한국정보보호진흥원

Similar documents
한국정보보호진흥원

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

슬라이드 1


Android Master Key Vulnerability

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Microsoft PowerPoint - 김창수 v2.pptx

Secure Programming Lecture1 : Introduction


Secure Programming Lecture1 : Introduction

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

ScanDal/Privacy 안드로이드앱의 개인정보누출을잡아내는 정적분석기 서울대학교프로그래밍연구실김진영윤용호이광근

[ 목차 ] 1. 개요 2 2. 악성앱배포방식 2 3. 채굴악성앱유형분석 정상앱을리패키징하여채굴기능포함후재배포 앱개발시의도적으로채굴기능포함 9 4. 스마트폰악성앱감염예방방법및대처 참고문헌 12 [ 붙임 ] 13

THE TITLE


NX1000_Ver1.1

고객 카드

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Chapter 2

(Microsoft PowerPoint - BYSAXZXMJFCS.ppt [\310\243\310\257 \270\360\265\345])

Ⅰ. 스마트폰에대한보안위협현황 1. 국내스마트폰이용현황 2009 년 11월 28일아이폰의국내정식출시를시작으로스마트폰의보급과그이용이빠르게늘어나기시작하여 2012 년 8월에이르러서는국내스마트폰이용자가 3,000 만명을넘어서게되었다. 방송통신위원회의무선통신서비스현황자료 (

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

Network Security

Secure Programming Lecture1 : Introduction

#WI DNS DDoS 공격악성코드분석

Operation-name: 악성행위의종류를말하며, Sending SMS Calling Sending sensitive information Converting data 로분류합니다. Operation-target: 악성행위의목표물을말하며, Premium-rate SM

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

SBR-100S User Manual

Office 365 사용자 가이드

사용하기 전에 2

H3250_Wi-Fi_E.book

정보

2018_11_06 Nubo 소개자료

< D28C3B7BACE29BDBAB8B6C6AEC6F9C0CCBFEB5FBDC7C5C25FBFE4BEE02E687770>

안드로이드 앱의 개인정보 유출 여부 분석

Microsoft Word - src.doc

*2008년1월호진짜

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

암호내지

ESET Mobile Security for Android

(Microsoft PowerPoint - AndroG3\306\367\306\303\(ICB\).pptx)

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

슬라이드 1

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

< C1B6B0A35FBDBAB8B6C6AEC6F920B1DDC0B6B0C5B7A B0E8B8ED20B8B6B7C328BAD9C0D332295FBEC8B3BBBCAD2E687770>

PowerPoint 프레젠테이션

Microsoft Word - 문필주.doc


메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에

4S 1차년도 평가 발표자료

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE2DC1B6BAB4C8A3>

PowerPoint 프레젠테이션

iOS5_1±³

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

804NW±¹¹®

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

한국정보보호진흥원

I. 주요현황 FOCUS 1. PC 악성코드동향 한국인터넷진흥원인터넷침해사고대응통계월보 ( 13.1 월호 ) 에따르면당월한달간신고접수된악성코드감염피해신고건수는총 2,557 건으로전월 2,462 건대비 3.9% 증가한것으로집계되었다. 지난해연간피해신고된주요악성코드로는,

을풀면된다. 2. JDK 설치 JDK 는 Sun Developer Network 의 Java( 혹은 에서 Download > JavaSE 에서 JDK 6 Update xx 를선택하면설치파일을

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

PowerPoint Presentation

서현수

PowerPoint Presentation

PowerPoint 프레젠테이션

Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위

PowerPoint 프레젠테이션

[Blank Page] i

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

PowerPoint 프레젠테이션

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

08_spam.hwp

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Microsoft PowerPoint _사용자매뉴얼.ppt

슬라이드 1

BN H-00Kor_001,160

140109_다본다 레전드 매뉴얼

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

<342EB8F0B9D9C0CF20C5ACB6F3BFECB5E520C8AFB0E6BFA1BCADC0C720BAB8BEC820C0CCBDB45FC3D6C0BAC7F52E687770>

wtu05_ÃÖÁ¾

F120L(JB)_UG_V1.0_ indd


슬라이드 1

Droid-XG

201112_SNUwifi_upgrade.hwp

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE5FB0FBC1F82E646F63>

유포지탐지동향

Transcription:

모바일보안위협유형및악성코드 2016. 9. 8 전길수 kschun@kisa.or.kr Kschun68@gmail.com

모바일보안위협 모바일시큐리티위협 ( 기존위협확대 ) 사이버침해공격, 바이러스 웜감염등기존위협이모바일환경에서도재현 ( 신규위협출현 ) 무선랜 (Wi-Fi), 블루투스, 이동통신, GPS 통신등복수통신기능의단말탑재로침해경로다변화, 스마트기기개방형앱 (App) 의안전성보장미흡등 모바일보안위협은모바일단말, 무선네트워크, 모바일기반신규서비스, 모바일콘텐츠로구분가능 2

모바일보안위협 모바일시큐리티위협 : 네트워크영역 스마트폰통한공공 사설무선랜이용시무선신호스니핑, 정보탈취용비인증 AP, 대량무선패킷전송을통한모바일 DDoS 공격가능 - 국내 15 개시 도, 29 개지역무선 AP(42,997 대 ) 보안현황조사결과, 약 44.8% 가無보안설정되어운영중 (KISA, 10.7) - 전세계 27 개공항의무선랜취약성조사결과대상의 59% 가無보안운영, 21% 는취약한 WEP 방식사용 ( 美 Air Tight Networks 사, '10 년상반기 ) 유형패킷스니핑중간자공격비인증 (rogue) AP 워드라이빙 (Wardriving) 암호사전공격 침해동작 무선구간에서패킷수집도구를통한멀티미디어콘텐츠유출 위변조, 패킷 해독을통한암호화인증무력화시도 기기간의통신을조작하는 MITM(Man-In-The-Middle) 공격을통해데이터를 장기간유출하거나거짓정보삽입시도 비인증된 AP로모바일기기를유도 (Wi-Fi 피싱 ) 하고사용자로그인시 패스워드 / 이메일 / 신용카드등의데이터해킹시도 차량으로이동하며구내정보통신망 (LAN) 에무단으로접속하고, GPS 를이용해 지역별무선액세스접속허점노출 암호사전 (Dictionary) 을통하여암호화된패스워드의해독시간단축시도 3

모바일보안위협 모바일시큐리티위협 : 응용서비스 / 모바일콘텐츠영역 이용자의동의없이스마트폰앱이자의적으로이용자위치정보, 단말기정보, 연락처정보등을수집 유출가능 - 스마트폰앱상당수가폰 ID, 이용자위치, 나이, 성별등개인정보를전송 - Facebook 150 만명의개인정보가천명당 $25~$45 에거래 (Networkworld, '10.4 월 ) 위치기반서비스이용시 GPS 탑재한모바일기기로개인위치정보오 남용, 사생활침해 스마트폰앱사설마켓및블랙마켓을통한악성앱유통 - 모바일악성코드들은보안성검증이취약한사설앱마켓및오픈마켓을통해유통 스마트폰등을활용한모바일광고를위해무작위스팸발생증가 - 악성코드에감염된스마트폰을이용한모바일봇넷구성후원격조정 대량스팸분산발송위험증가 SNS 단문 (short) URL 서비스를악용한피싱 사기발생 - 단문 URL : 일반인터넷주소 (URL) 를모바일에서이용하기쉽도록짧게줄인형태의주소 - 악의적사설모바일앱스토어 SNS 사이트로유인하여악성프로그램설치유도등공격증가 악성댓글, 사이버모욕등불건전한인터넷활동이모바일미디어를통해확산되어사회, 경제, 안보등에부정적영향을미치는인포데믹스위협확대 - 인포데믹스 ( InfoDemics, 정보 (Information)+ 전염병 (Epidemic) ) : 근거없는정보가급속히전파되면서사회 경제적으로혼란을야기하는현상을지칭 4

모바일보안위협 피처폰 / 스마트폰 /PC 환경비교 구분피처폰스마트폰 PC 운영체제 폐쇄형플랫폼 - 제조사별기능탑재 개방형플랫폼 - 아이폰, 안드로이드등 개방형플랫폼 - 윈도우, 리눅스등 이동통신사가제공하는제한된기능 앱스토어와같은오픈마켓또는인터 다양한어플리케이션의다운로드 / 서드파티어플리케이션지원 의어플리케이션만설치가능 모바일플랫폼표준규격 (WIPI) 기반에서 해당통신사만탑재가능 사용자커스터마이징불가 넷상에서자유롭게다운로드가능 누구나제작 / 배포 / 설치가능 사용자커스터마이징가능 설치가능 누구나제작 / 배포 / 설치가능 사용자커스터마이징가능 인터넷접속환경 2G 또는 3G - CDMA, WCDMA, HSDPA 3G, 4G, 무선네트워크 - WCDMA, HSDPA, Wi-Fi, 블루투스등 유 / 무선네트워크 전화번호위주의간단한주소록, 주소록, 일정관리, 오피스문서, 금융 개인문서위주의데이터 저장데이터 일정등 정보등 주요개인정보 평문저장 평문저장 평문저장 24 시간항상전원이켜져있음 24 시간항상전원이켜져있음 인터넷또는문서작업등의필요 사용시간 사용자시선에서벗어날수있음 사용자의시선에서벗어날수있음 한시간에만사용후전원끔 사용자의시선에서벗어나는 시간이짧음 5

모바일보안이슈 - 모바일악성코드 모바일악성코드 모바일악성코드도 PC 환경처럼다양한경로로감염이될수있으나, 주로정상앱 ( 애플리케이션 ) 인것처럼배포되어설치와실행을유도하여감염 - 화면훔쳐보기, 통화내역도청뿐만아니라, DDoS 등과같은피해유발 감염!!! 게임앱등으로위장유포 구글마켓, 블랙마켓 스마트폰훔쳐보기 통화내역도청 스마트폰 DDoS 스팸 / 유료문자 / 국제전화무단발송 6

모바일보안이슈 - 안드로이드마켓 안드로이드마켓악성프로그램유포사례 허위모바일뱅킹프로그램유포 ('09.12) - 09Droid 라는 ID 를가진개발자가미국은행이나신용조합이름으로 39 종의개인정보유출악성프로그램을유포 어플리케이션에대해정당성및보안성검토절차가없음 안드로이드는어플리케이션설치시 어플리케이션의접근권한을명시하여 이용자가설치여부를결정하게함 7

모바일보안이슈 - 심비안 심비안 - 어플리케이션검증체계등장 2004년, 심비안 OS를대상으로하는악성코드의수급격하게증가 2005년상반기, 플랫폼보안기술을탑재한 Symbian OS 9.1이등장 - 특정 API에접근하기위해서는 Symbian Signed의 Test House를통해어플리케이션검증및전자서명을받아야함 < 연도별심비안악성코드발생추이 > 1 ID 요청 - 악성코드수감소 3 전자서명 2 ID 발급 인증기관 (TC TrustCenter) 4 검증요청 Test House (www.symbiansigned.com) 6 서명된어플리케이션 출처 : SmobileSystems 5 검증및서명 8

모바일보안이슈 - 심비안 심비안 - Self Signing Symbian Signed를통한어플리케이션검증은시간이오래걸려유연성이떨어짐어플리케이션이기본권한 (Basic Capability) 만을필요로할경우, 개발자는자기서명인증서 (Self-signed Certificate) 를통해어플리케이션을서명하여즉시배포악성코드제작자가이를악용하여악성프로그램을자기서명 (Self Signing) 하고유포할가능성이존재 기본권한 1) LocalServices - 블루투스, USB, 적외선연결을이용할수있는권한 2) UserEnvironment - 음성녹음및카메라를제어할수있는권한 3) NetworkServices - 전화, 문자메시지, 무선랜등을이용할수있는권한 4) ReadUserData - 연락처등의개인정보를읽을수있는권한 5) WriteUserData - 연락처등의개인정보를쓸수있는권한 6) Location (S60 3 rd Edition, FP2 부터 ) - 단말기의위치정보에접근할수있는권한 9

모바일악성코드유형및사례 - 개인정보유출 유형 1) 개인정보유출 통화내역, 수신메시지, 전화번호부, 일정, 메모, 위치정보등개인신상정보유출 인터넷뱅킹, 소액결제등의금융거래정보, 업무용파일등기밀정보유출 PBStealer (2005) 전화번호부압축프로그램으로가장한악성코드로, 단말기에저장된전화번호를외부단말기로유출 피해사례 iphone/privacy.a (2009) 감염된아이폰에서무선랜을접속하는경우개인정보 ( 문자메시지, 이메일등 ) 를원격지로전달 Duh Worm (2009) 아이폰을이용한금융관련거래에서 SMS 기반인증코드 (6 자리 ) 를훔쳐내어원격지로전송하는등의금전적인피해유발가능 < PBStealer 에감염된단말기 > < PBStealer 감염된단말기와 인접한단말기가수신한전화번호파일 > 10

모바일악성코드유형및사례 - 장치이용제한 유형 2) 장치이용제한 단말기 UI 변경, 단말기파손 ( 오류발생 ), 배터리소모, 정보 ( 파일, 일정, 전화번호등 ) 및프로그램삭제등 Skull (2004) 단말기의시스템어플리케이션을다른파일로교체하여, 단말기사용을불가능하게함 Bootton(2005) 단말기에설치된응용프로그램아이콘변경, 전화통화외에다른기능사용하지못하게함 피해사례 < Skull 에감염된단말기 > < Bootton 에감염된단말기 > BlankFont (2005) 단말기폰트파일사용불가능하게함 Ikee (2009) 아이폰의바탕화면을 80 년대팝가수릭애슬리사진으로변경 < BlankFont 에감염된단말기 > < Ikee 에감염된단말기 > 11

모바일악성코드유형및사례 - 부정과금 유형 3) 부정과금유발 SMS, 멀티미디어메시지 (MMS) 등스팸문자발송 휴대전화소액결제, 무선인터넷이용, 유료전화서비스악용등 Mosquit (2004) 고액의비용을청구하는서비스전화번호리스트를포함하여, 단말기사용자몰래 SMS 메시지를해당전화번호로보냄으로써고액의서비스이용료부과 피해사례 CommWarrior (2005) MMS 메시지에자신의복사본을첨부하고 단말기주소록에있는모든연락처에 발송함으로써단말기소유자에게고액의서비스이용료부과 < CommWarrior 에감염된단말기 > 12

모바일악성코드유형및사례 -DDoS 유형 4) 모바일 DDoS 감염된좀비단말기는특정사이트에트래픽을유발하거나특정단말기에 SMS를전송함으로써부정과금유발및웹사이트마비, 단말이용불능야기 스마트폰자체가 DDoS 유발용단말기 (C&C) 로도사용가능 < 스마트폰을이용한모바일 DDoS 공격 > < 스마트폰을이용한 SMS DDoS 공격 > 13

모바일악성코드유포경로 스팸문자를통한악성앱설치유도 무료쿠폰또는정부 / 공공기관을사칭하여악성앱설치를유도하는문자를이용자들 에게발송 스미싱 (Smishing) 정상마켓을통한악성앱설치유도 정상앱과동일한아이콘을사용하고유사한앱명칭을사용하는등위장하여구글마켓을통하여유포 국내이통사의앱마켓은관리자가직접악성행위를포함한앱의정상동작여부를시험하기때문에악성앱이등록되기어려움 블랙마켓및포털사이트를통한악성앱설치유도 정상마켓에서유료로배포되는앱을무료앱으로리패키징하는과정에서악성모듈삽입 하여블랙마켓등에서유포 14

모바일악성코드사례 - 안드로이드 (1/3) 2010~12 구분 악성코드명 주요악성행위 발생일자 1 Jackeey wallpaper 정보유출 '10.07.30 2 Christmas wallpaper 정보유출 '10.08.09 3 Trojan-SMS.AndroidOS.FakePlayer.a SMS 무단전송 '10.08.10 4 Tapsnake 정보유출 '10.08.20 5 Trojan-SMS.AndroidOS.FakePlayer.b SMS 무단전송 '10.09.10 6 Trojan-SMS.AndroidOS.FakePlayer.c SMS 무단전송 '10.10.15 7 FLEXISPY 정보유출 '10.10.20 8 Secret SMS Replicator SMS 유출 '10.11.04 9 Geinimi 정보유출, SMS 무단전송 '10.12.29 10 ADRD 정보유출, SMS 무단전송, 음성녹음 '11.02.14 11 PjApps.A / PjApps.B 정보유출, SMS 무단전송 '11.02.15 12 Pjapps.C 정보유출, SMS 무단전송 '11.02.20 13 ADRD.E / ADRD.F / ADRD.G / ADRD.H 정보유출, SMS 무단전송, 음성녹음 '11.03.02 14 Zsone.a / Zsone.b / Zsone.c SMS 무단전송 11.05.12 15 Smspacem.a SMS 무단전송 11.05.31 16 HiddenSms 위치정보유출, SMS무단전송 11.06.02 17 FakeTr SMS탈취, 정보유출 11.06.03 18 qqgame.lord 루팅 (rooting), 추가악성앱설치 11.06.07 19 DroidKungFu 정보유출, 추가악성앱설치 11.06.09 20 Angry Birds Rio Unlocker 정보유출 11.06.13 21 GoldDream SMS, 통화기록정보유출 11.07.07 22 Aintivirus.kav 정보유출 11.07.15 15

모바일악성코드사례 - 안드로이드 (2/3) 구분 악성코드명 주요악성행위 발생일자 23 HippoSMS SMS 무단전송 11.07.18 24 DrumPlayer 정보유출 11.07.19 25 Nicky / Nicky.B / Nicky.C 정보유출, 음성녹음 11.08.02 26 GingerMarster 루팅 (rooting), 추가악성앱설치, 정보유출 11.08.23 27 ROMZhanDian 단말기정보수집 11.09.20 28 Android.Spitmo.A SMS 무단전송, 단말기정보유출 11.09.20 29 SmsSend.K SMS 무단전송 11.10.07 30 System 정보유출, SMS 무단전송 11.10.07 31 系统提示!(Adsms) 정보유출, SMS 무단전송 11.10.12 32 FakeNefilix.A 이메일계정정보유출 11.10.14 33 EusendSMS.A / EusendSMS.B SMS 무단전송 11.12.14 34 InfoStealer2012 이메일계정, 국가코드정보유출 12.01.06 35 Foncy SMS 무단전송 12.01.18 36 RootSmart 정보유출, 자동루팅, 악성코드다운로드 12.02.03 37 Trojan.Android.DoS.WebLoic DoS공격수행 12.02.18 38 Android-Trojan/SmsSend.AJB 정보유출, SMS 무단전송 12.03.18 39 Android-Exploit/Rootor.TC 정보유출, 자동루팅, C&C 통신 12.04.05 40 Trojan-Spy/Android-Plankton 단말기식별번호, 위치정보유출 12.04.05 41 Trojan/Android.Tigerbot.A 정보유출, SMS 무단발송 12.04.18 42 Android-Trojan/FakeAV 허위모바일백신 12.05.18 43 Android-Trojan/Zitmo.B/C/D 안드로이드기기정보유출 12.06.19 44 Android-Trojan/FakeInst 휴대폰정보유출, 특정번호로문자발송 12.07.31 16

모바일악성코드사례 - 안드로이드 (3/3) 45 Android/LuckyCat 휴대폰정보원격지전송 12.08.05 46 Android-Trojan/Loozfon 개인정보탈취, 주소록원격지전송 '12.09.04 47 Trojan-SMS/Android.KRSpammer.A/B/C 방통위사칭, SMS 인증코드탈취 12.10.26 48 Trojan-SMS/Android.KRSpammer.D/E 이통사사칭, SMS 인증코드탈취 12.11.26 49 Trojan-SMS/Android.KRSpammer 폰키퍼사칭, SMS 정보탈취, DDoS 모듈 '12.12.11 50 Troajn-SMS/Android.KRSpammer 파리바게뜨무료쿠폰사칭, SMS 정보탈취 12.12.20 51 Troajn-SMS/Android.KRSpammer 피자헛, 베스킨라빈스무료쿠폰사칭, SMS 정보탈취 12.12.24 52 Troajn-SMS/Android.KRSpammer 카페베네무료쿠폰사칭, SMS 정보탈취 12.12.26 53 Troajn-SMS/Android.KRSpammer 이통사사칭, SMS 정보탈취 13.1.3 54 Troajn-SMS/Android.KRSpammer 피자헛사칭, SMS 정보탈취 13.1.4 55 Troajn-SMS/Android.KRSpammer 도미노피자사칭, SMS 정보탈취 13.1.7 56 Troajn-SMS/Android.KRSpammer 다빈치커피무료쿠폰사칭, SMS 정보탈취 13.1.8 57 Troajn-SMS/Android.KRSpammer 롯데리아, SMS 정보탈취 13.1.10 58 Trojan/Android.KRSpammer.W BBQ 소액결제사칭, SMS 정보탈취 13.1.14 59 Trojan/Android.KRFakePK.D 구글검색사칭, DDoS 모듈, SMS 정보탈취 13.1.14 60 Trojan/Android.KRSpammer.V 구글검색사칭, DDoS 모듈, SMS 정보탈취 13.1.14 17

모바일악성코드사례 -WinCE/TerDial(1/2) 국내발생스마트폰악성코드 WinCE/TerDial 10 년 4 월 19 일, 국내최초모바일악성코드 (WinCE/TerDial) 가보고됨 3D Anti Terrorist Action' 이라는스마트폰 ( 윈도우모바일 ) 게임에트로이목마형태로악성코드가숨어있었으며, 게임이설치되는시점에스마트폰을감염시키고국제전화를무단으로발신 국외보안전문업체 F-Secure 에서 4 월 9 일발견한국제전화무단발신악성코드가국내로유입 악성코드가포함된게임이해외유명스마트폰어플리케이션공유사이트에서유포되고있었으며국내의경우윈도우모바일이용자카페등의커뮤니티에서무료게임공유형태로유포되고있었음 당시국내스마트폰가입자약 160 여만명중악성코드에감염되어해당발신번호로국제전화가시도된이용자는약 150 여명 (0.01%) 이며과금피해사례는없었음 18

모바일악성코드사례 -WinCE/TerDial(2/2) 국내발생스마트폰악성코드 WinCE/TerDial 감염경로및증상 o 국내카페, 블로그등커뮤니티사이트 - cafe.naver.com/777i.cafe - smartphonekorea.com - mo2ra.net o 중국 : panda.com 3D Anti- Terrorist ( 감염 ) 인터넷 악성코드실행화면 +882346077, +17675033611, +88213213214, +2392283261, 81842011123,+25240221601 6 개의 premium rate 번호로 50 초간격으로국제 ( 도미니카공화국, 소말리아, 스위스, 상투메프린시페등소재 ) 전화시도 19 19

모바일악성코드사례 -Geinimi 게이니미 (Geinimi, 10 년 12 월 ) 안드로이드최초봇넷기능을지닌모바일악성코드 - 중국사설안드로이드마켓에다수의유명앱을리패키징하여유통 - 주기적으로단말기정보를 C&C로유출하고명령을다운받아악성행위수행 유명앱으로리패키징 중국사설안드로이드마켓 5분마다접속 1) 정보유출 2) 명령확인 C&C SMS 전송 / 삭제이메일전송전화발신앱설치 / 삭제 20

모바일악성코드사례 -PJApps PJApps(10 년 12 월 ) 봇넷기능을지닌안드로이드악성코드 - Steam 등의앱에리패키징하여중국사설마켓에유통 - IMEI 및 IMSI 등의단말기정보를아래 URL 로유출 http://log.meego91.com:9033/android.log http://mobile.meego91.com/mm.do http://xml.meego91.com:8118/push/newandroidxml/ - 총 6 가지의악성행위를수행할수있으며 xbox 명령은구현되지 않은것으로보아테스트단계의악성코드로추정됨 명령어 악성행위 note sms 전송 push C&C에즉시접속하여정보유출및명령수신 soft 추가어플리케이션설치 window 특정 URL을브라우저에띄우기 xbox 구현되지않음 mark 즐겨찾기추가 - 악성코드의 C&C 정보는자체적인인코딩을통해암호화되어있으며 C&C 접속시복호화 (com.android.main.base64->encodebook) 21

모바일악성코드사례 -ADRD ADRD(11 년 2 월 ) 안드로이드정보유출및과금피해악성코드 - 배경화면앱 (Dandelion) 에리패키징하여중국사설마켓에유통 - IMEI 및 IMSI 등의단말기정보를아래 URL 로유출 http://adrd.xiaxiab.com/pic.aspx http://adrd.taxuan.net/index.aspx - 암호화된명령받아특정키워드검색후사이트방문 트래픽발생 -> 과금 금전적이익? 추정 22

모바일악성코드사례 - 국내 방통위사칭앱 안드로이드 OS 탑재스마트폰을대상으로하는스팸발송형악성코드 (Trojan-SMS/Android.KRSpammer.A/B/C) 가발생 ( 12.10.26) 방송통신위원회에서만든스팸차단앱으로사칭 구글안드로이드마켓에등록 ( 등록자 : STECH) 되어유포되었으며, 이후스팸문자에단축 URL형태로전파 소액결제이용시특정전화번호 ( 결제대행업체 34개 ) 로메시지가수신되는경우해당문자메시지를원격지서버로전송함 국내자료실에해당앱을삭제하고피해주의보안공지및언론보도실시 23

모바일악성코드사례 - 국내 사례 : 방송통신위원회사칭악성앱 ( 12.10) - 소액결제 < 필터링대상전화번호 > < 실행화면 > < 구글앱마켓등록 > < 정보유출내용 > 유출대상 : 필터링대상전화번호로발신된문자메시지일체 24

모바일악성코드사례 - 국내 방통위사칭앱의변종앱이등장 12.10.26 일발생한방통위사칭앱의변종이발생하였으며변종앱의경우는이동통신사 요금명세서및통신사환급금조회앱으로위장 ( 12.11.9) 이동통신사에서제공한요금명세서조회앱및통신사환급금조회앱으로사칭함 분석결과 C&C 주소와필터링대상이되는전화번호가다소차이가있음 DDoS 공격모듈이탑재된악성앱이최초로등장 스마트폰보안자가점검앱 ( 폰키퍼 ) 사칭사건발생 ( 12.12.11) 구글마켓에등록된폰키퍼최신버전을리패키징하여 DDoS 모듈, SMS 발송을위한 악성코드추가 25

모바일악성코드사례 - 국내 사례 : 국민연금사칭악성앱 ( 12.12.21) 유출대상 : 스마트폰단말기내 NPKI, DCIM, MEMO 디렉터리일체 26

모바일앱분석 모바일악성코드분석 과거에는단말기에직접연결하는디버깅방식이많아분석환경구축에시간이많이소비됨 포렌식기술로단말기에설치된앱을추출, 바이너리분석을가능케함 ( 디스어셈블 디컴파일소스코드 ) 분석도구가발달되면서네트워크, 파일기반, 분석등세밀한분석데이터를얻어냄 과거 현재 27

APK 구조 안드로이드 안드로이드설치파일 APK 구조 안드로이드어플리케이션설치를위한패키지, 즉압축파일 (zip) - AndroidManifest.xml : 어플리케이션에대한설명및실행권한등의정보를지니는 XML 파일 - Classes.dex : Dalvik 가상머신에서동작하는바이너리실행파일 - /res : 컴파일되지않은리소스파일 ( 아이콘, 이미지, 음악등 ) 들이포함된폴더 - /META-INF : 배포시인증서로서명한내용, APK 파일내폴더, 파일에대한 SHA-1 해쉬값 - resources.arsc : 컴파일된리소스파일 Eclipse JAVA Android SDK 1 개발 2 설치 3 실행 Applications Application Framework Libraries Dalvik VM Linux Kernel 28

악성앱제작 안드로이드 29

악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 트로이목마 - 기존안드로이드유명게임에악성코드를리패키징 Monkey Jump2, Sex Positions, President vs. Aliens, City Defense, Baseball SuperStars 2010 등 - 게임설치시필요이상의많은권한을요구 30

악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 봇넷기능 - 총 11 개의 C&C 서버로부터명령을수신 - 명령어는크게 CmdID 에따라 2 개의그룹으로나뉘며총 36 개의명령어가존재 CmdID = 1 CmdID = 2 call:// 전화발신 contactlist 특정 URL로전화번호부및단말기정보전송 email:// 이메일발송 smsrecord 일정기간내의 SMS를특정 URL로전송 map:// 지도표시 deviceinfo 특정 URL로단말기정보전송 sms:// SMS 전송 location 위치정보를주기적으로특정 URL로전송 search:// 구글검색결과창띄우기 sms SMS 전송 install:// 어플리케이션설치 register 특정전화번호로 "IMEI;IMSI" 전송 shortcut:// 바로가기생성 call 전화발신 contact:// 연락처추가 suggestsms 전화번호부내에있는전화번호로문자발송 wallpaper:// 배경화면변경 skiptime 서버접속을위한 skip_time 설정 bookmark:// 북마크추가 changefrequency 서버접속주기설정, 기본 300000 = 5분 http:// 특정웹사이트열기 applist 설치앱정보를특정 URL로유출 toast:// toast 메시지띄우기 updatehost C&C 정보업데이트 startapp:// 어플리케이션실행 install 어플리케이션다운및설치 suggestsms:// SMS 제안창띄울것으로추정 uninstall 어플리케이션삭제 silentsms:// SMS 전송 showurl URL창열기 text:// 구현되지않음 shell 10초간격으로전송된쉘명령리스트실행 kill 프로세스종료 start 프로그램실행 smskiller SMS 문자폭탄 dsms 문자메시지삭제 31

악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 암호화 - 악성코드의주요문자열 ( 명령어, C&C주소등 100개 ) 은 DES를이용하여암호화암호화된복호화된문자열 C&C 주소명령어 복호화 DES 복호화모듈 JAVA 루틴코딩 32

악성앱분석 게이니미 (Geinimi, 10 년 12 월 ) 코드난독화 - 악성코드의클래스및메소드가단일알파벳문자로만구성 ( 의미분석 X) - 함수오버로딩을이용하여 Code Readability가떨어짐 33

악성앱분석 - 네이버사칭앱 34

악성앱분석 - 네이버사칭앱 악성앱실행시모바일네이버웹화면보이는내용및악성행위서비스등록 35

악성앱분석 - 네이버사칭앱 정상금융앱을악성금융앱으로교체설치 교체설치된악성금융앱은 SMS, 기기정보, 연락처등을유출 36

악성앱분석 - 네이버사칭앱 기존스미싱악성앱과같이문자메시지를탈취하는기능을포함 37

악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 38

악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 대출상담을위장하여개인정보 ( 이름, 연락처, 생년월일등 ) 를입력유도 39

악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 고객센터로전화발신시, 발신화면에는정상적으로고객센터전화번호를보여주지만 실제로는해커가지정한다른번호로발신하여보이스피싱등추가악성행위가가능 고객센터전화번호 : 15882114 실제발신번호 : 02-6279-3326 40

악성앱분석 현대캐피탈사칭 ( 보이스피싱연계 ) 기기정보 ( 전화번호, 단말기모델명, IMEI 등 ) 를유출 해커가설정한고객상담위장용전화번호및기기정보유출지 고객센터전화번호 : 02-6279-3326, 정보유출지 : www.cnbtgf.com 41

2024 © docsplayer.org 개인정보보호 | 약관 | 지원