2011.12.15
안녕하세요. 안랩인입니다. 과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있습니다.
최근 발견된 악성코드는 '유명한 게임' 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 '유럽' 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없습니다.
해당 악성코드에 대해 자세히 살펴보겠습니다.
유포 경로
구글 공식 안드로이드마켓(http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없습니다.
[그림. android market 에 유포된 악성코드]
출처: symantec 블로그
분 석
해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵습니다.
[그림. 악성 어플리케이션]
[그림. 정상 어플리케이션]
해당 프로그램을 설치하게 되면 아래와 같이 정상게임에선 뜨지 않는 화면이 나오며 게임플레이를 하기 위해 http://91.xxx.xxx.148/app 를 통해 추가적인 어플리케이션을 다운로드 유도하는 것으로 보이나 현재 정상적인 접속은 되지 않는 것으로 확인됩니다.
[그림. 실행 화면]
첫화면의 Rules 를 클릭시 해당 프로그램이 sms 를 전송한다는 약관내용이 확인됩니다. 이와 같은 형태는 이전 블로그에서 다뤘던 FakeInst 변종 과 매우 유사합니다. <Ahn>
* 더 자세한 내용은 안랩 홈페이지 를 확인해 주세요.
'AhnLab 보안in' 카테고리의 다른 글
| 안철수연구소가 알려주는 김정일 위원장 사망에 따른 악성코드 유포 (0) | 2020.04.14 |
|---|---|
| 국내 연예인 사생활 동영상으로 위장한 악성코드 유포 (0) | 2020.04.13 |
| 안철수연구소 TrusGuard DPX의 DDoS 공격 대응 기법 (0) | 2020.04.13 |
| 안철수연구소에서 살펴보는 유럽 타겟 악성 어플리케이션 (0) | 2020.04.13 |
| 2012년 버전으로 위장한 허위 클라우드 백신 (0) | 2020.04.13 |
