com:8111/GetCert/DevInfo? http://search.go**********id.com:8511/search/getty.php…
