안드로이드폰의 개인 정보를 가로채는 악성앱, “Pjapps” 변종 발견 Posted By ASEC , 2011년 2월 20일 1. 서 론 안드로이드폰 사용자의 개인 정보를 가로채는 악성앱, “Pjapps” 변종이 발견되어 관련 내용 공유합니다. 2. 악성코드 분석 정보 Pjapps 는 이전에 소개드렸던 geimini / ADRD 악성코드와 마찬가지로 정상 App 을 변조 후 리패키징하여, 블랙마켓 등의 3rd party 마켓을 통해 유포되는 악성코드입니다. 이번 변종의 경우 “중국의 눈” 이라 불리는 중국 곳곳의 CCTV를 확인할 수 있는 App 이 변조된 형태로 발견되었습니다. 변조된 App 의 경우, 설치시 기존 정상 App 에 비해 과도한 제어 권한을 요구하는 특징이 있습니다. Pjapps 악성코드가 설치될 경우 아래와 같은 동작을 하게 됩니다. 문자메시지(sms) 읽기(유출) 및 보내기 가능 핸드폰 IMEI/IMSI , 폰번호 등의 정보 유출 가능 원격지 서버에서 핸드폰을 조작할 수 있음 3. V3 진단 현황 v3 mobile 제품에서 아래와 같이 진단가능합니다. v3 mobile 엔진버젼: 2011.02.20.00 진단명: Android-Spyware/Pjapps.C 4. 예방…
새로운 안드로이드 트로이목마, ADRD 주의 Posted By ASEC , 2011년 2월 15일 1. 서 론 해외에서 사용자 정보를 탈취하는 신종 안드로이드 악성코드가 발견되어 관련 내용을 전해드립니다. 2. 악성코드 유포 방법 및 증상 일명 ADRD 라 불리는 해당 악성코드는 “Geimini” 악성코드와 비슷하게 정상 App 에 악성코드를 심어 리패키징 되는 형태로 유포되고 있습니다. 리패키징되는 App 은 S사의 wallpaper 관련 App을 타제품에서도 쓸수 있게끔 포팅한 App으로 개인에 의해 제작된 App입니다. [그림 1. Dandelion Live Wallpaper] [그림 2. 변조 후 요구되는 시스템 권한] 변조된 App 은 설치시 원래 App의 기능을 수행하면서, 백그라운드로 아래의 동작을 겸합니다. – 특정 URL로 접근 adrd.zt.cw.4 adrd.xiaxiab.com/pic.aspx adrd.taxuan.net/index.aspx – 사용자의 IMEI/IMSI 값 전송 – Alarm 을 이용하여 주기적으로 동작시킴 – 커맨드 서버에서 명령받아 실행될 수 있음 3. 진단현황 Ahnlab V3 mobile 제품군에서는 아래와 같은 진단명으로 진단가능합니다. [진단명] Android-Spyware/Adrd 4. 악성코드 감염 예방법 스마트폰 열풍과 함께…
