본문 바로가기
악성코드 정보

SMS를 유출하는 ZitMo 안드로이드 악성코드 변형 발견

by 알 수 없는 사용자 2012. 8. 10.

금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다.


ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다.


2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드


현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "New ZitMo for Android and Blackberry"를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개하였다.


ASEC에서는 해당  새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행하였다.


이 번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 "SMS(Short Message Service) 송수신 권한"을 설치시 요구하게 된다.



그리고 설치가 완료되면 아래 이미지와 같이 "Zertifikat"라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게 된다. 해당 "Zertifikat"는 독일어로 증명서 또는 인증서를 의미한다.



해당 ZitMo 안드로이드 악성코드를 실행하게 되면 아래 이미지와 같은 독일어로 되어 있는 메시지가 나타나게 되며, 이는 "설치 성공, 정품 인증 코드는 7725486193 입니다."를 의미 한다.



설치가 완료되면 해당 ZitMo 안드로이드 악성코드는 안드로이드 스마트폰이 부팅하게 되면 자신의 아이콘을 숨기고, 감염된 안드로이드 스마트폰으로 송수신되는 모든 SMS들을 특정 휴대전화 번호로 전송하게 된다.


이러한 동작 기법으로 미루어 해당 ZitMo 안드로이드 악성코드는 유럽 지역에서 스마트폰을 이용한 뱅킹(Banking) 서비스 이용시에 사용자 인증을 위해 스마트폰과 휴대 전화로 뱅킹 인증 번호를 SMS로 전송한다는 점을 악용하여 감염된 안드로이드 폰에서 송수신한 뱅킹 인증 번호를 다른 휴대전화로 유출하는 것으로 분석 된다.


이번에 발견된 ZitMo 안드로이드 악성코드는 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo.M


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.


그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

댓글