음성통화내용도 유출가능한 안드로이드 악성코드 변종 발견 Posted By ASEC , 2011년 3월 2일 1. 서 론 정상 어플리케이션인 “Steamy Windows” 에 악성코드를 삽입하여 중국어버젼으로 리패키징한 악성 안드로이드 애플리케이션 변종이 금일 발견되었습니다. 2. 악성코드 분석 정보 위와 같은 악성어플리케이션은 구글에서 공식적으로 운영하는 마켓이 아닌, “Third-party market” (제 3자에 의해 제공되는 안드로이드마켓) 에서 발견되었습니다. 구글에서 제공하는 어플리케이션 Market 의 경우는 자체 검수시스템에 의해 업로드되는 앱들에 대해 검증하는 절차가 있지만, “Third-pary market” 은 대부분 위와 같은 검수시스템이 아예 없거나, 불법앱을 업로드하는 사람에 대해 인증할 수 있는 부분이 없기 때문에 악성어플리케이션이 존재할 가능성이 매우 높으므로, 앱을 다운받을때는 가급적 공식마켓을 이용하는 습관이 필요합니다. 정상 애플리케이션에 특정 코드가 삽입되어 리패키징된 경우에는, 사용자들이 정상앱과 차이점을 구별하기 쉽지 않으나, 추가된 코드에 의해 아래 화면과 같이 앱 설치시 요구되는 권한이 매우 증가되는 점으로 파악가능합니다. [변경된 요구 권한] 또한 정상 애플리케이션에는 존재하지 않는 service 코드들이 아래와…
새로운 안드로이드 트로이목마, ADRD 주의 Posted By ASEC , 2011년 2월 15일 1. 서 론 해외에서 사용자 정보를 탈취하는 신종 안드로이드 악성코드가 발견되어 관련 내용을 전해드립니다. 2. 악성코드 유포 방법 및 증상 일명 ADRD 라 불리는 해당 악성코드는 “Geimini” 악성코드와 비슷하게 정상 App 에 악성코드를 심어 리패키징 되는 형태로 유포되고 있습니다. 리패키징되는 App 은 S사의 wallpaper 관련 App을 타제품에서도 쓸수 있게끔 포팅한 App으로 개인에 의해 제작된 App입니다. [그림 1. Dandelion Live Wallpaper] [그림 2. 변조 후 요구되는 시스템 권한] 변조된 App 은 설치시 원래 App의 기능을 수행하면서, 백그라운드로 아래의 동작을 겸합니다. – 특정 URL로 접근 adrd.zt.cw.4 adrd.xiaxiab.com/pic.aspx adrd.taxuan.net/index.aspx – 사용자의 IMEI/IMSI 값 전송 – Alarm 을 이용하여 주기적으로 동작시킴 – 커맨드 서버에서 명령받아 실행될 수 있음 3. 진단현황 Ahnlab V3 mobile 제품군에서는 아래와 같은 진단명으로 진단가능합니다. [진단명] Android-Spyware/Adrd 4. 악성코드 감염 예방법 스마트폰 열풍과 함께…
