본문 바로가기
악성코드 정보

다양한 기능을 가진 안드로이드 악성코드(IRC Bot & SMS Send & Root Exploit)

by DH, L@@ 2012. 1. 22.


1. 악의적인 다양한 기능이 포함된 안드로이드 악성 어플리케이션


 최근 안드로이드 악성코드는, Windows 기반의 악성코드의 진화과정을 빠르게 닮아가고 있다.
단순한 정보 유출 어플리케이션에서 부터, Root Exploit, SMS 과금형, 허위 안드로이드 백신 어플리케이션, 그리고 2가지 이상의 기능이 합쳐진 형태의 악성 어플리케이션 등, 날이 갈수록 그 수량이 급격히 증가/발전하고 있다.

 이번 포스팅에서 여러가지 기능이 포함된 안드로이드 악성 어플리케이션을 살펴보자.


2. MADDEN NFL 12 로 위장된 악성 어플리케이션




 MADDEN NFL 12 게임으로 위장한 Foncy 악성코드가 발견되었다. 

 해당 악성코드는 IRC 채널에 접속하여 원격 제어가 가능한 Bot 기능을 수행하며, 해당 어플리케이션으로 인하여 추가 생성된 어플리케이션이 동작할 경우, SMS 를 발송하며 이로 인한 과금이 발생 한다.



- 악성 어플리케이션 설치 후 실행 화면

 

[그림] 악성 어플리케이션 아이콘 / 실행 화면


- 설치 이후, 사용자도 모르게 추가 설치되는 악성 어플리케이션

[그림] 설치된 악성 어플리케이션


- 각 어플리케이션 권한 정보

[그림] 사용자가 설치한 어플리케이션의 권한 정보



[그림] 사용자 모르게 추가 설치된 어플리케이션의 권한 정보



3. 상세 정보


- 악성 어플리케이션 APK 파일의 내부 assets 파일 구성 이다.
- png 확장자로 위장한 파일이지만, 파일 형태를 보면 추가 설치되는 apk 파일임을 알 수 있다.
- 각 파일의 기능은 아래와 같다.
header01.png : root exploit
footer01.png : IRC Bot
border01.png : SMS Send

[그림] assets 파일 구성



[그림] border01.png 파일 형태


- border01.png 파일 구성을 보면, 추가설치되는 apk 파일임을 알 수 있다.


[그림] border01.png 파일 구성


4. 코드 분석(1) 사용자가 설치한 어플리케이션(Dropper)


- Android OS 2.2 버전 이상에서 설치 가능함을 알 수 있으며, 사용 권한 정보를 알 수 있다.

[그림] 사용자가 설치한 어플리케이션의 MANIFEST 정보


- Dropper 기능(악성 어플리케이션이 또 다른 추가 어플리케이션을 설치할 수 있는 기능)
- /data/data/com.android.bot/files 디렉토리를 만들고, 읽고 쓰고 실행할 수 있는 모든 권한(777)을 부여한다.

- header01.png, footer01.png, border01.png 파일을 해당 디렉토리에 추출하고, 실행한다.
- 마지막 라인의 "Not registred application on the screen."코드는 어플리케이션이 실행되었을 때 나타나는 문구이다.

[그림] AndroidBotAcitivity 클래스 코드 일부


5. 코드 분석(2) 사용자 모르게 추가 설치된 어플리케이션(Background install)

- Android OS 2.2 버전 이상에서 설치 가능함을 알 수 있으며, 사용 권한 정보를 알 수 있다.

[그림] 추가 설치된 악성 어플리케이션의 MANIFEST 정보

- 81083, 3075, 64747 등의 프리미엄 번호로 수신되는 SMS 를 숨긴다. (사용자가 알 수 없도록 하기 위해)
- 프리미엄 요금 번호로 수신되는 모든 메시지와 번호를 특정서버(http://46.166.x.x)로 보낸다.

[그림] SMSReceiver 클래스 코드 일부


- 각 국가별 프리미엄 번호가 존재한다.
번호 국가코드 국가명
81083
FR
프랑스 France
3075
BE
벨기에 Belgium
543
CH
스위스 Switzerland
64747
LU
룩셈부르크 Luxembourg
60999
CA
캐나다 Canada
63000
DE
독일 Germany
35024
ES
스페인 Spain
60999
GB
영국 United Kingdom
2052
MA
모로코Morocco
7604
SL
시에라 리온 Sierra Leone
1339
RO
루마니아 Romania
2227
NO
노르웨이 Norway
72225
SE
스웨덴 Sweden
23333
US
미국 United States of America
[표] AndroidMeActivity 클래스에 코딩된 국가별 코드 및 프리미엄 SMS 번호


[그림] AndroidMeActivity 클래스 코드 일부

- 과거 버전과 비교하여, 국가가 늘어났으며, 캐나다의 str 코딩 실수가 바로 잡혔다.
- 과거 변종 악성 어플리케이션 정보(http://asec.ahnlab.com/744)

[그림] AndroidMeActivity 클래스 코드 일부


- footer01.png 파일의 IRC Bot 기능
ELF 형태의 파일로 구성되어 있다.

[그림] footer01.png 파일 정보



- 감염된 안드로이드 스마트폰은 199.68.x,x 의 #andros 채널로 부터 명령을 받을 수 있다.
- 변종에 따라 IRC 서버주소는 다르게 구성되어 있다.

[그림] IRC 서버 및 채널 접속 정보



6. 진단 현황



위 악성 어플리케이션과 변종은 V3 mobile 제품으로 치료 가능하다.

Android-Trojan/Foncy




7. 스마트폰 안전수칙




아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

댓글