1. 개 요
안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다.
[fig] fake online video streaming player
2. 분 석
A. SMS 과금 및 휴대폰 정보 탈취
악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다.
[fig] sendsms to premium number
만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다.
이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다.
이 악성앱은 "10" 으로 시작되는 번호들로 전송되는 SMS에 관해 필터링 하였다.
[fig] filtering feedback from service provider
이외에 추가적으로 핸드폰의 Sim 카드 serial 을 얻고, 특정 서버로 전송한다.
[fig] gathering sim serial-number
B. 악성코드 확산
이 악성앱은 감염된 폰에서 과금을 하는 것뿐만 아니라 악성앱 자신을 광고(Self-advertising) 하는 기능도 포함되어 있어 주의가 필요하다.
사용자는 좋은 앱 소개시켜준다는 의도로 추천링크를 전송했는데, 받는 사람에게 악성앱을 설치하게끔 유도한 꼴이 될 수 있다.
Self-advertising 은 아래와 같이 친구추천기능을 통해 e-mail , 또는 sms 로 악성앱을 다운 및 설치할 수 있는 링크를 전송하여 이루어진다.
[fig] self-advertising
[fig] self-advertising code
아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.
안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다.
2. 분 석
A. SMS 과금 및 휴대폰 정보 탈취
악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다.
만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다.
이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다.
이 악성앱은 "10" 으로 시작되는 번호들로 전송되는 SMS에 관해 필터링 하였다.
이외에 추가적으로 핸드폰의 Sim 카드 serial 을 얻고, 특정 서버로 전송한다.
B. 악성코드 확산
이 악성앱은 감염된 폰에서 과금을 하는 것뿐만 아니라 악성앱 자신을 광고(Self-advertising) 하는 기능도 포함되어 있어 주의가 필요하다.
사용자는 좋은 앱 소개시켜준다는 의도로 추천링크를 전송했는데, 받는 사람에게 악성앱을 설치하게끔 유도한 꼴이 될 수 있다.
Self-advertising 은 아래와 같이 친구추천기능을 통해 e-mail , 또는 sms 로 악성앱을 다운 및 설치할 수 있는 링크를 전송하여 이루어진다.
3. Wrap-up
해당 악성코드는 V3 mobile 제품군에서 아래와 같이 진단하고 있다.- 엔진버전
2011.07.19.00
- 진단명
Android-Trojan/SmsSend.AA
Android-Trojan/SmsSend.AB
2011.07.19.00
- 진단명
Android-Trojan/SmsSend.AA
Android-Trojan/SmsSend.AB
아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
'악성코드 정보' 카테고리의 다른 글
Drive by Download 기법의 안드로이드 악성앱 Ggtrack (1) | 2011.07.25 |
---|---|
노출형 배너 광고를 이용한 악성코드 유포사례 (0) | 2011.07.25 |
시스템 파일 교체 악성코드는 계속 변화 중... (3) | 2011.07.18 |
카카오톡 PC버전이라고? 내 정보, 돈까지 빼갈 수 있어.. (3) | 2011.07.13 |
[주의] 통화 및 SMS송수신 내역을 감시하는 안드로이드 악성코드 GoldDream 등장 (1) | 2011.07.07 |
댓글