지난 10월, 방송통신위원회를 사칭해 스팸 문자 차단 애플리케이션을 무료로 배포하는 것처럼 위장한 악성 안드로이드 애플리케이션이 발견되었다.
확인된 스팸 문자는 아래와 같다.
[방통위]통신사합동 스팸문자 차단어플 백신무료 배포 Play 스토어 어플 http://bit.ly/QQyLSs 주소를 클릭해주십시오. |
해당 링크를 따라가면 구글 Play 스토어로 접속하여 Stech 개발자가 제작한 Spam Blocker 애플리케이션을 다운로드 하는 페이지로 연결된다.
Stech 개발자가 Play 스토어에 등록한 애플리케이션은 "Spam Blocker" 이외에도
"Spam Guard", "Stop Phishing!!" 이 발견되었다.
[그림 1] 구글 Play 스토어에 Stech 개발자로 등록된 애플리케이션
3개의 애플리케이션 모두 스팸 차단 기능은 포함하지 않고 있으며, 설치 시 스마트폰의 정보를 외부로 유출하는 악의적 기능이 포함되어 있다.
위 애플리케이션에 대하여 상세히 알아보자.
아래 그림은 악성 애플리케이션을 설치한 화면이다.
[그림 2] Spam Blocker 아이콘 / 실행 화면
해당 애플리케이션의 권한 정보를 살펴보자.
[그림 3] 악성 애플리케이션 권한정보
아래 그림에서 애플리케이션의 행위를 추정할 수 있는 퍼미션이 3개 모두 동일하다.
[그림 4] AndroidManifest.xml 정보
Dex 파일의 소스 코드를 확인해보면, 전화번호와 통신망 사업자 정보를 수집하여 특정 서버로 전송하는 코드가 존재한다.
[그림 5] 전화번호, 통신망 사업자 정보를 수집하는 코드 중 일부
SMSService 클래스에는 아래와 같은 미리 정의된 번호로 수신될 경우, 해당 SMS를 외부서버(50.18.59.8)로 유출하는 코드가 존재한다.
애플리케이션에 따라 외부서버의 주소는 각각 다르다.
Spam Guard : 54.243.187.198
Stop phishing : 50.18.59.185
[그림 6] 미리 정의된 SMS 수신번호
위 3개의 악성 애플리케이션 내부에는 자사의 상징적인 이미지와 통신사(KT, SK), 그리고 골프와 관련된 아이콘이 포함되어 있다. 향후 악성 애플리케이션을 추가 제작하려는 의도가 있을 것으로 추정된다.
[그림 7] 애플리케이션 내부에 포함된 아이콘 이미지 파일
V3 모바일 제품에서는 아래와 같이 진단이 가능하다.
<V3 제품군의 진단명>
Android-Trojan/Chest
'악성코드 정보' 카테고리의 다른 글
국방 관련 내용의 0-Day 취약점 악용 한글 파일 (0) | 2012.11.26 |
---|---|
스마트 청구서로 위장한 안드로이드 악성 앱 (0) | 2012.11.22 |
ASEC 보안 위협 동향 리포트 2012 Vol.33 발간 (1) | 2012.11.07 |
해커 그룹 어나니머스를 사칭한 랜섬웨어 발견 (0) | 2012.11.06 |
이미지 파일들을 탈취하는 악성코드 발견 (0) | 2012.11.05 |
댓글