2019-10-14 12:25 (월)
SMS 통화내역, 수집전송 안드로이드 악성 앱 Nicky
상태바
SMS 통화내역, 수집전송 안드로이드 악성 앱 Nicky
  • 길민권
  • 승인 2011.08.06 12:18
이 기사를 공유합니다

SMS, GPS, 통화내역 수집해 특정 시스템으로 전송
1. Android-Spyware/Nicky 정보!
 
해당 안드로이드 악성코드는 송수신 SMS, GPS, 통화내역을 수집하여 특정 시스템으로 전송한다.
 
2. Nicky 악성 앱 Android System Message 정보!
 
* 아래와 같은 권한을 요구하고 있으며, 이러한 권한으로 앱의 행위에 대한 추정이 가능하다.
 
                                                                                                                        [그림] Nicky Spyware 권한 정보
 
[그림] ?猫安安의 설치/실행 정보
 
* android.intent.action.BOOT_COMPLETED 의 설정으로, 스마트폰을 부팅할때 마다 아래의 서비스를 시작할 것으로 추정 가능하다. 
 
         <service android:name=".MainService" android:exported="true">
         <service android:name=".GpsService" android:exported="true">
         <service android:name=".SocketService">
         <service android:name=".XM_SmsListener" />
         <service android:name=".XM_CallListener" />
         <service android:name=".XM_CallRecordService" />
         <service android:name=".RecordService" /> 
 
 
 
[그림] Manifest 정보
 
 
* 사용자의 정보를 수집/전송하는 class 정보들
 
[그림] 정보 수집/전송하는 class 전체 화면
 
 
* 수집된 정보 저장 위치는 아래 코드로 추정 가능하다.
 /sdcard/shangzhou/callrecord/
 
 
* 실제 악성앱이 생성한 디렉토리 및 통화내역을 저장한 파일
 
 
[그림] 통화내역 저장 화면
 
 
* 수집된 정보는 2018 port 를 이용하여 jin.****.com 으로 전송을 시도할 것으로 추정할 수 있다. 
 
 
[그림] 특정 서버로 전송을 시도하도록 되어 있는 코드의 일부
 
 
 
* V3 모바일 진단 화면
 
[그림] V3 모바일 화면
 
 V3 모바일에서는 변종에 대하여 다음과 같이 진단하고 있다.
Android-Spyware/Nicky
Android-Spyware/Nicky.B
Android-Spyware/Nicky.C
 
<스마트폰 사용시 주의사항!>
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
[안철수연구소 ASEC 대응팀 / http://core.ahnlab.com]