게임어플리케이션 으로 위장하여 사용자정보를 가로채는 악성 안드로이드앱 주의!

1. 서론
중국에서 정상 App 으로 위장한 안드로이드 악성코드가 발견되어 관련내용을 공유합니다.

                                     [그림1] 악성코드가 포함된, 변조 상태의 'monkey jump'

2. 악성코드 유포 방법 및 영향

1) 악성코드 유포방법

중국의 써드파티 안드로이드 마켓에서 최초로 발견되었으며, 이 악성 app 은 'monkey jump' 등 원본 게임의 소스에 악성코드를 추가하여 수정한 후, 다시 패키징하여 마켓에 배포하는 방식을 사용합니다.

이와 같이 변조된 app 은 아래 그림과 같이 app 을 다운받아설치시 요구되는 권한갯수가 매우 증가하나, 사용자들이 눈치채지 못하고 설치할 확률이 높습니다.

- 원본 app 의 요구 권한

android.permission.INTERNET
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.VIBRATE

- 변조된 app 의 요구 권한

android.permission.INTERNET
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.VIBRATE
com.android.launcher.permission.INSTALL_SHORTCUT
android.permission.ACCESS_FINE_LOCATION
android.permission.CALL_PHONE
android.permission.MOUNT_UNMOUNT_FILESYSTEMS
android.permission.READ_CONTACTS
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.WRITE_CONTACTS
android.permission.WRITE_EXTERNAL_STORAGE
com.android.browser.permission.READ_HISTORY_BOOKMARKS
com.android.browser.permission.WRITE_HISTORY_BOOKMARKS
android.permission.ACCESS_GPS
android.permission.ACCESS_LOCATION
android.permission.RESTART_PACKAGES
android.permission.RECEIVE_SMS
android.permission.WRITE_SMS

[그림 2] 변조된 app 의 요구 권한

 

2) 악성코드가 끼치는 영향

이 악성 app 을 설치되면, 아래와 같은 도메인으로 지속적으로 연결을 시도합니다.

                                       [그림 3] 접속 시도하는 domain

또한 해당 도메인을 통하여, 유출될 수 있는 정보는 아래와 같습니다.

내부에 설치된 어플리케이션 정보

실행중인 어플리케이션 정보

연결된 네트워크 정보(ip 등)

sim 정보(단말기정보), 폰 번호

SMS 송수신 정보

연락처 정보

인터넷 사용 정보

사용자 위치(GPS) 정보

 

3. 진단 현황

현재 V3 mobile 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다. 

진단명 : Android-Spyware/Geimini

엔진버전 : 2010.12.31.00

4. 예방 방법
 

1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2) 출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.