본문 바로가기
악성코드 정보

안드로이드 악성코드 FakeInst 변종 1600↗

by DH, L@@ 2011. 11. 17.
1.  안드로이드 악성코드의 변종 증가



 PC Windows 기반의, 동일한 기능 포함한 악성코드는 매우 많은 양의 변종을 양산하고 있다. 악성코드의 제작이 아니라, 공장에서 찍어내고 있다는 표현이 적절하지 않을까.
하지만, 이제는 더이상 PC에서만의 일은 아니다. 

 급격한 안드로이드 악성코드의 증가와 더블어, 악의적인 목적을 가진 유사한 어플리케이션이 등장하고 있다.
이러한 변종 중에 최근 FakeInst 형태의 안드로이드 악성코드가 급증했다.

 이 악성 어플리케이션의 행위와, 추이를 살펴보자.



2. 안드로이드 악성 어플리케이션 정보 FakeInst



- FakeInst  의미는 다른 어플리케이션의 설치를 가장하여, 악의적인 행위를 하는 악성 어플리케이션을 뜻한다.
- 패키지명이 com.depositmobi 인 안드로이드 악성 어플리케이션을 대상으로 확인해 보자.

[그림] FakeInst 형태의 악성 어플리케이션의 아이콘과 권한 정보



- Android Manifest 정보 이다.
- SDK 정보와 권한 정보를 확인 할 수 있다.
- 6개의 어플리케이션이 모두 동일 하다.

[그림] Android Manifest 정보




- 설치 과정

[그림] com.depositmobi 설치 화면1





- Rules 를 선택하면 어플리케이션의 행위에 대하여 안내하고 있다.
- 과금이 발생할 수 있음을 알리고 있지만, 추가설치되는 어플리케이션에 대한 지불은 아니다.

[그림] com.depositmobi 설치 화면2




- SMS 과금을 유발하는 코드 일부

[그림] SMS 관련 코드 일부




- 다운로드되는 어플리케이션과 URL

[그림] 다운로드 URL 정보




-  premium numbers 과금관련 안내 코드
- ex) 7151 : 33.87 ~ 40.00 루브 (МТС 33.87 руб., Мегафон 35.40 руб., Билайн 40.00 руб)
- 루브는 러시아 화폐단위이며, 1 rub = 36.84 원 이다. 


[그림] 과금 안내 코드 일부



3. 변종추이


- 8월 부터 꾸준히 발생했으며, 현재는 1600개를 넘어섰다.

[그림] Android-Trojan/FakeInst 변종 추이 (대상 패키지 : com.depositmobi)





4. V3 모바일 진단 현황



- 아래와 같은 형태의 진단명으로 진단/치료하고 있다.

Android-Trojan/SmsSend
Android-Trojan/FakeInst
Android-Trojan/Agent
Android-Trojan/Boxer





5. 스마트폰 안전수칙


 스마트폰 악성코드는 이제 더 이상 다른 나라 이야기가 아니다. 현재까지 피해사례는 보고되지 않았지만,
항상 주의를 기울이고, 어플리케이션을 설치해야 한다.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

댓글