[2012년 Vol.25] 모바일 악성코드 이슈
출처 : 안철수연구소

MADDEN NFL 12로 위장한 악성 애플리케이션

 

해당 악성코드는 IRC 채널에 접속하여 원격 제어가 가능한 Bot 기능을 수행하며, 해당 애플리케이션을 통해 추가로 생성된 애플리케이션이 동작하면 과금을 유발하는 SMS를 발송한다.

 


[그림 1-26] MADDEN NFL 12 게임으로 위장한 Foncy 악성코드

 

 


[그림 1-27] MADDEN NFL 12 게임으로 위장한 악성 애플리케이션 아이콘/실행 화면


 

 
[그림 1-28] 설치 이후, 사용자 모르게 추가 설치되는 악성 애플리케이션

 

 


[그림 1-29] 사용자가 설치한 애플리케이션의 권한 정보

 

 


[그림 1-30] 사용자 모르게 추가 설치된 애플리케이션의 권한 정보

 

 

1. 애플리케이션 상세 정보

 

아래는 악성 애플리케이션 APK 파일의 내부 assets 파일 구성이다. png 확장자로 위장한 파일이지만 파일 형태를 보면 추가 설치되는 apk 파일임을 알 수 있으며, 각 파일의 기능은 아래와 같다.

 

- header01.png : root exploit
- footer01.png : IRC Bot
- border01.png : SMS Send
 


[그림 1-31] assets 파일 구성

 

 


[그림 1-32] border01.png 파일 형태

 

 

- border01.png 파일 구성을 보면 추가 설치되는 apk 파일임을 알 수 있다.

 


[그림 1-33] border01.png 파일 구성

 

 

2. 코드 분석(1): 사용자가 설치한 애플리케이션(Dropper)

 

Android OS 2.2 버전 이상에서 설치 가능하며 사용 권한 정보를 알 수 있다.
 


[그림 1-34] 사용자가 설치한 애플리케이션의 MANIFEST 정보

 

 

- 드롭퍼 기능(악성 애플리케이션이 또 다른 추가 애플리케이션을 설치할 수 있는 기능)
- /data/data/com.android.bot/files 디렉터리를 만들고, 읽기/쓰기/실행할 수 있는 모든 권한(777)을 부여한다.
- header01.png, footer01.png, border01.png 파일을 해당 디렉터리에 추출하고 실행한다.

 


[그림 1-35] AndroidBotAcitivity 클래스 코드 일부

 

- [그림 10]의 마지막 라인 "Not registred application on the screen." 코드는 애플리케이션이 실행되었을 때 나타나는 문구다.

 

 

3. 코드 분석(2): 사용자 모르게 추가 설치된 애플리케이션(Background install)

 

Android OS 2.2 버전 이상에서 설치 가능하며 사용 권한 정보를 알 수 있다.
 


[그림 1-36] 추가 설치된 악성 애플리케이션의 MANIFEST 정보

 

- 사용자가 알 수 없게 하려고 81083, 3075, 64747 등의 프리미엄 번호로 수신되는 SMS를 숨긴다.

- 프리미엄 요금 번호로 수신되는 모든 메시지와 번호를 특정 서버(http://46.166.x.x)로 보낸다.

 


[그림 1-37] SMSReceiver 클래스 코드 일부

 

 

- 국가별 프리미엄 번호가 존재한다.


[표 1-4] AndroidMeActivity 클래스에 코딩된 국가별 코드 및 프리미엄 SMS 번호

 

 


[그림 1-38] AndroidMeActivity 클래스 코드 일부

 

 

- 과거 버전과 비교하여 국가가 늘어났으며 캐나다의 str 코딩 실수가 바로 잡혔다.


 

참고 페이지: 과거 변종 악성 애플리케이션 정보(http://asec.ahnlab.com/744)

 


[그림 1-39] AndroidMeActivity 클래스 코드 일부

 

 

- footer01.png 파일의 IRC 봇 기능(ELF 형태의 파일로 구성되어 있다.)
 


[그림 1-40] footer01.png 파일 정보

 

 

- 감염된 안드로이드 스마트폰은 199.68.x,x의 #andros 채널로부터 명령을 받을 수 있다(변종에 따라 IRC 서버 주소는 다르게 구성되어 있다).
 


[그림 1-41] IRC 서버 및 채널 접속 정보

 

 

[V3 제품군의 진단명]

 

- Android-Trojan/Foncy

 

 

일본 성인 사이트에서 유포되는 악성 애플리케이션

 

일본 사용자를 대상으로 사용자 정보를 유출하는 안드로이드 악성 애플리케이션이 발견되었다.
 
1. 유포 경로

- 악성 애플리케이션을 유포하는 일본 성인 사이트

 


[그림 1-41] 일본 성인사이트/악성 애플리케이션 다운로드 페이지

 

버튼을 클릭하면 악성 애플리케이션이 다운로드된다.

 

 

2. 상세 정보

 

-  다운로드한 악성 애플리케이션
  


[그림 1-42] 다운로드 화면/Install 화면

 

Install 버튼을 클릭하면 [그림 1-42]와 같은 화면으로 전환되면서 설치가 진행되고, 설치가 완료되면 [그림 1-43]의 아이콘 생성 및 서비스가 등록되면서 실행된다.
 


[그림 1-43] 악성 애플리케이션 아이콘/서비스 등록 화면

 

악성 애플리케이션의 아이콘을 실행하면 제작자가 의도한 사이트로 이동되며, 사용자 정보가 유출된다.
 


[그림 1-44] 악성 애플리케이션 실행 화면(웹 사이트 이동)

 

 

3. 상세 분석

 


[그림 1-45] 스마트폰 단말기 정보 수집

 

스마트폰 단말기에 저장된 정보를 읽고 전송하는 코드가 존재한다. [그림 1-45]의 코드는 전화번호, IMEI, 첫 번째 계정정보(구글 계정), GPS 정보를 수집한다.

 


[그림 1-46] 스마트폰 단말기에 저장된 정보가 전송되는 과정(로그)
 

 


[그림 1-47] 악성 애플리케이션 변종 정보(아이콘/권한)

 

- Main 클래스에 특정 서버로 사용자의 정보를 전송하는 코드를 확인할 수 있다.@

 

[V3 제품군의 진단명]

 

- Android-Trojan/FakeTimer

안철수연구소 |

이 정보에 대한 저작권은 (주)안철수연구소에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 안철수연구소 임을 밝혀야 합니다.

기업이 이 정보를 사용할 때에는 반드시 안철수연구소의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.

자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

☆이 포스트가 유용하셨다면 구독하세요~!

Enter your email address:

Delivered by FeedBurner

☆이 포스트가 유용하셨다면 아래 추천 버튼을 눌러주세요~!

블로그 이미지

Mighty

댓글을 달아 주세요