2012.12.17

DDoS 기능 수행과 좀비 만드는 모바일 악성 앱 발견

편집부 | ITWorld
잉카인터넷 대응팀은 구글코리아의 신규 검색엔진 서비스 내용으로 사칭한 안드로이드 악성앱 변형 2종을 긴급 입수했다고 밝혔다. 
 
이 악성앱은 한국인터넷진흥원(KISA)에서 주의보를 발령한 폰키퍼 보안앱 사칭 안드로이드 악성앱의 변종으로 파악된 상태다. 해당 안드로이드 악성앱들은 국내 사용자들을 정조준해 제작됐다는 점에서 심각한 보안위협으로 받아들여진다. 
 
이번에 발견된 악성 안드로이드 앱은 한글문구와 함께 구글 단축 URL 서비스를 통해 불특정 다수에게 배포된 것으로 추정된다. 이 공격방식은 국내 이용자들을 직접적으로 겨냥해서 배포했다는 점에서 매우 의도적인 공격형태로 분류할 수 있다.
 
국내 스마트폰 사용자에게 배포된 실제 악성 안드로이드 앱 설치 유도 문자메시지 내용


 
이는 마치 구글 코리아에서 배포한 신규앱처럼 위장하고 있다. 해당 안드로이드 악성파일들에 대한 자세한 정보는 한국인터넷진흥원에 신속히 공유된 상태다.
 
잉카인터넷 대응팀 측은 해당 악성 애플리케이션은 정상 애플리케이션에 제작자가 원하는 악의적인 패키지를 추가한 재패키징 형태이기 때문에 전체적인 기능과 실행 화면 등에서 정상 애플리케이션과의 차이점을 찾기에는 어려울 것"이라고 밝혔다. 재패키징 결과 수행 가능한 전체적인 악성 기능은 다음과 같다.
 
- 수신되는 SMS에 대한 감시
- SMS 수집
- 특정 번호로 SMS 무단 발송
- 봇 기능 수행
- DDoS 공격 수행
 
한편 2012년 12월 12일에는 한국인터넷진흥원을 통해 폰키퍼 사칭 악성앱 변종도 추가로 발견된 바 있다. 이 또한 KISA에서 배포중인 폰키퍼 애플리케이션에 특정 악성 코드를 포함해 재패키징한 형태였다.
 
전체적으로 보면, SMS 감시와 무단적인 SMS 발송은 기존의 악성 애플리케이션과 차별성이 없으나, 해당 악성 애플리케이션의 경우 DDoS 기능 수행, 이를 위한 Bot기능 수행(수신된 SMS의 감시 및 비교 작업 등 포함) 등이 주목할만하다고 할 수 있다.
 
일단, 해당 악성 애플리케이션은 DDoS 기능 수행을 위해 특정 명령 문자가 포함된 SMS에 대한 감시 및 수신이 필요하며, 모든 SMS의 수신 시 시간에 대한 계산 등 연산을 통해 해당 악성 기능 동작(SMS 수집)에 대한 여부를 결정하게 된다. 조건이 모두 충족되면, 악성 애플리케이션은 조건에 해당하는 SMS를 모두 수집하는 등의 악성 동작을 수행하며, 아래와 같이 특정 명령 문자로 SMS가 시작되는 경우 그에 따른 추가적인 악성 동작을 수행하게 된다.
 
이번 악성 코드에서 주목할만한 특징은 특정 사이트를 공격 시도하는 DDoS 기능의 수행인데, 지금껏 모바일 상에서 실제적으로 구체적인 사례나 악성 애플리케이션을 찾아보기 어려웠다. 
 
잉카인터넷 대응팀은 "대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입해 마치 정상적인 애플리케이션이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 쉽게 현혹될 수 있다"고 전했다. 
 
이에 대한 스마트폰 보안 관리 수칙은 다음과 같다. 
 
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 보안 감시 기능을 항상 'ON' 상태로 유지해 사용할 수 있도록 한다.
 
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드하는 습관을 가질 수 있도록 한다.
 
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치하도록 한다.
 
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
 
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
 
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
 
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
 
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
 
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다. editor@itworld.co.kr


2012.12.17

DDoS 기능 수행과 좀비 만드는 모바일 악성 앱 발견

편집부 | ITWorld
잉카인터넷 대응팀은 구글코리아의 신규 검색엔진 서비스 내용으로 사칭한 안드로이드 악성앱 변형 2종을 긴급 입수했다고 밝혔다. 
 
이 악성앱은 한국인터넷진흥원(KISA)에서 주의보를 발령한 폰키퍼 보안앱 사칭 안드로이드 악성앱의 변종으로 파악된 상태다. 해당 안드로이드 악성앱들은 국내 사용자들을 정조준해 제작됐다는 점에서 심각한 보안위협으로 받아들여진다. 
 
이번에 발견된 악성 안드로이드 앱은 한글문구와 함께 구글 단축 URL 서비스를 통해 불특정 다수에게 배포된 것으로 추정된다. 이 공격방식은 국내 이용자들을 직접적으로 겨냥해서 배포했다는 점에서 매우 의도적인 공격형태로 분류할 수 있다.
 
국내 스마트폰 사용자에게 배포된 실제 악성 안드로이드 앱 설치 유도 문자메시지 내용


 
이는 마치 구글 코리아에서 배포한 신규앱처럼 위장하고 있다. 해당 안드로이드 악성파일들에 대한 자세한 정보는 한국인터넷진흥원에 신속히 공유된 상태다.
 
잉카인터넷 대응팀 측은 해당 악성 애플리케이션은 정상 애플리케이션에 제작자가 원하는 악의적인 패키지를 추가한 재패키징 형태이기 때문에 전체적인 기능과 실행 화면 등에서 정상 애플리케이션과의 차이점을 찾기에는 어려울 것"이라고 밝혔다. 재패키징 결과 수행 가능한 전체적인 악성 기능은 다음과 같다.
 
- 수신되는 SMS에 대한 감시
- SMS 수집
- 특정 번호로 SMS 무단 발송
- 봇 기능 수행
- DDoS 공격 수행
 
한편 2012년 12월 12일에는 한국인터넷진흥원을 통해 폰키퍼 사칭 악성앱 변종도 추가로 발견된 바 있다. 이 또한 KISA에서 배포중인 폰키퍼 애플리케이션에 특정 악성 코드를 포함해 재패키징한 형태였다.
 
전체적으로 보면, SMS 감시와 무단적인 SMS 발송은 기존의 악성 애플리케이션과 차별성이 없으나, 해당 악성 애플리케이션의 경우 DDoS 기능 수행, 이를 위한 Bot기능 수행(수신된 SMS의 감시 및 비교 작업 등 포함) 등이 주목할만하다고 할 수 있다.
 
일단, 해당 악성 애플리케이션은 DDoS 기능 수행을 위해 특정 명령 문자가 포함된 SMS에 대한 감시 및 수신이 필요하며, 모든 SMS의 수신 시 시간에 대한 계산 등 연산을 통해 해당 악성 기능 동작(SMS 수집)에 대한 여부를 결정하게 된다. 조건이 모두 충족되면, 악성 애플리케이션은 조건에 해당하는 SMS를 모두 수집하는 등의 악성 동작을 수행하며, 아래와 같이 특정 명령 문자로 SMS가 시작되는 경우 그에 따른 추가적인 악성 동작을 수행하게 된다.
 
이번 악성 코드에서 주목할만한 특징은 특정 사이트를 공격 시도하는 DDoS 기능의 수행인데, 지금껏 모바일 상에서 실제적으로 구체적인 사례나 악성 애플리케이션을 찾아보기 어려웠다. 
 
잉카인터넷 대응팀은 "대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입해 마치 정상적인 애플리케이션이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 쉽게 현혹될 수 있다"고 전했다. 
 
이에 대한 스마트폰 보안 관리 수칙은 다음과 같다. 
 
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 보안 감시 기능을 항상 'ON' 상태로 유지해 사용할 수 있도록 한다.
 
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드하는 습관을 가질 수 있도록 한다.
 
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치하도록 한다.
 
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
 
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
 
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
 
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
 
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
 
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다. editor@itworld.co.kr


X