본문 바로가기
AhnLab 보안in

구글 안드로이드마켓, 또 다시 악성코드 발견!

by 보안세상 2020. 4. 13.

2011.12.15

 

안녕하세요. 안랩인입니다. 과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있습니다.

최근 발견된 악성코드는 
'유명한 게임' 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 '유럽' 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없습니다.


해당 악성코드에 대해 자세히 살펴보겠습니다.

유포 경로

구글 공식 안드로이드마켓(http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없습니다.

[그림. android market 에 유포된 악성코드]
 출처: symantec 블로그

분 석

해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵습니다.

 [그림. 악성 어플리케이션]

[그림. 정상 어플리케이션]



해당 프로그램을 설치하게 되면 아래와 같이 정상게임에선 뜨지 않는 화면이 나오며 게임플레이를 하기 위해 http://91.xxx.xxx.148/app 를 통해 추가적인 어플리케이션을 다운로드 유도하는 것으로 보이나 현재 정상적인 접속은 되지 않는 것으로 확인됩니다.

 

[그림. 실행 화면]


첫화면의 Rules 를 클릭시 해당 프로그램이 sms 를 전송한다는 약관내용이 확인됩니다. 이와 같은 형태는 이전 블로그에서 다뤘던 FakeInst 변종  과 매우 유사합니다. <Ahn>

* 더 자세한 내용은 안랩 홈페이지 를 확인해 주세요.