과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있다.
이전글 참고
최근 발견된 악성코드는 '유명한 게임' 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 '유럽' 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없다.
해당 악성코드에 대해 자세히 살펴보자
1. 유포 경로
구글 공식 안드로이드마켓(http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없다.
해당 프로그램을 설치하게 되면 아래와 같이 정상게임에선 뜨지 않는 화면이 나오며 게임플레이를 하기 위해 http://91.xxx.xxx.148/app 를 통해 추가적인 어플리케이션을 다운로드 유도하는 것으로 보이나 현재 정상적인 접속은 되지 않는 것으로 확인된다.
과금 관련 코드는 아래와 같이 총 18개의 유럽지역의 국가에 대해서 발송되도록 설정되어있다.
[표. 문자 과금 대상 국가]
해당 악성코드는 아래와 같이 SMS과금관련 권한을 확인하여서도 구분이 가능하므로, 사용자들은 어플리케이션 설치시 항상 권한을 주의깊게 살핀 후 설치하는 습관을 갖도록 하자.
3. 진단 현황
위 악성코드는 V3 mobile 제품군에서 아래의 진단명으로 치료가능하다.
4. 스마트폰 안전수칙
아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.
이전글 참고
안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의
최근 발견된 악성코드는 '유명한 게임' 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 '유럽' 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없다.
해당 악성코드에 대해 자세히 살펴보자
1. 유포 경로
구글 공식 안드로이드마켓(http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없다.
[그림. android market 에 유포된 악성코드]
출처: symantec 블로그
출처: symantec 블로그
2. 분 석
해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵다.
해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵다.
[그림. 악성 어플리케이션]
[그림. 정상 어플리케이션]
해당 프로그램을 설치하게 되면 아래와 같이 정상게임에선 뜨지 않는 화면이 나오며 게임플레이를 하기 위해 http://91.xxx.xxx.148/app 를 통해 추가적인 어플리케이션을 다운로드 유도하는 것으로 보이나 현재 정상적인 접속은 되지 않는 것으로 확인된다.
[그림. 실행 화면]
[그림. rules]
악성코드는 아래와 같이 sim card 에서 단말기의 국가코드를 파싱하여 국가에 맞는 과금번호(premium number)로 문자를 전송한다.
[그림. 문자 과금 코드]
과금 관련 코드는 아래와 같이 총 18개의 유럽지역의 국가에 대해서 발송되도록 설정되어있다.
| 국가코드 | 송신 번호 | 국가이름 |
| am | 1121 | Armenia |
| az | 9014 | Azerbaijan |
| by | 7781 | Belarus |
| cz | 90901599 | Czech Republic |
| de | 80888 | Germany |
| ee | 17013 | Estonia |
| fr | 81185 | France |
| gb | 79067 | United Kingdom |
| ge | 8014 | Georgia |
| il | 4545 | Israel |
| kg | 4157 | Kyrgyzstan |
| kz | 7790 | Kazakhstan |
| lt | 1645 | Lithuania |
| lv | 1874 | Latvia |
| pl | 92525 | Poland |
| ru | 7781 | Russian Federation |
| tj | 1171 | Tajikistan |
| ua | 7540 | Ukraine |
[표. 문자 과금 대상 국가]
해당 악성코드는 아래와 같이 SMS과금관련 권한을 확인하여서도 구분이 가능하므로, 사용자들은 어플리케이션 설치시 항상 권한을 주의깊게 살핀 후 설치하는 습관을 갖도록 하자.
[그림. 권한]
3. 진단 현황
위 악성코드는 V3 mobile 제품군에서 아래의 진단명으로 치료가능하다.
Android-Trojan/Pavelsms
4. 스마트폰 안전수칙
아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| 김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포 (0) | 2011.12.21 |
|---|---|
| 김정일 위원장 사망을 악용한 애드웨어 유포 시도 (0) | 2011.12.20 |
| ASEC 보안 위협 동향 리포트 2011 Vol.23 발간 (0) | 2011.12.14 |
| 국내 연예인 사생활 동영상으로 위장한 악성코드 유포 (0) | 2011.12.09 |
| Adobe Acrobat CVE-2011-2462 제로 데이 취약점을 악용한 타겟 공격 (1) | 2011.12.08 |
댓글