분석 정보/모바일 분석 정보

[자료]Hello Kitty 바탕화면 어플로 위장된 안드로이드 악성 파일

TACHYON & ISARC 2011. 6. 16. 15:43
1. 개 요


2011년 3월경 해외에서 발견된 것으로 기존에 분석된 내용을 정리해 본다. 이 것은 정상 Wallpaper 어플에 악성 기능을 추가해 재피키징한 형태이다. 해당 악성 어플리케이션은 예전에 언급한 "ADRD로 알려진 악성 어플리케이션"의 변종이며 대부분의 Wallpaper 어플리케이션들이 그러하듯 설치 후 별도의 아이콘 없이 사용자의 스마트폰에 존재하게 된다. 이러한 경우 사용자들은 자신의 스마트폰이 악성 어플리케이션에 의해 어떤 기능들이 동작하고 있는지 알 수 없는 상태가 되므로 피해 발생 상태에 대해서도 인지하지 못하게될 수 있다.

  


[새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요]

http://erteam.nprotect.com/122

2. 유포 경로 및 감염 증상

■ 정상 어플리케이션과 비교 분석

이와 같이 재피키징된 악성 어플리케이션의 경우 블랙 마켓, 3rd party 마켓을 중심으로 유포가 이루어지고 있으며, 다운로드 후 설치 시 아래의 그림과 같은 권한 요구 화면을 보여주게 된다.


아래의 그림은 요구 권한에 대한 선언 부분이다.


※ 권한 설명

 ㄱ. android.permission.WRITE_APN_SETTINGS
      - APN 설정을 위한 권한
 ㄴ. android.permission.RECEIVE_BOOT_COMPLETED
      - 재부팅 후 실행 등 백그라운드 동작을 위한 권한
 ㄷ. android.permission.ACCESS_NETWORK_STATE
      - 네트워크 접근을 위한 권한, 백그라운드 동작 시 사용 가능
 ㄹ. android.permission.READ_PHONE_STATE
      - 스마트폰 단말기 정보 획득을 위한 권한
 ㅁ. android.permission.WRITE_EXTERNAL_STORAGE
      - SD카드에 정보 입력 등을 위한 권한
 ㅂ. android.permission.INTERNET
      - 인터넷 사용을 위한 권한
 ㅅ. android.permission.MODIFY_PHONE_STATE
      - 스마트폰 단말기 정보 수정 등을 위한 권한

해당 악성 어플리케이션은 최소 동작 조건으로 안드로이드 플렛폼 2.1 버전을 요구하고 있으며, 설치 후 별도의 실행 아이콘을 가지고 있지 않는다. 또한, 재패키징 이전의 정상 어플리케이션의 경우 아래의 그림과 같이 별도의 권한 요구를 하지 않는다.


다만, "응용 프로그램" 메뉴로 이동하면 해당 Wallpaper 어플리케이션에 대한 아이콘을 별도로 확인할 수 있는데 정상, 악성 어플리케이션 모두 동일한 아이콘을 사용하고 있다.
  

  

아래의 그림은 해당 어플리케이션이 가지고 있는 정상 코드와 악성 코드 간의 구분 자료이다. 재피키징을 통해 삽입된 전체적인 악성 코드 부분에 대한 확인이 가능하다.

 


■ 상세 증상 분석

다운로드 및 설치가 완료되면 해당 악성 어플리케이션은 아래의 코드를 통해 IMEI, IMSI 정보를 탈취하는 동작을 하게 된다.


또한, 위와 같이 수집된 정보는 주기적으로 AlarmManager를 통해 아래와 같은 외부 사이트로 전송되는 것으로 확인되고 있다.


현재 추가적인 C&C서버 접속 등의 증상은 추가적인 분석작업이 진행되고 있으니 확인 사항에 대해서는 추후 갱신하여 제공할 수 있도록 하겠다.

해당 악성 어플리케이션은 ADRD로 알려진 기존의 악성 어플리케이션과 추가적인 파일 다운로드 시도 부분에서 차이가 있는데 위에서 설명한 외부 접속 사이트 URL 및 특정 변수 값 등을 참조해 DES 알고리즘을 통한 변환값 참조 후 파일 다운로드 시도 부분이 바로 그것이다. 아래의 그림은 DES 알고리즘을 이용한 암호화 관련 코드 부분의 일부이다.


또한, 해당 악성 어플리케이션에는 CMWAP, UNIWAP 설정 및 체크 관련 코드를 통한 APN 설정 부분이 존재하며, 이를 통해 중국 사용자를 대상으로 제작되었음이 추정 가능하다. 아래의 그림은 CMWAP, UNIWAP 설정 및 체크와 관련 코드의 일부이다.


위와 같은 악성 기능들은 모두 특정 권한 및 코드 등을 통해 스마트폰 시스템 백그라운드 상태에서 동작되며, 스마트폰 부팅시 마다 동작이 가능하도록 구성되어 있다. 아래의 그림은 해당 악성 어플리케이션 및 정상 어플리케이션에서 제공하는 정상 Wallpaper화면이다.


3. 예방 조치 방법

최근 유포되고 있는 악성 어플리케이션의 경우 "재패키징", "2중 패키징", "루팅 시도" 등 다양한 기법을 통해 스마트폰의 감염 유발을 시도하고 있다. 또한, 위에서 설명한 악성 어플리케이션과 같이 설치 후 아이콘이 존재하지 않는 경우도 대다수다. 이러한 경우 전문가가 아닌 일반 사용자의 경우 자신의 스마트폰에 어떠한 어플리케이션들이 설치되어 있는지, 그중에 악성 어플리케이션이 자신도 모르게 존재하고 있지는 않은지 등 스마트폰 상태에 대한 확인이 매우 여러운 것이 사실이다.

[nProtect Mobile for Android 진단 현황]

Trojan-Spy/Android.ADRD.D


위와 같은 악성 어플리케이션 등의 보안 위협으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.