구글 플레이 스토어에 스마트폰의 정보를 수집하는 애플리케이션이 등록되어 있었다. 이 애플리케이션을 제작한 DG-NET 제작자에 의하여 플레이 스토어에 등록된 3개의 애플리케이션은 모두 같은 기능이며 총 100만 이상의 다운로드를 기록하였다.
[그림1] 스마트폰의 정보를 수집하는 애플리케이션(구글 플레이 스토어)
[그림2] 같은 제작자에 의하여 등록된 애플리케이션
현재는 3개의 애플리케이션이 구글 플레이 스토어에서 삭제된 상태이다.
하지만, 아직도 서드 파티 마켓(3rd Party)에서는 다운로드가 가능하다.
[그림3] 서드 파티 마켓(3rd Party)에 등록된 애플리케이션
이외에도 같은 종류의 애플리케이션이 존재했다.
[그림4] 추가 애플리케이션
해당 애플리케이션을 설치하면 아래와 같은 아이콘이 생성된다.
(2개의 애플리케이션만 설치하였다.)
[그림5] 애플리케이션 아이콘
애플리케이션을 실행하면 아래와 같은 화면을 볼 수 있다.
[그림6] 애플리케이션 설치 후 실행화면
안드로이드 기반의 애플리케이션은 권한 정보를 확인함으로써, 행위를 예측할 수 있다. 권한 정보를 살펴보면 아래와 같다.
[그림7] 애플리케이션의 권한 정보
애플이케이션이 실행되면 아래의 정보를 수집하여 특정 서버로 전송한다.
-. 사용자의 이메일(구글) 주소
-. IMEI 정보
-. 위치 정보
-. 패키지명 정보
-. 이동통신사망 APN(Access Point Name) 정보
실제 네트워크 전송과정은 아래와 같다.
[그림8] 수집된 정보를 특정서버로 전송하는 과정
스마트폰 사용자는 구글 플레이 스토어에서 설치할 경우에도 다른 사용자의 평판과 애플리케이션의 권한 정보를 확인하여 설치하는 습관이 필요하다.
또한, 이와 유사한 기능을 하는 애플리케이션이 많기 때문에 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.
이러한 애플리케이션은 V3 Mobile 제품에서 GWalls 또는 Airpush 와 같은 형태로 진단하고 있다.
'악성코드 정보' 카테고리의 다른 글
신규 Java 0-day 공격. 국내 감염사례 발견 (0) | 2013.01.11 |
---|---|
스마트폰 소액결제 악성코드 주의!! (0) | 2013.01.11 |
인터넷 익스플로러 제로 데이 취약점(CVE-2012-4792) 악용 (0) | 2013.01.03 |
2012년 7대 보안 위협 트렌드 발표 (0) | 2012.12.28 |
연말 숙박 예약시 주의사항 (부킹닷컴 사칭 메일) (0) | 2012.12.28 |
댓글