본문 바로가기
악성코드 정보

게임어플리케이션 으로 위장하여 사용자정보를 가로채는 악성 안드로이드앱 주의!

by 알 수 없는 사용자 2010. 12. 31.

1. 서론
중국에서 정상 App 으로 위장한 안드로이드 악성코드가 발견되어 관련내용을 공유합니다.


                                     [그림1] 악성코드가 포함된, 변조 상태의 'monkey jump'



2. 악성코드 유포 방법 및 영향

1) 악성코드 유포방법


중국의 써드파티 안드로이드 마켓에서 최초로 발견되었으며, 이 악성 app 은 'monkey jump' 등 원본 게임의 소스에 악성코드를 추가하여 수정한 후, 다시 패키징하여 마켓에 배포하는 방식을 사용합니다.


이와 같이 변조된 app 은 아래 그림과 같이 app 을 다운받아설치시 요구되는 권한갯수가 매우 증가하나, 사용자들이 눈치채지 못하고 설치할 확률이 높습니다.

- 원본 app 의 요구 권한

android.permission.INTERNET
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.VIBRATE

- 변조된 app 의 요구 권한

android.permission.INTERNET
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.VIBRATE
com.android.launcher.permission.INSTALL_SHORTCUT
android.permission.ACCESS_FINE_LOCATION
android.permission.CALL_PHONE
android.permission.MOUNT_UNMOUNT_FILESYSTEMS
android.permission.READ_CONTACTS
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.WRITE_CONTACTS
android.permission.WRITE_EXTERNAL_STORAGE
com.android.browser.permission.READ_HISTORY_BOOKMARKS
com.android.browser.permission.WRITE_HISTORY_BOOKMARKS
android.permission.ACCESS_GPS
android.permission.ACCESS_LOCATION
android.permission.RESTART_PACKAGES
android.permission.RECEIVE_SMS
android.permission.WRITE_SMS



[그림 2] 변조된 app 의 요구 권한

 
2) 악성코드가 끼치는 영향

이 악성 app 을 설치되면, 아래와 같은 도메인으로 지속적으로 연결을 시도합니다.


                                       [그림 3] 접속 시도하는 domain

또한 해당 도메인을 통하여, 유출될 수 있는 정보는 아래와 같습니다.


  • 내부에 설치된 어플리케이션 정보
  • 실행중인 어플리케이션 정보
  • 연결된 네트워크 정보(ip 등)
  • sim 정보(단말기정보), 폰 번호
  • SMS 송수신 정보
  • 연락처 정보
  • 인터넷 사용 정보
  • 사용자 위치(GPS) 정보
  •  

    3. 진단 현황

    현재 V3 mobile 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.
     

    진단명 : Android-Spyware/Geimini

    엔진버전 : 2010.12.31.00



    4. 예방 방법
     
    1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
    2) 출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
    3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.



    댓글