QR코드를 만난 악성코드

2011.10.10

 

안녕하세요. 안랩인입니다. 오늘은 QR코드를 통해 감염되는 안드로이드 악성코드를 소개하려고 합니다.

스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술입니다. QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었습니다.

러시아의 특정 웹사이트에서 이와 같이 효과적으로 정보전달을 할 수 있는 매개체인 QR코드가 SMS를 통해 과금을 시키는 스마트폰 악성코드를 유포하는데 활용된 것이 밝혀져 관련 내용을 하고자 합니다.

1. 유포 유형

러시아의 특정 웹페이지에서 어플리케이션 홍보형식으로 QRcode 와 주소링크를 통해 유포되었습니다.

화면 중앙 상단에 안드로이드 어플리케이션을 바로 받을 수 있는 URL과 QRcode 를 스캔할 수 있게 되어있고, 좌측에는 어플리케이션 실행 화면이 나와있습니다.

 

[ 그림. 악성코드를 유포하는 러시아 웹사이트 ]

2. 악성코드 분석

해당 악성코드는 아래 그림과 같은 권한을 사용합니다.
아래의 SEND_SMS 권한은 문자를 송신할 때 반드시 요구되는 권한으로 악성어플리케이션을 구분하는데 중요한 단서가 됩니다.

만일 게임과 같이 설치하려는 어플리케이션이 문자를 송신할 필요가 전혀 없는 어플리케이션인데 SEND_SMS 권한을 사용하고 있다면, 한번쯤 악성어플인지 의심할 필요가 있습니다.

 

[ 그림. 악성 어플리케이션 정보 ]

아래와 같은 코드를 이용하여 "2476" 의 premium rate number 로 문자를 송신하는 기능이 있습니다.
(러시아에선 약 6달러가 결제된다고 알려져 있습니다.)

참고로 이 악성코드는 Disassemble 시 코드를 분석하기 어렵도록 약간의 난독화가 되어 있습니다. <Ahn>

 

[ 그림. 문자과금 관련 코드 ]

 

*더 자세한 내용은 ASEC 대응팀 블로그 에서 보실 수 있습니다.