분석 정보/모바일 분석 정보

새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요

TACHYON & ISARC 2011. 2. 15. 20:03

1. 개 요


최근 해외 보안 블로그를 통해 새로운 안드로이드용 모바일 트로이목마에 대한 보고가 있었다. 해당 트로이 목마는 정상 어플리케이션에 악의적 동작을 수행할 수 있는 악성코드를 삽입해 재 패키징하는 등 일전에 게재하였던 "Geinimi"와 유사한 제작 방법을 사용하는 것으로 알려졌다. 이 경우 블랙마켓 등을 통해 어플리케이션을 다운로드하는 사용자들을 중심으로 쉽게 해당 악성 어플리케이션에 대한 다운로드 및 감염이 이루어질 수 있다.

[ 참고 : 사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의 ]
http://erteam.nprotect.com/98

[ 참고 : New Android Trojan "ADRD" Was Found in the Wild by Aegislab ]
http://blog.aegislab.com/index.php?op=ViewArticle&articleId=75&blogId=1

[ 참고 : Samsung Galaxy S live wallpapers hacked onto other phones ]
http://www.androidcentral.com/samsung-galaxy-s-live-wallpapers-hacked-nexus-one

2. 감염 경로 및 증상

국내 제조사의 스마트 폰을 통해 제공되는 정상 어플리케이션(Dandelion Live Wallpaper)을 대상으로 변조를 위해 악의적 목적을 가지는 악성코드를 포함해서 재 패키징 과정을 거친 후 블랙마켓 등을 통해 유포되고 있다. 해당 악성 어플리케이션은 "ADRD"라고 명명되고 있으며, 설치 후 특별한 아이콘은 보이지 않는다.

※ 정상 어플리케이션(Dandelion Live Wallpaper) 다운로드 경로

  - http://www.livewallpapers.org/dandelion-424/

해당 악성 어플리케이션은 아래의 그림과 같이 정상 어플리케이션과 동일한 Wallpaper 디스플레이를 가지고 있다.


아래는 악성과 정상 어플리케이션의 설치화면에 대한 비교 그림이다.

             <악성 어플리케이션 설치 시 권한 부여 화면>              <정상 어플리케이션 설치 시 권한 부여 화면>

위 그림을 살펴보면 악성과 정상 어플리케이션 간 "개인정보"를 제외한 나머지 권한 부분에서 차이를 보이고 있다. 또한, 아래의 그림에서는 악성과 정상 어플리케이션 간 설치 후 사이즈의 차이점을 확인할 수 있다.

                <악성 어플리케이션 설치 후 사이즈 화면>                 <정상 어플리케이션 설치 후 사이즈 화면>

해당 악성 어플리케이션에 감염되면 아래와 같은 감염 증상을 보이는 것으로 알려졌다.

※ 감염 증상

  ㉠ 원격지에서의 명령 전달
  ㉡ 감염 스마트 폰 단말기에서 IMEI/IMSI 정보 수집
  ㉢ 특정 사이트에 대한 접근 등을 수행
     - http://adrd.zt.cw.4
     - http://adrd.xiaxiab.com/pic.aspx
     - http://adrd.taxuan.net/index.aspx

※ IMEI (International Mobile Equipment Identity)
  - 단말 제조사, 모델, 시리얼 넘버 등 단말기의 고유 정보를 담고 있다.

※ IMSI (International Mobile Subscrilber Identity)
  - USIM에 내장되어 있으며, 이동통신사 가입자의 개인 식별 정보를 담고 있다.

3. 예방 조치 방법

많은 스마트 폰 사용자들은 각자 다양한 어플리케이션들을 손쉽게 설치하고 사용한다. 이렇게 편리하고 다양한 어플리케이션들이 생산되면서 정보 탈취 등의 악의적인 목적을 지닌 어플리케이션 또한 우후죽순으로 제작되고 있다. 최근 손쉽게 업로드하고 다운로드가 가능한 블랙마켓 등을 통해 이러한 악성 어플리케이션 유포 사례가 늘어나고 있는 만큼 사용자들은 각자 보다 안전한 스마트 폰 사용을 위해 ▶신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 설치하여 최신 패턴 버전으로 업데이트해 사용하는 것과 동시에 ▶여러 사람들을 통해 검증된 어플리케이션에 대해 선별적으로 다운로드하는 등의 관심을 가지는 것이 무엇보다 중요하다.

※ 잉카인터넷 대응팀에서는 이러한 모바일 보안 위협에 대비하기 위해 24시간 지속적인 관제 대응체계를 유지하고 있으며, 아래의 그림과 같이 nProtect Mobile for ANDROID 제품군을 통해 해당 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있다.