본문 바로가기
IT 보안소식

안드로이드(Android), 정상 어플리케이션으로 위장한 "DroidDream" 변종 "DroidDreamLight" 주의!!

by 잡다한 처리 2011. 6. 3.
반응형

예전에 정상적인 어플에 악성코드를 추가하여 리패키징 후 구글 안드로이드 마켓에 등록 된 "DroidDream" 악성코드가 모습을 바꾸어
다시 확인되었다.


외국 모바일 보안업체인 룩아웃(Lookout)에서 처음 발견하여, 지금은 안드로이드 마켓에서는 삭제 되어 있다.

하지만 아직도 블랙마켓(서드파티)에는 존재 할 가능성이 높으니 룩아웃(Lookout)에서 발표 한 개발자명과 어플이름을 확인해서 
주의하기 바란다.

개발자 : Magic Photo Studio

어플명 : Sexy Girls: Hot Japanese 

어플명 : Sexy Legs 

어플명 : HOT Girls 4 

어플명 : Beauty Breasts 

어플명 : Sex Sound 

어플명 : Sex Sound: Japanese 

어플명 : HOT Girls 1 

어플명 : HOT Girls 2 

어플명 : HOT Girls 3 


개발자 : Mango Studio

어플명 : Floating Image Free 

어플명 : System Monitor 

어플명 : Super StopWatch and Timer 

어플명 : System Info Manager 


개발자 : E.T. Tean

어플명 : Call End Vibrate 


개발자 : BeeGoo 

어플명 : Quick Photo Grid 

어플명 : Delete Contacts 

어플명 : Quick Uninstaller 

어플명 : Contact Master 

어플명 : Brightness Settings 

어플명 : Volume Manager 

어플명 : Super Photo Enhance 

어플명 : Super Color Flashlight 

어플명 : Paint Master 


개발자 : DroidPlus

어플명 : Quick Cleaner 

어플명 : Super App Manager 

어플명 : Quick SMS Backup 


개발자 : GluMobi

어플명 : Tetris 

어플명 : Bubble Buster Free 

어플명 : Quick History Eraser 

어플명 : Super Compass and Leveler 

어플명 : Go FallDown ! 

어플명 : Solitaire Free 

어플명 : Scientific Calculator 

어플명 : TenDrip 



이전 DroidDream 어플에는 단말기를 강제루팅 시키는 "exploid" 코드가 Assets폴더에 추가되어 있었지만,
이번에 발견 된 "DroidDreamLight"는 루팅 코드는 없었으며, 다만 "com.passionteam.lightdd" 이라는 패키지가 추가로 되어 있다.



해당 어플의 AndroidManifest를 확인해 보면 아래의 사진에 보이는 대로
"com.passionteam.lightdd.Receiver" 와 "com.passionteam.lightdd.CoreService" 가 
각각 Receiver와 Service로 동작하는 것을 알 수 있다.

<activity android:name="ShowImage"> // Main Activity
<intent-filter>
<action android:name="android.intent.action.MAIN">
</intent-filter>
</activity>

<receiver android:name="com.passionteam.lightdd.Receiver"> // Receiver 동작
<intent-filter>
<action android:name="android.intent.action.PHONE_STATE">
<category android:name="android.intent.category.DEFAULT">
</category>
</intent-filter>
</receiver>

<service android:name="com.passionteam.lightdd.CoreService">  // Service 동작
</service>

현재까지 분석 된 내용으로는 해당 어플이 전화관련 액션(android.intent.action.PHONE_STATE)을 취할 때 악성행위가
이루어지는 것으로 확인되며, DroidDreamLight의 악성행위 중 다른 어플을 외부로 부터 다운로드 받아 설치하는것으로 판단됨


또한 DroidDreamLight 로 명명 된 어플들의 공통점은 Assets(자산)폴더에 암호화 된 prefer.dat 파일이 존재 한다는 것이다.


prefer.dat 파일은 차후 악성코드가 "DES Algorithm"을 이용하여 복호화 시키며 외부로 접속하는 서버의 URL로 추정 된다.

- 암호화 내용
FeedProxy2= http://ju5o.com/zpmq.jsp 
FeedProxy2= http://mlo6.com/owxnf.jsp 
FeedProxy2= http://ya3k.com/bksy.jsp

- DES(Data Encryption Standard)
블록 암호의 일종으로, 미국 NBS (National Bureau of Standards, 현재 NIST)에서 국가 표준으로 정한 암호이다.
DES는 대칭키 암호이며, 56비트의 키를 사용한다.


결론적으로 DroidDreamLight의 악성행위를 정리하면 다음과 같다.
추가적으로 행위가 분석되면 추가^^;

어플 다운로드 설치
단말기의 정보(IMEI/IMSI, OS Verstion)
단말기에 설치 된 어플리케이션 정보



(참고사항) 현재까지 수집 된 샘플은 대부분 선정적인 내용을 담고 있는 성인어플로써 사용자의 눈을 즐겁게 하려는 목적일까?!
설치 시 다음과 같은 아이콘으로 설치 된다. 






알약에서는 App가 설치되면 실시간모니터링으로 위험도를 표기해주기 때문에 알약 안드로이드의 최신업데이트를 유지하면 된다.


안드로이드 OS를 사용하는 분들은 최소한 모바일 보안프로그램을 설치하는것을 권장하며, 구글 안드로이드 마켓도 더 이상 안전한
곳이 아님을 인지하시고, 과다한 퍼미션을 요구하거나 해외성인 관련 어플 설치를 자제하는 것이 좋다.

* 이건 보너스 ㅡㅡㅋ(각 어플에서 몇가지 사진들을 뽑아봤음!!)



댓글