다시 확인되었다.
외국 모바일 보안업체인 룩아웃(Lookout)에서 처음 발견하여, 지금은 안드로이드 마켓에서는 삭제 되어 있다.
하지만 아직도 블랙마켓(서드파티)에는 존재 할 가능성이 높으니 룩아웃(Lookout)에서 발표 한 개발자명과 어플이름을 확인해서
주의하기 바란다.
개발자 : Magic Photo Studio
어플명 : Sexy Girls: Hot Japanese
어플명 : Sexy Legs
어플명 : HOT Girls 4
어플명 : Beauty Breasts
어플명 : Sex Sound
어플명 : Sex Sound: Japanese
어플명 : HOT Girls 1
어플명 : HOT Girls 2
어플명 : HOT Girls 3
개발자 : Mango Studio
어플명 : Floating Image Free
어플명 : System Monitor
어플명 : Super StopWatch and Timer
어플명 : System Info Manager
개발자 : E.T. Tean
어플명 : Call End Vibrate
개발자 : BeeGoo
어플명 : Quick Photo Grid
어플명 : Delete Contacts
어플명 : Quick Uninstaller
어플명 : Contact Master
어플명 : Brightness Settings
어플명 : Volume Manager
어플명 : Super Photo Enhance
어플명 : Super Color Flashlight
어플명 : Paint Master
개발자 : DroidPlus
어플명 : Quick Cleaner
어플명 : Super App Manager
어플명 : Quick SMS Backup
개발자 : GluMobi
어플명 : Tetris
어플명 : Bubble Buster Free
어플명 : Quick History Eraser
어플명 : Super Compass and Leveler
어플명 : Go FallDown !
어플명 : Solitaire Free
어플명 : Scientific Calculator
어플명 : TenDrip
이전 DroidDream 어플에는 단말기를 강제루팅 시키는 "exploid" 코드가 Assets폴더에 추가되어 있었지만,
이번에 발견 된 "DroidDreamLight"는 루팅 코드는 없었으며, 다만 "com.passionteam.lightdd" 이라는 패키지가 추가로 되어 있다.
해당 어플의 AndroidManifest를 확인해 보면 아래의 사진에 보이는 대로
"com.passionteam.lightdd.Receiver" 와 "com.passionteam.lightdd.CoreService" 가
각각 Receiver와 Service로 동작하는 것을 알 수 있다.
<receiver android:name="com.passionteam.lightdd.Receiver"> // Receiver 동작
<service android:name="com.passionteam.lightdd.CoreService"> // Service 동작
현재까지 분석 된 내용으로는 해당 어플이 전화관련 액션(android.intent.action.PHONE_STATE)을 취할 때 악성행위가
이루어지는 것으로 확인되며, DroidDreamLight의 악성행위 중 다른 어플을 외부로 부터 다운로드 받아 설치하는것으로 판단됨
또한 DroidDreamLight 로 명명 된 어플들의 공통점은 Assets(자산)폴더에 암호화 된 prefer.dat 파일이 존재 한다는 것이다.
prefer.dat 파일은 차후 악성코드가 "DES Algorithm"을 이용하여 복호화 시키며 외부로 접속하는 서버의 URL로 추정 된다.
FeedProxy2= http://ju5o.com/zpmq.jsp
- DES(Data Encryption Standard)
블록 암호의 일종으로, 미국 NBS (National Bureau of Standards, 현재 NIST)에서 국가 표준으로 정한 암호이다.
DES는 대칭키 암호이며, 56비트의 키를 사용한다.
추가적으로 행위가 분석되면 추가^^;
어플 다운로드 설치
단말기의 정보(IMEI/IMSI, OS Verstion)
단말기에 설치 된 어플리케이션 정보
(참고사항) 현재까지 수집 된 샘플은 대부분 선정적인 내용을 담고 있는 성인어플로써 사용자의 눈을 즐겁게 하려는 목적일까?!
설치 시 다음과 같은 아이콘으로 설치 된다.
알약에서는 App가 설치되면 실시간모니터링으로 위험도를 표기해주기 때문에 알약 안드로이드의 최신업데이트를 유지하면 된다.
안드로이드 OS를 사용하는 분들은 최소한 모바일 보안프로그램을 설치하는것을 권장하며, 구글 안드로이드 마켓도 더 이상 안전한
곳이 아님을 인지하시고, 과다한 퍼미션을 요구하거나 해외성인 관련 어플 설치를 자제하는 것이 좋다.
* 이건 보너스 ㅡㅡㅋ(각 어플에서 몇가지 사진들을 뽑아봤음!!)
- 관련내용
2011/06/03 - [악성코드소식] - 안드로이드(Android), 정상 어플리케이션으로 위장한 "DroidDream" 변종 "DroidDreamLight" 주의!!
2011/03/15 - [보안관련소식] - 안드로이드(Android), DroidDream과 Fake Google Security Tool에 대한 자료
2011/03/03 - [보안관련소식] - 안드로이드(Android), 정상 "구글 안드로이드 마켓" 에서도 발견되는 악성(DroidDream) 어플 주의!!
2011/02/28 - [보안관련소식] - 안드로이드(Android), 리패키징 된 안드로이드 어플리케이션 주의!!
2011/02/15 - [보안관련소식] - 안드로이드(Android), 새로운 안드로이드 트로이목마 "ADRD" 발견
2011/01/31 - [보안관련소식] - 안드로이드(Android), 개인정보를 유출 할 수 있는 "사운드마이너(SoundMiner)"
2011/01/02 - [보안관련소식] - 정상 어플리케이션으로 위장 한 안드로이드 APP 발견, 일명 "GeiNiMi" 정보 기록
2010/10/14 - [보안관련소식] - 카스퍼스키(Kaspersky), 안드로이드OS SMS 트로이목마 발견(Trojan-SMS.AndroidOS.FakePlayer.c)
2010/09/09 - [보안관련소식] - 카스퍼스키(Kaspersky), 안드로이드OS SMS 트로이목마 발견(Trojan-SMS.AndroidOS.FakePlayer.b)
2010/08/13 - [보안관련소식] - 시만텍(Symantec), 안드로이드 악성코드 "AndroidOS.Tapsnake" 발견
2010/08/04 - [보안관련소식] - 안드로이드(Android), 개인정보를 유출하는 악성코드 "AndroidOS.Ewalls" 발견
'IT 보안소식' 카테고리의 다른 글
알약(ALYac), 로그인 상태를 가로채는 앱을 통한 개인정보 유출 주의 (0) | 2011.06.14 |
---|---|
하우리(Hauri), 스마트폰 도청 및 해킹 위협 시연 공개(MBC단독보도 - 도청에 뚫렸다!!) (0) | 2011.06.08 |
알약(ALYac), 국내 환경에서 동작하는 금융계좌 탈취용 악성코드 (0) | 2011.05.26 |
알약(ALYac), 알약 업데이트를 방해하는 악성코드 전용백신 안내(온라인게임 스파이웨어 전용) (0) | 2011.05.20 |
연속적인 해킹으로 인한 "금융권 회사의 고객정보 유출" 정리 (0) | 2011.05.20 |
댓글