현재 스마트 폰 가입자의 비율은 급증하고 있는 추세다.
이동통신 3사는 하루 평균 1만~1만5천여명의 스마트 폰 가입자가 증가하고 있다고 밝혔다.
스마트 폰 3천만 시대가 열리면서 인터넷 없는 세상은 상상도 못하게 됐다.
그렇듯 소비자들의 모바일기기 이용이 일상, 다양화되는 가운데 피해 또한 빈번히 발생하고 있다.
이번 발생한 소액결제 악성코드는 외식상품의 무료쿠폰을 사용자에게 발송해 사용자가 무심코 문자에 포함되어 있다.
단축 URL주소를 클릭하고, 안드로이드 앱을 설치할 경우 감염되어 소액결제 피해를 입게 된다.
(한동안 안드로이드에 대해서 포스팅 하지 않았는데, 너무 이슈가 되다 보니 요즘 조금씩 조금씩 쓰려고 노력중^^;)
암튼, 최근 안드로이드 관련하여 국내 스마트폰 사용자를 타겟으로 한 악성어플리케이션이 많이 발견되고 있다.
이 중에서 지난 2012년 11월부터 꾸준하게 나오고 있는 어플리케이션을 간략하게 분석해본다.
이번 악성 어플리케이션은 일명 SmartBill, SmartBilling 이라 불리우는 어플리케이션으로 "패스트푸드, 커피전문점,
패밀리 레스토랑, 보안 프로그램 업데이트, 유명 프로그램 업데이트"의 할인 쿠폰 SMS로 발송되어 사용자가 해당
SMS의 단축 URL 클릭으로 인해 실행 시 해당 단말기의 SMS를 감시하고 특정한 SMS 확인 시 제작자의 C&C 서버로 발송하게 된다.
해당 관련 된 보안업체의 탐지명은 아래와 같다.
(꼭 해당 탐지명으로만 탐지되는 것은 아니니, 참고만 하시길^^)
안랩 모바일 탐지명 : Android-Trojan/Chest
nProtect 모바일 탐지명 : Trojan-SMS/Android.KRSpammer
Hauri 모바일 탐지명 : Android/Trojan-SMS.FakeInst
알약 모바일 탐지명 : Trojan.Android.SMS.Stech
해당 악성 어플리케이션 정보
- Package name : com.cn.smsclient
- Main activity : MainActivity
- Receiver name : CVXAW.class, OEWRUvcz.class
- User permission
android.permission.RECEIVE_SMS
android.permission.RECEIVE_MMS
android.permission.ACCESS_NETWORK_STATE
android.permission.INTERNET
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.READ_PHONE_STATE
android.permission.WAKE_LOCK
간략하게 분석을 시작하면, 위에 설명했듯이 패스트푸드, 커피전문점, 패밀리 레스토랑, 보안 프로그램 업데이트,
유명 프로그램 업데이트"의 할인 쿠폰 SMS로 사용자들에게 유포 된며, 단축 URL로 악성 어플리케이션을 다운로드 받게 된다.
다운로드 된 어플리케이션은 아래와 같이 실행 된다.
※ 해당 어플리케이션의 리소스 아이콘을 살펴보면, 어떠한 것으로도 변환되어 유포 할 수 있음을 뜻한다.
Ahnlab, BBQ, 롯데리아, 파리바게트, 도미노피자, 커비베네, 베스킨라빈스, 피자헛, 빕스, 복지알리미, 아웃백, 네네치킨, 인터파크,
한국 납세자연맹, 다빈치 커피 등 다양한 아이콘들이 존재한다.
그럼 해당 어플리케이션의 코드를 살펴보자.
우선 어플리케이션이 실행되면, 안드로이드 구조상 백그라운드 진입 시 절전모드로 Wifi와 CPU가 동작을 멈추게 되는데
해당 어플리케이션에서는 V3Mobile 이라는 이름으로 Wifi유지와 Power를 지속적으로 동작하게 만든다.
그리고 새로운 스레드를 생성하여, 감염여부를 알리기 위해 특정서버로(61.198.212.226) 폰번호, 망사업자, IMEI 번호를 번송하게 된다.
이후 일부러 서버와 문제가 생긴것으로 보이게 오류창을 생성하여 보여준다.
이후 단말기에서 SMS나 MMS 수신시 리시버(CVXAW.class, OEWRUvcz.class)를 통해 특정 SMS 내용을 서버로 전달한다.
(옥션,모빌리언스,11번가,다날,G마켓,옥션,11번가,G마켓,모빌리언스,다날,모빌리언스,다날,LG텔레콤,11번가 도서,다날,문자통,
피망,한게임,아이템 베이,인포 허브,인포 허브,아이템 베이,피망,다날,한게임,모빌리언스,모빌리언스,서울 신용 평가 정보,
서울 신용 평가 정보,다날,엔씨소프트,나이스 신용 평가 정보,꾸민새 네트워크,중앙일보,다우페이,뿌리오 고객센터,국민은행,
아이엠페이,넷마블 등등)
현재 알약에서는 해당 어플리케이션을 "Trojan.Android.SMS.Stech.Gen" 으로 탐지하고 있다.
'IT 보안소식' 카테고리의 다른 글
엔비디아(Nvidia), 314.07 드라이버 보안 업데이트(2013.02.18) (1) | 2013.02.20 |
---|---|
[스마트폰 사기] 할인쿠폰, 영화할인권, 공짜쿠폰, 무료증정 SMS 주의 (2013-02-20) (0) | 2013.02.20 |
신종사기 "피싱(Phishing), 파밍(Pharming), 스미싱(Smishing)" 이란? (4) | 2013.02.15 |
웅진 코웨이(Woongjin Coway), 고객정보 198만건 개인정보 유출 사건(2월 6일) (0) | 2013.02.14 |
[스마트폰 사기] 소액결제 사기로 속상해 하지 말고 "소액결제 해제" 로 미연에 방지하자!! (4) | 2013.02.14 |
댓글