본문 바로가기

V3 mobile25

[주의] 통화 및 SMS송수신 내역을 감시하는 안드로이드 악성코드 GoldDream 등장 1. 개 요 안드로이드 게임. "FastRacing" 으로 위장하여, 설치시 사용자폰의 SMS 발신/수신 내역, 전화통화기록 등을 사용자 모르게 감시하고, 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었다.  해당 악성코드는 "GoldDream" 이라 불리우며, '정상적인 게임'에 악의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓에서 유포된 것이 해외 유명대학의 연구팀에 의해 밝혀져 관련 소식이 전해지게 되었다. "GoldDream" 은 또한 사용자폰을 감시하는 기능 이외에 C&C서버를 통해 스마트폰에 특정 명령을 내릴 수있는 bot 기능도 포함되어 있는데, 이는 "GoldDream"에서 최초로 발견된 기능은 아니며 "DroidKungFu" 나 이전의 다른 안드로이드 악성코드에서도 보여.. 2011. 7. 7.
스마트폰을 좀비화시키는 DroidKungFu 악성코드 등장. 1. 개 요 안드로이드폰을 강제루팅 후 권한을 탈취하여 좀비화시키는 악성코드가 또 다시 발견되었다. 해당 악성코드는 'DroidKungFu' 라 불리며, 이전 DroidDream 악성코드와 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로서 악성코드가 계속 진화하고 있다는 것을 증명하고 있다. 본 포스트를 통해 악성코드가 어떻게 진화하였는지 알아보자. 2. 분 석 유포 경로 'DroidKungFu' 악성코드는 정상 앱을 리패키징(re-package) 하여 유포되며, 중국 내 몇몇의 App Market 과 forum 들에서 유포되었다. 그림. 악성 어플 정보 수집 해당 악성코드가 설치되면, 먼저 doSearchReport() -> updateInfo() 함수를 통해 스마트폰의 다양한.. 2011. 6. 7.
중국 QQ 게임을 리패키징한 안드로이드 악성 앱 Android-Trojan/DropAnserver 1. 개요 중국에서 유명한 QQ 관련, 게임을 리패키징한 안드로이드 모바일 악성코드가 발견되었다. 이번 악성 앱의 큰 특징은 추가 악성 앱을 설치하여, 악의적인 행위를 한다. 2. 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행화면 3. 특징 QQ 게임을 리패키징 한 악성 앱을 설치할 경우, busybox 의 압축을 해제하여, 악의적인 ELF 파일을 생성하고 anserverb 를 "xxx.apk" 로 변경하여 악성 앱 설치를 시도한다. busybox 는 압축된 파일. [그림3] 악성 앱(apk)를 압축해제 후 파일 구성 화면 1) 앱 설치시 다음과 같은 권한을 요구한다. - Android 1.5 이상에서 설치가능. - SD카드 콘텐츠 수정/삭제. - 인터넷에 최대한 액세스 가능. - 휴대전화 상태 및 .. 2011. 6. 3.
정상앱을 위장한 악성어플. DroidDream 귀환 1. 개 요 정상앱에 악성코드를 심어 안드로이드마켓에 재배포하여 사용자들을 감염시켰던 DroidDream 악성코드가 다시 발견되었다고 해외벤더사에 의해 밝혀져 관련 내용을 공유한다. [그림1. 악성앱 Sexy Legs] 이전 DroidDream 분석정보 안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의 http://core.ahnlab.com/259 * 유포경로 DroidDream 악성앱은 Google Android Market 에서 배포되었으며, 현재는 마켓에서 퇴출당해 다운받을 수 없는 상태이다. 현재까지 파악된 개발자이름별 악성앱들의 목록은 아래와 같다. Magic Photo Studio Sexy Girls: Hot Japanese Sexy Legs HOT Girls 4 B.. 2011. 6. 1.
Android-AppCare/KidLogger 개요 안드로이드 모바일 유해가능 프로그램 KidLogger 에 관한 정보 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행 화면 특징 [그림3] 권한 정보 상세정보 - Platform Android 2.2 이상에서 설치가 가능하다. - 사용자의 행위 정보를 저장한다. 통화 목록 문자 웹사이트 방문 기록 위 정보 외에도 다수의 정보를 로그로 남기거나 서버로 전송한다. [그림4] manifest 정보 [그림5] classes.dex 정보 [그림6] 저장된 로그 화면 진단정보 [그림7] V3 Mobile 2.0 진단 화면 Android-AppCare/KidLogger | 2011.05.09.00 1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다 2) 출처가 명확하지 않은(블랙마켓 등을 통한.. 2011. 5. 11.
Android-Spyware/MinServ 1. 중국의 서드파티 마켓을 통해 배포되는 악성 어플리케이션 정보 [그림1] 응용프로그램 관리 [그림4] App 의 Manifest 내용 2. V3 Mobile 진단 정보 [그림5] V3 moblie 진단화면 Android-Spyware/MinServ # 엔진버젼: 2011.03.15.00 3. 예방방법 1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다. 2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다. 3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함. : D 2011. 3. 16.
안드로이드폰의 개인 정보를 가로채는 악성앱, "Pjapps" 변종 발견 1. 서 론 안드로이드폰 사용자의 개인 정보를 가로채는 악성앱, "Pjapps" 변종이 발견되어 관련 내용 공유합니다. 2. 악성코드 분석 정보 Pjapps 는 이전에 소개드렸던 geimini / ADRD 악성코드와 마찬가지로 정상 App 을 변조 후 리패키징하여, 블랙마켓 등의 3rd party 마켓을 통해 유포되는 악성코드입니다. 이번 변종의 경우 "중국의 눈" 이라 불리는 중국 곳곳의 CCTV를 확인할 수 있는 App 이 변조된 형태로 발견되었습니다. 변조된 App 의 경우, 설치시 기존 정상 App 에 비해 과도한 제어 권한을 요구하는 특징이 있습니다. Pjapps 악성코드가 설치될 경우 아래와 같은 동작을 하게 됩니다. 문자메시지(sms) 읽기(유출) 및 보내기 가능 핸드폰 IMEI/IMSI ,.. 2011. 2. 20.
새로운 안드로이드 트로이목마, ADRD 주의 1. 서 론 해외에서 사용자 정보를 탈취하는 신종 안드로이드 악성코드가 발견되어 관련 내용을 전해드립니다. 2. 악성코드 유포 방법 및 증상 일명 ADRD 라 불리는 해당 악성코드는 "Geimini" 악성코드와 비슷하게 정상 App 에 악성코드를 심어 리패키징 되는 형태로 유포되고 있습니다. 리패키징되는 App 은 S사의 wallpaper 관련 App을 타제품에서도 쓸수 있게끔 포팅한 App으로 개인에 의해 제작된 App입니다. [그림 1. Dandelion Live Wallpaper] [그림 2. 변조 후 요구되는 시스템 권한] 변조된 App 은 설치시 원래 App의 기능을 수행하면서, 백그라운드로 아래의 동작을 겸합니다. - 특정 URL로 접근 adrd.zt.cw.4 adrd.xiaxiab.com/p.. 2011. 2. 15.