Drive by Download 기법의 안드로이드 악성앱 Ggtrack Posted By ASEC , 2011년 7월 25일 1. Android-Trojan/Ggtrack 알아보자! 기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다. 이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자. [그림] 악성코드 관계도 [그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면) 2. Ggtrack 악성앱 Battery Saver 정보! * 아래 그림(표)에서 알 수 있듯이 앱 목적에 맞지 않게 과도한 권한을 필요로 하고 있다. [그림] Battery Saver 권한 정보 [그림] Battery Saver 설치/실행 정보 * 서버와 통신하는 일부 코드 * SMS를 모니터링 하여, 아래와 같은 번호가 일치할 경우 사용자에게 메시지를 숨김으로써, 사용자 모르게 악의적…
Android-AppCare/KidLogger Posted By ASEC , 2011년 5월 11일 개요 안드로이드 모바일 유해가능 프로그램 KidLogger 에 관한 정보 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행 화면 특징 [그림3] 권한 정보 상세정보 – Platform Android 2.2 이상에서 설치가 가능하다. – 사용자의 행위 정보를 저장한다. 통화 목록 문자 웹사이트 방문 기록 위 정보 외에도 다수의 정보를 로그로 남기거나 서버로 전송한다. [그림4] manifest 정보 [그림5] classes.dex 정보 [그림6] 저장된 로그 화면 진단정보 [그림7] V3 Mobile 2.0 진단 화면 더보기 접기 Android-AppCare/KidLogger | 2011.05.09.00 접기 1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다 2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다 3) 스마트폰도 PC와 마찬가지로 신뢰할 수 없는 사이트나 메일은 열람을 자제하는 것을 권장
안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망 Posted By ASEC , 2010년 10월 15일 1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다. 발견 일시 8월 10일 9월 9일 10월 12일 아이콘 어플리케이션 명 MoviePlayer PornoPlayer PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다. android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0); * '7132' 번호로 “846978” 이라는 문자메시지를 발송. 아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함. android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0); android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0); android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”,…
