한국정보보호진흥원

Size: px

Start display at page:

Download "한국정보보호진흥원"

혜린 주
5 years ago
Views:

1 모바일보안위협유형및악성코드 전길수 kschun@kisa.or.kr Kschun68@gmail.com

2 모바일보안위협 모바일시큐리티위협 ( 기존위협확대 ) 사이버침해공격, 바이러스 웜감염등기존위협이모바일환경에서도재현 ( 신규위협출현 ) 무선랜 (Wi-Fi), 블루투스, 이동통신, GPS 통신등복수통신기능의단말탑재로침해경로다변화, 스마트기기개방형앱 (App) 의안전성보장미흡등 모바일보안위협은모바일단말, 무선네트워크, 모바일기반신규서비스, 모바일콘텐츠로구분가능 2

3 모바일보안위협 모바일시큐리티위협 : 네트워크영역 스마트폰통한공공 사설무선랜이용시무선신호스니핑, 정보탈취용비인증 AP, 대량무선패킷전송을통한모바일 DDoS 공격가능 - 국내 15 개시 도, 29 개지역무선 AP(42,997 대 ) 보안현황조사결과, 약 44.8% 가無보안설정되어운영중 (KISA, 10.7) - 전세계 27 개공항의무선랜취약성조사결과대상의 59% 가無보안운영, 21% 는취약한 WEP 방식사용 ( 美 Air Tight Networks 사, '10 년상반기 ) 유형패킷스니핑중간자공격비인증 (rogue) AP 워드라이빙 (Wardriving) 암호사전공격 침해동작 무선구간에서패킷수집도구를통한멀티미디어콘텐츠유출 위변조, 패킷 해독을통한암호화인증무력화시도 기기간의통신을조작하는 MITM(Man-In-The-Middle) 공격을통해데이터를 장기간유출하거나거짓정보삽입시도 비인증된 AP로모바일기기를유도 (Wi-Fi 피싱 ) 하고사용자로그인시 패스워드 / 이메일 / 신용카드등의데이터해킹시도 차량으로이동하며구내정보통신망 (LAN) 에무단으로접속하고, GPS 를이용해 지역별무선액세스접속허점노출 암호사전 (Dictionary) 을통하여암호화된패스워드의해독시간단축시도 3

4 모바일보안위협 모바일시큐리티위협 : 응용서비스 / 모바일콘텐츠영역 이용자의동의없이스마트폰앱이자의적으로이용자위치정보, 단말기정보, 연락처정보등을수집 유출가능 - 스마트폰앱상당수가폰 ID, 이용자위치, 나이, 성별등개인정보를전송 - Facebook 150 만명의개인정보가천명당 $25~$45 에거래 (Networkworld, '10.4 월 ) 위치기반서비스이용시 GPS 탑재한모바일기기로개인위치정보오 남용, 사생활침해 스마트폰앱사설마켓및블랙마켓을통한악성앱유통 - 모바일악성코드들은보안성검증이취약한사설앱마켓및오픈마켓을통해유통 스마트폰등을활용한모바일광고를위해무작위스팸발생증가 - 악성코드에감염된스마트폰을이용한모바일봇넷구성후원격조정 대량스팸분산발송위험증가 SNS 단문 (short) URL 서비스를악용한피싱 사기발생 - 단문 URL : 일반인터넷주소 (URL) 를모바일에서이용하기쉽도록짧게줄인형태의주소 - 악의적사설모바일앱스토어 SNS 사이트로유인하여악성프로그램설치유도등공격증가 악성댓글, 사이버모욕등불건전한인터넷활동이모바일미디어를통해확산되어사회, 경제, 안보등에부정적영향을미치는인포데믹스위협확대 - 인포데믹스 ( InfoDemics, 정보 (Information)+ 전염병 (Epidemic) ) : 근거없는정보가급속히전파되면서사회 경제적으로혼란을야기하는현상을지칭 4

배포 / 설치가능 사용자커스터마이징가능 인터넷접속환경 2G 또는 3G - CDMA, WCDMA, HSDPA 3G, 4G, 무선네트워크 - WCDMA, HSDPA, Wi-Fi, 블루투스등 유 / 무선네트워크 전화번호위주의간단한주소록, 주소록, 일정관리, 오피스문서,

5 모바일보안위협 피처폰 / 스마트폰 /PC 환경비교 구분피처폰스마트폰 PC 운영체제 폐쇄형플랫폼 - 제조사별기능탑재 개방형플랫폼 - 아이폰, 안드로이드등 개방형플랫폼 - 윈도우, 리눅스등 이동통신사가제공하는제한된기능 앱스토어와같은오픈마켓또는인터 다양한어플리케이션의다운로드 / 서드파티어플리케이션지원 의어플리케이션만설치가능 모바일플랫폼표준규격 (WIPI) 기반에서 해당통신사만탑재가능 사용자커스터마이징불가 넷상에서자유롭게다운로드가능 누구나제작 / 배포 / 설치가능 사용자커스터마이징가능 설치가능 누구나제작 / 배포 / 설치가능 사용자커스터마이징가능 인터넷접속환경 2G 또는 3G - CDMA, WCDMA, HSDPA 3G, 4G, 무선네트워크 - WCDMA, HSDPA, Wi-Fi, 블루투스등 유 / 무선네트워크 전화번호위주의간단한주소록, 주소록, 일정관리, 오피스문서, 금융 개인문서위주의데이터 저장데이터 일정등 정보등 주요개인정보 평문저장 평문저장 평문저장 24 시간항상전원이켜져있음 24 시간항상전원이켜져있음 인터넷또는문서작업등의필요 사용시간 사용자시선에서벗어날수있음 사용자의시선에서벗어날수있음 한시간에만사용후전원끔 사용자의시선에서벗어나는 시간이짧음 5

6 모바일보안이슈 - 모바일악성코드 모바일악성코드 모바일악성코드도 PC 환경처럼다양한경로로감염이될수있으나, 주로정상앱 ( 애플리케이션 ) 인것처럼배포되어설치와실행을유도하여감염 - 화면훔쳐보기, 통화내역도청뿐만아니라, DDoS 등과같은피해유발 감염!!! 게임앱등으로위장유포 구글마켓, 블랙마켓 스마트폰훔쳐보기 통화내역도청 스마트폰 DDoS 스팸 / 유료문자 / 국제전화무단발송 6

7 모바일보안이슈 - 안드로이드마켓 안드로이드마켓악성프로그램유포사례 허위모바일뱅킹프로그램유포 ('09.12) - 09Droid 라는 ID 를가진개발자가미국은행이나신용조합이름으로 39 종의개인정보유출악성프로그램을유포 어플리케이션에대해정당성및보안성검토절차가없음 안드로이드는어플리케이션설치시 어플리케이션의접근권한을명시하여 이용자가설치여부를결정하게함 7

모바일보안이슈 - 심비안 심비안 - 어플리케이션검증체계등장 2004년, 심비안

- 악성코드수감소 3 전자서명 2 ID 발급 인증기관 (TC TrustCenter) 4 검증요청

8 모바일보안이슈 - 심비안 심비안 - 어플리케이션검증체계등장 2004년, 심비안 OS를대상으로하는악성코드의수급격하게증가 2005년상반기, 플랫폼보안기술을탑재한 Symbian OS 9.1이등장 - 특정 API에접근하기위해서는 Symbian Signed의 Test House를통해어플리케이션검증및전자서명을받아야함 < 연도별심비안악성코드발생추이 > 1 ID 요청 - 악성코드수감소 3 전자서명 2 ID 발급 인증기관 (TC TrustCenter) 4 검증요청 Test House ( 6 서명된어플리케이션 출처 : SmobileSystems 5 검증및서명 8

LocalServices - 블루투스, USB, 적외선연결을이용할수있는권한 2) UserEnvironment - 음성녹음및카메라를제어할수있는권한 3) NetworkServices - 전화, 문자메시지,

9 모바일보안이슈 - 심비안 심비안 - Self Signing Symbian Signed를통한어플리케이션검증은시간이오래걸려유연성이떨어짐어플리케이션이기본권한 (Basic Capability) 만을필요로할경우, 개발자는자기서명인증서 (Self-signed Certificate) 를통해어플리케이션을서명하여즉시배포악성코드제작자가이를악용하여악성프로그램을자기서명 (Self Signing) 하고유포할가능성이존재 기본권한 1) LocalServices - 블루투스, USB, 적외선연결을이용할수있는권한 2) UserEnvironment - 음성녹음및카메라를제어할수있는권한 3) NetworkServices - 전화, 문자메시지, 무선랜등을이용할수있는권한 4) ReadUserData - 연락처등의개인정보를읽을수있는권한 5) WriteUserData - 연락처등의개인정보를쓸수있는권한 6) Location (S60 3 rd Edition, FP2 부터 ) - 단말기의위치정보에접근할수있는권한 9

10 모바일악성코드유형및사례 - 개인정보유출 유형 1) 개인정보유출 통화내역, 수신메시지, 전화번호부, 일정, 메모, 위치정보등개인신상정보유출 인터넷뱅킹, 소액결제등의금융거래정보, 업무용파일등기밀정보유출 PBStealer (2005) 전화번호부압축프로그램으로가장한악성코드로, 단말기에저장된전화번호를외부단말기로유출 피해사례 iphone/privacy.a (2009) 감염된아이폰에서무선랜을접속하는경우개인정보 ( 문자메시지, 이메일등 ) 를원격지로전달 Duh Worm (2009) 아이폰을이용한금융관련거래에서 SMS 기반인증코드 (6 자리 ) 를훔쳐내어원격지로전송하는등의금전적인피해유발가능 < PBStealer 에감염된단말기 > < PBStealer 감염된단말기와 인접한단말기가수신한전화번호파일 > 10

11 모바일악성코드유형및사례 - 장치이용제한 유형 2) 장치이용제한 단말기 UI 변경, 단말기파손 ( 오류발생 ), 배터리소모, 정보 ( 파일, 일정, 전화번호등 ) 및프로그램삭제등 Skull (2004) 단말기의시스템어플리케이션을다른파일로교체하여, 단말기사용을불가능하게함 Bootton(2005) 단말기에설치된응용프로그램아이콘변경, 전화통화외에다른기능사용하지못하게함 피해사례 < Skull 에감염된단말기 > < Bootton 에감염된단말기 > BlankFont (2005) 단말기폰트파일사용불가능하게함 Ikee (2009) 아이폰의바탕화면을 80 년대팝가수릭애슬리사진으로변경 < BlankFont 에감염된단말기 > < Ikee 에감염된단말기 > 11

SMS 메시지를해당전화번호로보냄으로써고액의서비스이용료부과 피해사례 CommWarrior (2005) MMS

12 모바일악성코드유형및사례 - 부정과금 유형 3) 부정과금유발 SMS, 멀티미디어메시지 (MMS) 등스팸문자발송 휴대전화소액결제, 무선인터넷이용, 유료전화서비스악용등 Mosquit (2004) 고액의비용을청구하는서비스전화번호리스트를포함하여, 단말기사용자몰래 SMS 메시지를해당전화번호로보냄으로써고액의서비스이용료부과 피해사례 CommWarrior (2005) MMS 메시지에자신의복사본을첨부하고 단말기주소록에있는모든연락처에 발송함으로써단말기소유자에게고액의서비스이용료부과 < CommWarrior 에감염된단말기 > 12

13 모바일악성코드유형및사례 -DDoS 유형 4) 모바일 DDoS 감염된좀비단말기는특정사이트에트래픽을유발하거나특정단말기에 SMS를전송함으로써부정과금유발및웹사이트마비, 단말이용불능야기 스마트폰자체가 DDoS 유발용단말기 (C&C) 로도사용가능 < 스마트폰을이용한모바일 DDoS 공격 > < 스마트폰을이용한 SMS DDoS 공격 > 13

14 모바일악성코드유포경로 스팸문자를통한악성앱설치유도 무료쿠폰또는정부 / 공공기관을사칭하여악성앱설치를유도하는문자를이용자들 에게발송 스미싱 (Smishing) 정상마켓을통한악성앱설치유도 정상앱과동일한아이콘을사용하고유사한앱명칭을사용하는등위장하여구글마켓을통하여유포 국내이통사의앱마켓은관리자가직접악성행위를포함한앱의정상동작여부를시험하기때문에악성앱이등록되기어려움 블랙마켓및포털사이트를통한악성앱설치유도 정상마켓에서유료로배포되는앱을무료앱으로리패키징하는과정에서악성모듈삽입 하여블랙마켓등에서유포 14

모바일악성코드사례 - 안드로이드 (1/3) 2010~12 구분 악성코드명 주요악성행위 발생일자 1 Jackeey wallpaper 정보유출 '10.07.30 2 Christmas wallpaper 정보유출 '10.08.09 3 Trojan-SMS.AndroidOS.FakePlayer.a SMS 무단전송 '10.08.10 4 Tapsnake 정보유출 '10.

15 모바일악성코드사례 - 안드로이드 (1/3) 2010~12 구분 악성코드명 주요악성행위 발생일자 1 Jackeey wallpaper 정보유출 ' Christmas wallpaper 정보유출 ' Trojan-SMS.AndroidOS.FakePlayer.a SMS 무단전송 ' Tapsnake 정보유출 ' Trojan-SMS.AndroidOS.FakePlayer.b SMS 무단전송 ' Trojan-SMS.AndroidOS.FakePlayer.c SMS 무단전송 ' FLEXISPY 정보유출 ' Secret SMS Replicator SMS 유출 ' Geinimi 정보유출, SMS 무단전송 ' ADRD 정보유출, SMS 무단전송, 음성녹음 ' PjApps.A / PjApps.B 정보유출, SMS 무단전송 ' Pjapps.C 정보유출, SMS 무단전송 ' ADRD.E / ADRD.F / ADRD.G / ADRD.H 정보유출, SMS 무단전송, 음성녹음 ' Zsone.a / Zsone.b / Zsone.c SMS 무단전송 Smspacem.a SMS 무단전송 HiddenSms 위치정보유출, SMS무단전송 FakeTr SMS탈취, 정보유출 qqgame.lord 루팅 (rooting), 추가악성앱설치 DroidKungFu 정보유출, 추가악성앱설치 Angry Birds Rio Unlocker 정보유출 GoldDream SMS, 통화기록정보유출 Aintivirus.kav 정보유출

16 모바일악성코드사례 - 안드로이드 (2/3) 구분 악성코드명 주요악성행위 발생일자 23 HippoSMS SMS 무단전송 DrumPlayer 정보유출 Nicky / Nicky.B / Nicky.C 정보유출, 음성녹음 GingerMarster 루팅 (rooting), 추가악성앱설치, 정보유출 ROMZhanDian 단말기정보수집 Android.Spitmo.A SMS 무단전송, 단말기정보유출 SmsSend.K SMS 무단전송 System 정보유출, SMS 무단전송 系统提示!(Adsms) 정보유출, SMS 무단전송 FakeNefilix.A 이메일계정정보유출 EusendSMS.A / EusendSMS.B SMS 무단전송 InfoStealer2012 이메일계정, 국가코드정보유출 Foncy SMS 무단전송 RootSmart 정보유출, 자동루팅, 악성코드다운로드 Trojan.Android.DoS.WebLoic DoS공격수행 Android-Trojan/SmsSend.AJB 정보유출, SMS 무단전송 Android-Exploit/Rootor.TC 정보유출, 자동루팅, C&C 통신 Trojan-Spy/Android-Plankton 단말기식별번호, 위치정보유출 Trojan/Android.Tigerbot.A 정보유출, SMS 무단발송 Android-Trojan/FakeAV 허위모바일백신 Android-Trojan/Zitmo.B/C/D 안드로이드기기정보유출 Android-Trojan/FakeInst 휴대폰정보유출, 특정번호로문자발송

17 모바일악성코드사례 - 안드로이드 (3/3) 45 Android/LuckyCat 휴대폰정보원격지전송 Android-Trojan/Loozfon 개인정보탈취, 주소록원격지전송 ' Trojan-SMS/Android.KRSpammer.A/B/C 방통위사칭, SMS 인증코드탈취 Trojan-SMS/Android.KRSpammer.D/E 이통사사칭, SMS 인증코드탈취 Trojan-SMS/Android.KRSpammer 폰키퍼사칭, SMS 정보탈취, DDoS 모듈 ' Troajn-SMS/Android.KRSpammer 파리바게뜨무료쿠폰사칭, SMS 정보탈취 Troajn-SMS/Android.KRSpammer 피자헛, 베스킨라빈스무료쿠폰사칭, SMS 정보탈취 Troajn-SMS/Android.KRSpammer 카페베네무료쿠폰사칭, SMS 정보탈취 Troajn-SMS/Android.KRSpammer 이통사사칭, SMS 정보탈취 Troajn-SMS/Android.KRSpammer 피자헛사칭, SMS 정보탈취 Troajn-SMS/Android.KRSpammer 도미노피자사칭, SMS 정보탈취 Troajn-SMS/Android.KRSpammer 다빈치커피무료쿠폰사칭, SMS 정보탈취 Troajn-SMS/Android.KRSpammer 롯데리아, SMS 정보탈취 Trojan/Android.KRSpammer.W BBQ 소액결제사칭, SMS 정보탈취 Trojan/Android.KRFakePK.D 구글검색사칭, DDoS 모듈, SMS 정보탈취 Trojan/Android.KRSpammer.V 구글검색사칭, DDoS 모듈, SMS 정보탈취

국외보안전문업체 F-Secure 에서 4 월 9 일발견한국제전화무단발신악성코드가국내로유입

18 모바일악성코드사례 -WinCE/TerDial(1/2) 국내발생스마트폰악성코드 WinCE/TerDial 10 년 4 월 19 일, 국내최초모바일악성코드 (WinCE/TerDial) 가보고됨 3D Anti Terrorist Action' 이라는스마트폰 ( 윈도우모바일 ) 게임에트로이목마형태로악성코드가숨어있었으며, 게임이설치되는시점에스마트폰을감염시키고국제전화를무단으로발신 국외보안전문업체 F-Secure 에서 4 월 9 일발견한국제전화무단발신악성코드가국내로유입 악성코드가포함된게임이해외유명스마트폰어플리케이션공유사이트에서유포되고있었으며국내의경우윈도우모바일이용자카페등의커뮤니티에서무료게임공유형태로유포되고있었음 당시국내스마트폰가입자약 160 여만명중악성코드에감염되어해당발신번호로국제전화가시도된이용자는약 150 여명 (0.01%) 이며과금피해사례는없었음 18

19 모바일악성코드사례 -WinCE/TerDial(2/2) 국내발생스마트폰악성코드 WinCE/TerDial 감염경로및증상 o 국내카페, 블로그등커뮤니티사이트 - cafe.naver.com/777i.cafe - smartphonekorea.com - mo2ra.net o 중국 : panda.com 3D Anti- Terrorist ( 감염 ) 인터넷 악성코드실행화면 , , , , , 개의 premium rate 번호로 50 초간격으로국제 ( 도미니카공화국, 소말리아, 스위스, 상투메프린시페등소재 ) 전화시도 19 19

20 모바일악성코드사례 -Geinimi 게이니미 (Geinimi, 10 년 12 월 ) 안드로이드최초봇넷기능을지닌모바일악성코드 - 중국사설안드로이드마켓에다수의유명앱을리패키징하여유통 - 주기적으로단말기정보를 C&C로유출하고명령을다운받아악성행위수행 유명앱으로리패키징 중국사설안드로이드마켓 5분마다접속 1) 정보유출 2) 명령확인 C&C SMS 전송 / 삭제이메일전송전화발신앱설치 / 삭제 20

모바일악성코드사례 -PJApps PJApps(10 년 12 월 ) 봇넷기능을지닌안드로이드악성코드 - Steam 등의앱에리패키징하여중국사설마켓에유통 - IMEI 및 IMSI 등의단말기정보를아래 URL 로유출 http://log.meego91.com:9033/android.log http://mobile.meego91.com/mm.do http://xml.

21 모바일악성코드사례 -PJApps PJApps(10 년 12 월 ) 봇넷기능을지닌안드로이드악성코드 - Steam 등의앱에리패키징하여중국사설마켓에유통 - IMEI 및 IMSI 등의단말기정보를아래 URL 로유출 총 6 가지의악성행위를수행할수있으며 xbox 명령은구현되지 않은것으로보아테스트단계의악성코드로추정됨 명령어 악성행위 note sms 전송 push C&C에즉시접속하여정보유출및명령수신 soft 추가어플리케이션설치 window 특정 URL을브라우저에띄우기 xbox 구현되지않음 mark 즐겨찾기추가 - 악성코드의 C&C 정보는자체적인인코딩을통해암호화되어있으며 C&C 접속시복호화 (com.android.main.base64->encodebook) 21

로유출 http://adrd.xiaxiab.com/pic.aspx http://adrd.taxuan.

22 모바일악성코드사례 -ADRD ADRD(11 년 2 월 ) 안드로이드정보유출및과금피해악성코드 - 배경화면앱 (Dandelion) 에리패키징하여중국사설마켓에유통 - IMEI 및 IMSI 등의단말기정보를아래 URL 로유출 암호화된명령받아특정키워드검색후사이트방문 트래픽발생 -> 과금 금전적이익? 추정 22

23 모바일악성코드사례 - 국내 방통위사칭앱 안드로이드 OS 탑재스마트폰을대상으로하는스팸발송형악성코드 (Trojan-SMS/Android.KRSpammer.A/B/C) 가발생 ( ) 방송통신위원회에서만든스팸차단앱으로사칭 구글안드로이드마켓에등록 ( 등록자 : STECH) 되어유포되었으며, 이후스팸문자에단축 URL형태로전파 소액결제이용시특정전화번호 ( 결제대행업체 34개 ) 로메시지가수신되는경우해당문자메시지를원격지서버로전송함 국내자료실에해당앱을삭제하고피해주의보안공지및언론보도실시 23

24 모바일악성코드사례 - 국내 사례 : 방송통신위원회사칭악성앱 ( 12.10) - 소액결제 < 필터링대상전화번호 > < 실행화면 > < 구글앱마켓등록 > < 정보유출내용 > 유출대상 : 필터링대상전화번호로발신된문자메시지일체 24

25 모바일악성코드사례 - 국내 방통위사칭앱의변종앱이등장 일발생한방통위사칭앱의변종이발생하였으며변종앱의경우는이동통신사 요금명세서및통신사환급금조회앱으로위장 ( ) 이동통신사에서제공한요금명세서조회앱및통신사환급금조회앱으로사칭함 분석결과 C&C 주소와필터링대상이되는전화번호가다소차이가있음 DDoS 공격모듈이탑재된악성앱이최초로등장 스마트폰보안자가점검앱 ( 폰키퍼 ) 사칭사건발생 ( ) 구글마켓에등록된폰키퍼최신버전을리패키징하여 DDoS 모듈, SMS 발송을위한 악성코드추가 25

26 모바일악성코드사례 - 국내 사례 : 국민연금사칭악성앱 ( ) 유출대상 : 스마트폰단말기내 NPKI, DCIM, MEMO 디렉터리일체 26

27 모바일앱분석 모바일악성코드분석 과거에는단말기에직접연결하는디버깅방식이많아분석환경구축에시간이많이소비됨 포렌식기술로단말기에설치된앱을추출, 바이너리분석을가능케함 ( 디스어셈블 디컴파일소스코드 ) 분석도구가발달되면서네트워크, 파일기반, 분석등세밀한분석데이터를얻어냄 과거 현재 27

dex : Dalvik 가상머신에서동작하는바이너리실행파일 - /res : 컴파일되지않은리소스파일 ( 아이콘, 이미지, 음악등 ) 들이포함된폴더 - /META-INF :

28 APK 구조 안드로이드 안드로이드설치파일 APK 구조 안드로이드어플리케이션설치를위한패키지, 즉압축파일 (zip) - AndroidManifest.xml : 어플리케이션에대한설명및실행권한등의정보를지니는 XML 파일 - Classes.dex : Dalvik 가상머신에서동작하는바이너리실행파일 - /res : 컴파일되지않은리소스파일 ( 아이콘, 이미지, 음악등 ) 들이포함된폴더 - /META-INF : 배포시인증서로서명한내용, APK 파일내폴더, 파일에대한 SHA-1 해쉬값 - resources.arsc : 컴파일된리소스파일 Eclipse JAVA Android SDK 1 개발 2 설치 3 실행 Applications Application Framework Libraries Dalvik VM Linux Kernel 28

29 악성앱제작 안드로이드 29

30 악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 트로이목마 - 기존안드로이드유명게임에악성코드를리패키징 Monkey Jump2, Sex Positions, President vs. Aliens, City Defense, Baseball SuperStars 2010 등 - 게임설치시필요이상의많은권한을요구 30

31 악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 봇넷기능 - 총 11 개의 C&C 서버로부터명령을수신 - 명령어는크게 CmdID 에따라 2 개의그룹으로나뉘며총 36 개의명령어가존재 CmdID = 1 CmdID = 2 call:// 전화발신 contactlist 특정 URL로전화번호부및단말기정보전송 // 이메일발송 smsrecord 일정기간내의 SMS를특정 URL로전송 map:// 지도표시 deviceinfo 특정 URL로단말기정보전송 sms:// SMS 전송 location 위치정보를주기적으로특정 URL로전송 search:// 구글검색결과창띄우기 sms SMS 전송 install:// 어플리케이션설치 register 특정전화번호로 "IMEI;IMSI" 전송 shortcut:// 바로가기생성 call 전화발신 contact:// 연락처추가 suggestsms 전화번호부내에있는전화번호로문자발송 wallpaper:// 배경화면변경 skiptime 서버접속을위한 skip_time 설정 bookmark:// 북마크추가 changefrequency 서버접속주기설정, 기본 = 5분 특정웹사이트열기 applist 설치앱정보를특정 URL로유출 toast:// toast 메시지띄우기 updatehost C&C 정보업데이트 startapp:// 어플리케이션실행 install 어플리케이션다운및설치 suggestsms:// SMS 제안창띄울것으로추정 uninstall 어플리케이션삭제 silentsms:// SMS 전송 showurl URL창열기 text:// 구현되지않음 shell 10초간격으로전송된쉘명령리스트실행 kill 프로세스종료 start 프로그램실행 smskiller SMS 문자폭탄 dsms 문자메시지삭제 31

32 악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 암호화 - 악성코드의주요문자열 ( 명령어, C&C주소등 100개 ) 은 DES를이용하여암호화암호화된복호화된문자열 C&C 주소명령어 복호화 DES 복호화모듈 JAVA 루틴코딩 32

33 악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 코드난독화 - 악성코드의클래스및메소드가단일알파벳문자로만구성 ( 의미분석 X) - 함수오버로딩을이용하여 Code Readability가떨어짐 33

34 악성앱분석 - 네이버사칭앱 34

35 악성앱분석 - 네이버사칭앱 악성앱실행시모바일네이버웹화면보이는내용및악성행위서비스등록 35

36 악성앱분석 - 네이버사칭앱 정상금융앱을악성금융앱으로교체설치 교체설치된악성금융앱은 SMS, 기기정보, 연락처등을유출 36

37 악성앱분석 - 네이버사칭앱 기존스미싱악성앱과같이문자메시지를탈취하는기능을포함 37

38 악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 38

39 악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 대출상담을위장하여개인정보 ( 이름, 연락처, 생년월일등 ) 를입력유도 39

40 악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 고객센터로전화발신시, 발신화면에는정상적으로고객센터전화번호를보여주지만 실제로는해커가지정한다른번호로발신하여보이스피싱등추가악성행위가가능 고객센터전화번호 : 실제발신번호 :

41 악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 기기정보 ( 전화번호, 단말기모델명, IMEI 등 ) 를유출 해커가설정한고객상담위장용전화번호및기기정보유출지 고객센터전화번호 : , 정보유출지 : 41

한국정보보호진흥원

한국정보보호진흥원 모바일플랫폼춘추전국시대 2010 년을기점으로다양한종류의모바일운영체제가등장하였으며, 최근에는애플아이폰, 구글안드로이드등이스마트폰분야에서절대적인점유율을차지하고있는상황 II. 모바일보안이슈및위협 모바일시큐리티위협 ( 기존위협확대 ) 사이버침해공격, 바이러스 웜감염등기존위협이모바일환경에서도재현 ( 신규위협출현 ) 무선랜 (Wi-Fi), 블루투스, 이동통신, GPS