본문 바로가기
악성코드 정보

소셜기능을 통해 확산되고 SMS 과금시키는 Android 악성앱 주의

by 알 수 없는 사용자 2011. 7. 19.
1. 개 요


안드로이드 온라인 동영상 스트리밍 플레이어
로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다.

 

  

 


[fig] fake online video streaming player




2. 분 석


A. SMS 과금 및 휴대폰 정보 탈취


악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다.


[fig] sendsms to premium number


만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다.
이 악성앱은 영리하게도 회신되는 문자를 사용자가
볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다.

이 악성앱은 "10" 으로 시작되는 번호들로 전송되는 SMS에 관해 필터링 하였다.



[fig] filtering feedback from service provider


이외에 추가적으로 핸드폰의 Sim 카드 serial 을 얻고, 특정 서버로 전송한다.



[fig] gathering sim serial-number



B. 악성코드 확산

이 악성앱은 감염된 폰에서 과금을 하는 것뿐만 아니라 악성앱 자신을 광고(Self-advertising) 하는 기능도 포함되어 있어 주의가 필요하다.
사용자는 좋은 앱 소개시켜준다는 의도로 추천링크를 전송했는데, 받는 사람에게 악성앱을 설치하게끔 유도한 꼴이 될 수 있다.

Self-advertising 은 아래와 같이 친구추천기능을 통해 e-mail , 또는 sms 로 악성앱을 다운 및 설치할 수 있는 링크를 전송하여 이루어진다.

 


[fig] self-advertising


[fig] self-advertising code



3. Wrap-up
해당 악성코드는 V3 mobile 제품군에서 아래와 같이 진단하고 있다.

- 엔진버전
  2011.07.19.00


- 진단명
  Android-Trojan/SmsSend.AA
  Android-Trojan/SmsSend.AB


아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.



 

댓글