구글 안드로이드마켓, 또 다시 악성코드 발견!

2011.12.15

 

안녕하세요. 안랩인입니다. 과거 구글 안드로이드마켓에 악성코드가 업로드되었다가 퇴출된 사건에 이어, 또다시 공식 마켓에 악성코드가 올라온 것이 확인되어 충격을 주고 있습니다.

최근 발견된 악성코드는 '유명한 게임' 을 위장한 형태로 안드로이드마켓에 업로드 되어 유포되었으며, 설치시 '유럽' 지역의 국가의 단말기일 경우 프리미엄 번호로 SMS 를 전송하여 과금을 시키는 전형적인 과금형 악성코드로서, 국내의 피해사례는 아직 없습니다.

해당 악성코드에 대해 자세히 살펴보겠습니다.

유포 경로

구글 공식 안드로이드마켓(http://market.android.com) 을 통해 유포되었고, 현재는 마켓에서 제외되어 더이상 다운받을 수 없습니다.

[그림. android market 에 유포된 악성코드]
 출처: symantec 블로그

분 석

해당 악성코드들은 아래와 같이 Angry birds, Assasin Creed 등 인기 게임의 아이콘, 어플리케이션명 등을 위장하고 있어 일반적으로 정상게임과 구분하기는 매우 어렵습니다.

 [그림. 악성 어플리케이션]

[그림. 정상 어플리케이션]

해당 프로그램을 설치하게 되면 아래와 같이 정상게임에선 뜨지 않는 화면이 나오며 게임플레이를 하기 위해 http://91.xxx.xxx.148/app 를 통해 추가적인 어플리케이션을 다운로드 유도하는 것으로 보이나 현재 정상적인 접속은 되지 않는 것으로 확인됩니다.

 

[그림. 실행 화면]

첫화면의 Rules 를 클릭시 해당 프로그램이 sms 를 전송한다는 약관내용이 확인됩니다. 이와 같은 형태는 이전 블로그에서 다뤘던 FakeInst 변종  과 매우 유사합니다. <Ahn>

* 더 자세한 내용은 안랩 홈페이지 를 확인해 주세요.