사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의

1. 개 요

2010년 11월 경 구글의 안드로이드(Android) 운영체제를 사용하는 스마트 폰 사용자를 겨냥한 일명 "Geinimi" 라는 진단명의 모바일 형 악성 파일이 해외에서 보고되기 시작하였다. 기존의 안드로이드용 악성파일과 다르게 정상 프로그램에 악성파일을 재패키징하여 유포하는 기법을 사용한 것으로 알려져 있어, 사용자로 하여금 정상 프로그램으로 오인하도록 만든 것이 매우 특징적이다. 이에 잉카인터넷 대응팀에서는 관련 악성 파일 샘플을 수집하여 관련 정보를 제공한다.

[中 '강력한' 안드로이드폰 바이러스 확산 - 아시아 경제]
출처 : http://www.asiae.co.kr/news/view.htm?idxno=2010123111233716892

[안드로이드폰 노린 트로이목마 '현실로' - zdnet]
출처 : http://www.zdnet.co.kr/Contents/2010/12/30/zdnet20101230175422.htm

[Geinimi Android Trojan appears in China ready to steal your data]
출처 : http://www.geek.com/articles/chips/geinimi-android-trojan-appears-in-china-ready-to-steal-your-data-20101230/

"Geinimi" 라는 진단명의 이 악성파일은 합법적인 게임 프로그램으로 위장해 안드로이드폰 사용자가 정상 프로그램처럼 신뢰하도록 만든 뒤 다운로드 및 설치를 하도록 유도하고 있어, 각별한 주의가 필요하다.

변조에 사용된 정상 프로그램들은 다음과 같다.

• Monkey Jump 2
• Sex Positions
• President vs. Aliens
• City Defense
• Baseball Superstars 2010

일부 화면 모자이크 처리

1-1. 스마트폰을 이용한 악성파일 유포 사례 관련 정보

그동안 안드로이드용 스마트폰을 타겟으로 한 악성 파일 유포 사례는 다음과 같이 매우 다양해 지고 있다는 점을 알 수 있고, 앞으로도 잠재적인 보안 위협으로 대두될 것으로 전망된다.
 

[스마트폰 GPS 기능은 양날의 칼과 같다]
출처 : http://erteam.nprotect.com/25

[안드로이드용 모바일 악성프로그램 FakePlayer 변종 출현!]
출처 : http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=99&page=&field=&field_value=

[안드로이드용 악성파일 러시아 보고 (Fake Porn Player)]
출처 : http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=96&page=&field=&field_value=

[Android 용 스마트 폰 악성코드에 대한 최근 이슈 정리]
출처 : http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=95&page=1&field=&field_value=

2. 유포 및 감염 과정

현재까지 안드로이드용 악성 파일은 대부분 공식 안드로이드 마켓이 아닌 제 3자(Third Party)가 운영하는 경로 등을 통하여 배포가 이루어지는 경우가 많다는 점이 주목된다. 이번 악성파일의 경우는 정상적인 게임 프로그램에 악의적인 코드를 고의적으로 추가하여 마치 정상적인 프로그램처럼 위장하는 방식을 사용한 것이 특징적이고, 이 때문에 사용자가 악성 파일이라고 판단하기 어려울 수 있다.

2-1 설치 과정 및 수행 권한

설치 과정에 다음과 같은 수행 권한 부여 여부를 보여주며, 정상 게임 권한과 악성 파일의 권한을 모두 포함하고 있어서 요구 권한이 많다는 점을 알 수 있다.

▶ Monkey Jump 2 로 위장한 형태

▶ Sex Positions 으로 위장한 형태

3. 감염 증상

 감염된 스마트폰은 수분 간격으로 단말기의 위치 정보, IMEI, IMSI 등의 정보를 외부로 유출 시도하는 것으로 알려져 있고, 원격지의 명령을 통해서 전화를 발신하거나 문자메시지 등을 발송하는 등의 명령도 수행이 가능한 것으로 보고되고 있다. 또한, 다양한 웹 사이트로 접속을 시도하는데 이 과정에서 원격 서버(C&C)의 또 다른 명령 수신이 가능할 것으로 예측하고 있다. 잉카인터넷 대응팀에서는 이에 대한 상세 정밀 분석을 진행 중에 있다.

4. 예방 조치 방법

모바일 애플리케이션을 설치할 때는 이용약관 등을 꼼꼼히 살펴본 이후 설치 하도록 하며 안드로이드 공식 마켓을 통하여 여러 사용자들로 부터 신뢰성이 입증되어진 프로그램을 선택적으로 다운로드 하여 사용할 수 있도록 한다.

[모바일 기기 보안 및 관리 안전 수칙]

1. 스마트폰에 보안 소프트웨어를 설치하도록 한다.
2. 출처가 불분명한 앱에 대해서는 다운로드 및 설치를 자제하도록 한다.
3. 모바일 기기에 저장되어진 데이터는 반드시 암호화 한다.
4. 모바일 기기의 보호를 위하여 비밀번호를 설정하도록 한다.
5. GPS 및 Bluetooth 와 같은 기능은 사용하지 않을 경우 비활성화한다.
6. 신뢰할 수 없는 이메일 또는 출처가 의심스러운 SMS에 대해서는 가급적 열람을 자제하도록 한다.
7. 모바일 기기가 아닌 정보보호에 초점을 맞추도록 한다.
8. SNS 서비스 등에서 제공되는 단축URL 등에 접근시 주의를 기울인다.

nProtect Mobile for ANDROID 스마트폰 보안 솔루션에서는 현재까지 보고되어진 안드로이드용 악성프로그램에 대해서 진단/치료 기능을 제공하고 있으며, 차세대 스마트폰을 겨냥한 모바일 보안위협으로 부터 상시 대응체계를 변함없이 유지하고 있다.

http://www.nprotect.com/v7/b2c/sub.html?mode=android

nProtect Mobile for ANDROID 최신 버전으로 다음과 같이 해당 악성파일에 대한 진단/치료가 가능합니다.