1. 개 요
전 세계적인 인기를 누리고 있는 안드로이드 스마트 폰용 게임인 "앵그리 버드 리오(Angry Birds Rio) Unlocker 프로그램 파일에서 안드로이드용 악성파일이 발견"되어 스마트폰 게임 사용자들의 각별한 주의가 요망된다. "잉카인터넷 대응팀에서는 거의 매일 새로운 외산 악성 안드로이드 악성 파일을 수집, 대응하고 있을 정도로 양적으로도 크게 증가하고 있는 추세이다."앵그리 버드의 경우 국내에도 게임 사용자가 많고, 언락 프로그램도 인터넷 커뮤니티 등에서 공공연하게 공유가 이루어지고 있어 안드로이드 폰 사용자들은 최신 스마트폰 백신을 통한 보안 강화가 절실히 요구된다.
※ Angry Birds 란?
국내에서도 선풍적인 열풍이 불고 있는 앵그리버드는 지난 2009년 아이폰용으로 처음 출신된 이래 전 세계적으로 약 7천 500만 건 이상, 매월 사용자 약 4천만 명 이상을 기록하고 있는 안드로이드 폰 최고의 인기게임이다.
게임의 내용은 자신의 알을 도둑맞은 성난 새들이 알을 훔쳐간 돼지들을 향해서 돌진, 격파한다는 심플한 내용이며, 앵그리 버드 시즌(Angry Birds Season), 앵그리 버드 리오(Angry Birds RIO) 등 후속 시리즈 등이 개발됐다.
SK 텔레콤의 경우 지난 5월 경 앵그리버드의 개발사인 핀란드의 로비오와 계약을 맺고 T스토어를 통해서 앵그리 버드, 앵그리버드 시즌, 앵그리버드 리오 등 앵그리버드의 전 시리즈를 무료로 서비스한다고 밝힌 바 있으며, LG전자 역시 로비오와 제휴를 맺고 앵그리버드 리오 게임 콘텐츠를 스마트 폰에 최초로 사전 탑재하고 다양한 마케팅을 펼치고 있다.
최근에 아래 내용처럼 안드로이드용 게임으로 위장한 악성 파일이 지속적으로 발견되고 있으므로, 컴퓨터용 악성파일 뿐만 아니라 안드로이드 스마트폰 용 악성 파일도 증가하고 있다는 것을 인식하고 보안 경각심을 가지는 것이 중요한 시기이다.
[주의]중국 PPXIU 게임으로 위장한 안드로이드용 악성 파일 발견
☞ http://erteam.nprotect.com/167
[주의]중국 안드로이드 QQ 게임으로 위장한 악성 어플 발견
☞ http://erteam.nprotect.com/165
☞ http://erteam.nprotect.com/167
[주의]중국 안드로이드 QQ 게임으로 위장한 악성 어플 발견
☞ http://erteam.nprotect.com/165
2. 유포 경로 및 감염 증상
■ 앵그리 버드 리오 언락 파일처럼 위장한 악성 파일
이번에 발견된 안드로이드용 악성파일은 Angry Birds Rio Unlocker 파일처럼 위장한 형태로 발견되었으며, 설치되는 과정은 다음과 같다.
설치가 완료되면 다음과 같은 아이콘이 생성되고, 실행이 되면 Angry Bird Rio 가 설치되어 있지 않은 상태에서 "Game not found" 라는 안내 문구가 보여진다.
Angry Bird Rio 게임이 설치되어 있는 경우에는 다음과 같은 Unlocker 기능이 정상적으로 수행된다.
악성 파일은 Unlock 기능이 수행되면서 백그라운드로 악의적으로 필요한 서비스를 실행하며, Device ID, SDK 버전 등과 같은 정보를 탈취하여 Remote Server 로 전송을 시도하며, 또 다른 악성 어플 등을 설치할 수 있는 것으로 추정되며, 정밀 분석을 진행 중에 있다.
Unlock 기능은 정상적으로 수행이 가능하기 때문에 사용자들은 악의적인 기능이 몰래 수행되는 것을 인지하기 어렵다. 아래 화면은 Unlocker 기능이 수행된 후 실제 게임의 화면이며, 미션 잠금 기능이 정상적으로 해제된 것을 확인할 수 있다.
nProtect Mobile for ANDROID 제품에서는 Trojan-Spy/Android.FakeABRUnlocker.A 라는 진단명으로 탐지된다. 또한, 버전이 다른 앱을 조작하여 만든 악성 변종 샘플도 추가로 발견하였고, 잉카인터넷 안드로이드 보안 제품에서는 동일한 진단명으로 진단하고 있다.
3. 예방 조치 방법
일반 사용자들은 아래의 "스마트폰 보안 관리 수칙"을 준수하는 등 스스로 관심과 주의를 기울이는 것이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
[주의]Flash Player 등으로 위장한 안드로이드용 악성파일 발견 (0) | 2011.06.17 |
---|---|
[자료]Hello Kitty 바탕화면 어플로 위장된 안드로이드 악성 파일 (0) | 2011.06.16 |
[주의]중국 PPXIU 게임으로 위장한 안드로이드용 악성 파일 발견 (0) | 2011.06.10 |
[주의] 중국 안드로이드 QQ 게임으로 위장한 악성 어플 발견 (0) | 2011.06.07 |
[주의]해외 금융 보안 제품으로 위장한 안드로이드용 악성 파일 발견 (0) | 2011.06.02 |