SMS, 통화내역을 수집/전송하는 안드로이드 악성 앱 Nicky

 

1. Android-Spyware/Nicky 정보!

---

해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다.


2. Nicky 악성 앱 Android System Message 정보!

---

* 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다.

[그림] Nicky Spyware 권한 정보

[그림] 灵猫安安 의 설치/실행 정보

* android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다.

<service android:name=".MainService" android:exported="true">         <service android:name=".GpsService" android:exported="true">         <service android:name=".SocketService">         <service android:name=".XM_SmsListener" />         <service android:name=".XM_CallListener" />         <service android:name=".XM_CallRecordService" />         <service android:name=".RecordService" />

[그림] Manifest 정보

* 사용자의 정보를 수집/전송하는 class 정보들

[그림] 정보 수집/전송하는 class 전체 화면

* 수집된 정보 저장 위치는 아래 코드로 추정 가능하다.
/sdcard/shangzhou/callrecord/

* 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일

[그림] 통화내역 저장 화면
 

* 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다. 

[그림] 특정 서버로 전송을 시도하도록 되어 있는 코드의 일부

* V3 모바일 진단 화면

[그림] V3 모바일 화면

* V3 모바일에서는 변종에 대하여 다음과 같이 진단하고 있다.

Android-Spyware/Nicky Android-Spyware/Nicky.B Android-Spyware/Nicky.C

* 스마트폰 사용시 주의사항!

---

 

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다. 2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다. 3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다. 4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다. 5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다. 6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다. 7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다. 8. ID, 패스워드 등을 스마트폰에 저장하지 않는다. 9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다. 10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.