본문 바로가기

안드로이드

중국 QQ 게임을 리패키징한 안드로이드 악성 앱 Android-Trojan/DropAnserver 1. 개요 중국에서 유명한 QQ 관련, 게임을 리패키징한 안드로이드 모바일 악성코드가 발견되었다. 이번 악성 앱의 큰 특징은 추가 악성 앱을 설치하여, 악의적인 행위를 한다. 2. 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행화면 3. 특징 QQ 게임을 리패키징 한 악성 앱을 설치할 경우, busybox 의 압축을 해제하여, 악의적인 ELF 파일을 생성하고 anserverb 를 "xxx.apk" 로 변경하여 악성 앱 설치를 시도한다. busybox 는 압축된 파일. [그림3] 악성 앱(apk)를 압축해제 후 파일 구성 화면 1) 앱 설치시 다음과 같은 권한을 요구한다. - Android 1.5 이상에서 설치가능. - SD카드 콘텐츠 수정/삭제. - 인터넷에 최대한 액세스 가능. - 휴대전화 상태 및 ..
구글 안드로이드마켓에서 퇴출된 sms trojan 'zsone' 1.개 요 최근 트로이목마성 어플리케이션으로 밝혀지면서, 구글 안드로이드마켓에서 퇴출당한 'zsone' 악성코드가 알려지게 되었다. 안드로이드 플랫폼에서의 보안위협에 계속 노출되고 있는 사용자들은 이제 더이상 구글이 운영하는 안드로이드 마켓조차 믿고 이용할 수 없다는 국제적 여론도 형성되고 있는 상황이다. 진화하는 모바일 보안위협에 대응하고자 발견된 악성코드에 대해 분석 및 정리하는 시간을 갖도록 하겠다. 2.분 석 Why "zsone"? zsone이란 별칭을 갖게된 이유는 안드로이드마켓에 해당 악성앱을 등록한 개발자 ID가 zsone 이였기 때문이다. 구글 안드로이드마켓에 zsone 으로 등록되어있는 앱은 총 13개이고, 그 중 10개의 앱에 악성행위를 하는 코드(사용자 몰래 특정번호로 SMS전송)가 ..
Android-AppCare/KidLogger 개요 안드로이드 모바일 유해가능 프로그램 KidLogger 에 관한 정보 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행 화면 특징 [그림3] 권한 정보 상세정보 - Platform Android 2.2 이상에서 설치가 가능하다. - 사용자의 행위 정보를 저장한다. 통화 목록 문자 웹사이트 방문 기록 위 정보 외에도 다수의 정보를 로그로 남기거나 서버로 전송한다. [그림4] manifest 정보 [그림5] classes.dex 정보 [그림6] 저장된 로그 화면 진단정보 [그림7] V3 Mobile 2.0 진단 화면 Android-AppCare/KidLogger | 2011.05.09.00 1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다 2) 출처가 명확하지 않은(블랙마켓 등을 통한..
Android-Spyware/Licheck 개요 어플리케이션 설치시 안드로이드폰의 사용자 정보를 특정 서버로 유출 시키는 목적을 가진 악성앱이 추가로 발견되어 관련내용 공유드립니다. 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행 화면 특징 [그림3] 앱 설치 정보 / 권한 정보 상세 정보 - 폰의 주소록에 저장된 번호로 SMS 를 전송한다. - 특정 서버로 아래와 같은 사용자의 정보 유출을 시도한다. Phone numbers IMEI number Name [그림4] Manifest 정보 [그림5] classes.dex 의 SMS 전송 코드의 일부 [그림6] 특정 서버로 전송되는 정보의 일부 코드 [그림7] 악성 앱 관계도 진단 정보 [그림8] V3 진단화면 Android-Spyware/Licheck | 2011.04.01.00 1) 스마트폰 ..
Android-Spyware/MinServ 1. 중국의 서드파티 마켓을 통해 배포되는 악성 어플리케이션 정보 [그림1] 응용프로그램 관리 [그림4] App 의 Manifest 내용 2. V3 Mobile 진단 정보 [그림5] V3 moblie 진단화면 Android-Spyware/MinServ # 엔진버젼: 2011.03.15.00 3. 예방방법 1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다. 2) 출처가 명확하지 않은(블랙마켓 등을 통해 받은) 어플리케이션은 다운로드 및 설치를 자제한다. 3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장함. : D
안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망 1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다. 2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다. 발견 일시 8월 10일 9월 9일 10월 12일 아이콘 어플리케이션 명 MoviePlayer PornoPlayer PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다. and..
안드로이드폰 월페이퍼(배경화면) 앱에 포함된 사용자 개인정보 유출기능 주의요망 1. 서론 요즘 최고의 히트상품은 뭐니뭐니 해도 스마트폰 일 것 입니다.최근 안드로이드폰 월페이퍼 어플리케이션(App)에 포함된 사용자 개인정보 유출기능이 확인되어 주의가 요망되기에 내용을 포스팅 합니다. 2. 악성코드 정보 이번에 이슈가 되고 있는 악성 어플리케이션은 정상적인 월페이퍼 어플리케이션 내부에 사용자정보를 수집하고, 네트워크로 전달하는 기능이 들어 있습니다. 이렇게 정보가 수집되고 전달되는 부분에 대해서는 지속적으로 고민하고, 논의하여 현재의 스마트폰 환경에 적합한 기준을 수립할 예정입니다. 아래 화면은 실제 해당 악성 어플리케이션을 실행한 화면 입니다. [그림] 이번에 이슈가 되고 있는 악성 어플리케이션 3. 대응 현황 V3 Mobile에서는 앱의 구동과는 무관해 보이는 사용자 개인정보가 ..