모바일플랫폼춘추전국시대 2010 년을기점으로다양한종류의모바일운영체제가등장하였으며, 최근에는애플아이폰, 구글안드로이드등이스마트폰분야에서절대적인점유율을차지하고있는상황
II. 모바일보안이슈및위협 모바일시큐리티위협 ( 기존위협확대 ) 사이버침해공격, 바이러스 웜감염등기존위협이모바일환경에서도재현 ( 신규위협출현 ) 무선랜 (Wi-Fi), 블루투스, 이동통신, GPS 통신등복수통신기능의단말탑재로침해경로다변화, 스마트기기개방형앱 (App) 의안전성보장미흡등 - 안드로이드마켓등록애플리케이션중 20% 가사용자개인정보에접속, 5% 는통화권한을가지는등개인정보유출가능 (Smobile 시스템, 10.6) 모바일보안위협은모바일단말, 무선네트워크, 모바일기반신규서비스, 모바일콘텐츠로구분가능
II. 모바일보안이슈및위협 분실및도난 추가범죄에악용 ( 금융결제, 사기등 ) 유용한프로그램으로위장한악성프로그램 사회공학적기법 개인 / 기업정보유출 취약점 어플리케이션취약점 모바일 보안위협 이메일 /SMS/MMS 를통한악성코드전파 어플리케이션검증체계 악성어플리케이션검증 Mobile Platform 취약점 어플리케이션취약점검증 취약점 Self Signing
II. 모바일보안이슈및위협 - 모바일악성코드 급증하는모바일악성코드 최근 2 년사이스마트폰등모바일기기에감염되어동작하는악성코드출현급증특히, 안드로이드계열모바일악성코드가급격하게증가 * 국내스마트폰중안드로이드운영체제단말기가차지하는비율은약 70% 출처 : McAfee 2011,2012 년동향보고서
II. 모바일보안이슈및위협 - 모바일악성코드 모바일악성코드 모바일악성코드도 PC 환경처럼다양한경로로감염이될수있으나, 주로정상앱 ( 애플리케이션 ) 인것처럼배포되어설치와실행을유도하여감염 - 화면훔쳐보기, 통화내역도청뿐만아니라, DDoS 등과같은피해유발가능 감염!!! 게임앱등으로위장유포 구글마켓, 블랙마켓 스마트폰훔쳐보기 통화내역도청 스마트폰 DDoS 스팸 / 유료문자 / 국제전화무단발송
III. 모바일악성코드사례 - 안드로이드 (1/3) 구분 악성코드명 주요악성행위 발생일자 1 Jackeey wallpaper 정보유출 '10.07.30 2 Christmas wallpaper 정보유출 '10.08.09 3 Trojan-SMS.AndroidOS.FakePlayer.a SMS 무단전송 '10.08.10 4 Tapsnake 정보유출 '10.08.20 5 Trojan-SMS.AndroidOS.FakePlayer.b SMS 무단전송 '10.09.10 6 Trojan-SMS.AndroidOS.FakePlayer.c SMS 무단전송 '10.10.15 7 FLEXISPY 정보유출 '10.10.20 8 Secret SMS Replicator SMS 유출 '10.11.04 9 Geinimi 정보유출, SMS 무단전송 '10.12.29 10 ADRD 정보유출, SMS 무단전송, 음성녹음 '11.02.14 11 PjApps.A / PjApps.B 정보유출, SMS 무단전송 '11.02.15 12 Pjapps.C 정보유출, SMS 무단전송 '11.02.20 13 ADRD.E / ADRD.F / ADRD.G / ADRD.H 정보유출, SMS 무단전송, 음성녹음 '11.03.02 14 Zsone.a / Zsone.b / Zsone.c SMS 무단전송 11.05.12 15 Smspacem.a SMS 무단전송 11.05.31 16 HiddenSms 위치정보유출, SMS무단전송 11.06.02 17 FakeTr SMS탈취, 정보유출 11.06.03 18 qqgame.lord 루팅 (rooting), 추가악성앱설치 11.06.07 19 DroidKungFu 정보유출, 추가악성앱설치 11.06.09 20 Angry Birds Rio Unlocker 정보유출 11.06.13 21 GoldDream SMS, 통화기록정보유출 11.07.07 22 Aintivirus.kav 정보유출 11.07.15
III. 모바일악성코드사례 - 안드로이드 (2/3) 구분 악성코드명 주요악성행위 발생일자 23 HippoSMS SMS 무단전송 11.07.18 24 DrumPlayer 정보유출 11.07.19 25 Nicky / Nicky.B / Nicky.C 정보유출, 음성녹음 11.08.02 26 GingerMarster 루팅 (rooting), 추가악성앱설치, 정보유출 11.08.23 27 ROMZhanDian 단말기정보수집 11.09.20 28 Android.Spitmo.A SMS 무단전송, 단말기정보유출 11.09.20 29 SmsSend.K SMS 무단전송 11.10.07 30 System 정보유출, SMS 무단전송 11.10.07 31 系统提示!(Adsms) 정보유출, SMS 무단전송 11.10.12 32 FakeNefilix.A 이메일계정정보유출 11.10.14 33 EusendSMS.A / EusendSMS.B SMS 무단전송 11.12.14 34 InfoStealer2012 이메일계정, 국가코드정보유출 12.01.06 35 Foncy SMS 무단전송 12.01.18 36 RootSmart 정보유출, 자동루팅, 악성코드다운로드 12.02.03 37 Trojan.Android.DoS.WebLoic DoS공격수행 12.02.18 38 Android-Trojan/SmsSend.AJB 정보유출, SMS 무단전송 12.03.18 39 Android-Exploit/Rootor.TC 정보유출, 자동루팅, C&C 통신 12.04.05 40 Trojan-Spy/Android-Plankton 단말기식별번호, 위치정보유출 12.04.05 41 Trojan/Android.Tigerbot.A 정보유출, SMS 무단발송 12.04.18 42 Android-Trojan/FakeAV 허위모바일백신 12.05.18 43 Android-Trojan/Zitmo.B/C/D 안드로이드기기정보유출 12.06.19 44 Android-Trojan/FakeInst 휴대폰정보유출, 특정번호로문자발송 12.07.31
III. 모바일악성코드사례 - 안드로이드 (3/3) 45 Android/LuckyCat 휴대폰정보원격지전송 12.08.05 46 Android-Trojan/Loozfon 개인정보탈취, 주소록원격지전송 '12.09.04 47 Trojan-SMS/Android.KRSpammer.A/B/C 방통위사칭, SMS 인증코드탈취 12.10.26 48 Trojan-SMS/Android.KRSpammer.D/E 이통사사칭, SMS 인증코드탈취 12.11.26 49 Trojan-SMS/Android.KRSpammer 폰키퍼사칭, SMS 정보탈취, DDoS 모듈 '12.12.11 50 Troajn-SMS/Android.KRSpammer 파리바게뜨무료쿠폰사칭, SMS 정보탈취 12.12.20 51 Troajn-SMS/Android.KRSpammer 피자헛, 베스킨라빈스무료쿠폰사칭, SMS 정보탈취 12.12.24 52 Troajn-SMS/Android.KRSpammer 카페베네무료쿠폰사칭, SMS 정보탈취 12.12.26 53 Troajn-SMS/Android.KRSpammer 이통사사칭, SMS 정보탈취 13.1.3 54 Troajn-SMS/Android.KRSpammer 피자헛사칭, SMS 정보탈취 13.1.4 55 Troajn-SMS/Android.KRSpammer 도미노피자사칭, SMS 정보탈취 13.1.7 56 Troajn-SMS/Android.KRSpammer 다빈치커피무료쿠폰사칭, SMS 정보탈취 13.1.8 57 Troajn-SMS/Android.KRSpammer 롯데리아, SMS 정보탈취 13.1.10 58 Trojan/Android.KRSpammer.W BBQ 소액결제사칭, SMS 정보탈취 13.1.14 59 Trojan/Android.KRFakePK.D 구글검색사칭, DDoS 모듈, SMS 정보탈취 13.1.14 60 Trojan/Android.KRSpammer.V 구글검색사칭, DDoS 모듈, SMS 정보탈취 13.1.14
III. 모바일악성코드사례 -WinCE/TerDial(1/2) 국내발생스마트폰악성코드 WinCE/TerDial 10 년 4 월 19 일, 국내최초모바일악성코드 (WinCE/TerDial) 가보고됨 3D Anti Terrorist Action' 이라는스마트폰 ( 윈도우모바일 ) 게임에트로이목마형태로악성코드가숨어있었으며, 게임이설치되는시점에스마트폰을감염시키고국제전화를무단으로발신 국외보안전문업체 F-Secure 에서 4 월 9 일발견한국제전화무단발신악성코드가국내로유입 악성코드가포함된게임이해외유명스마트폰어플리케이션공유사이트에서유포되고있었으며국내의경우윈도우모바일이용자카페등의커뮤니티에서무료게임공유형태로유포되고있었음 당시국내스마트폰가입자약 160 여만명중악성코드에감염되어해당발신번호로국제전화가시도된이용자는약 150 여명 (0.01%) 이며과금피해사례는없었음
III. 모바일악성코드사례 -WinCE/TerDial(2/2) 국내발생스마트폰악성코드 WinCE/TerDial 감염경로및증상 o 국내카페, 블로그등커뮤니티사이트 - cafe.naver.com/777i.cafe - smartphonekorea.com - mo2ra.net o 중국 : panda.com 3D Anti- Terrorist ( 감염 ) 인터넷 악성코드실행화면 +882346077, +17675033611, +88213213214, +2392283261, 81842011123,+25240221601 6 개의 premium rate 번호로 50 초간격으로국제 ( 도미니카공화국, 소말리아, 스위스, 상투메프린시페등소재 ) 전화시도 13
III. 모바일악성코드사례 -Geinimi 게이니미 (Geinimi, 10 년 12 월 ) 안드로이드최초봇넷기능을지닌모바일악성코드 - 중국사설안드로이드마켓에다수의유명앱을리패키징하여유통 - 주기적으로단말기정보를 C&C로유출하고명령을다운받아악성행위수행 유명앱으로리패키징 중국사설안드로이드마켓 5분마다접속 1) 정보유출 2) 명령확인 C&C SMS 전송 / 삭제이메일전송전화발신앱설치 / 삭제
III. 모바일악성코드사례 -PJApps PJApps(10 년 12 월 ) 봇넷기능을지닌안드로이드악성코드 - Steam 등의앱에리패키징하여중국사설마켓에유통 - IMEI 및 IMSI 등의단말기정보를아래 URL 로유출 http://log.meego91.com:9033/android.log http://mobile.meego91.com/mm.do http://xml.meego91.com:8118/push/newandroidxml/ - 총 6 가지의악성행위를수행할수있으며 xbox 명령은구현되지 않은것으로보아테스트단계의악성코드로추정됨 명령어 악성행위 note sms 전송 push C&C에즉시접속하여정보유출및명령수신 soft 추가어플리케이션설치 window 특정 URL을브라우저에띄우기 xbox 구현되지않음 mark 즐겨찾기추가 - 악성코드의 C&C 정보는자체적인인코딩을통해암호화되어있으며 C&C 접속시복호화 (com.android.main.base64->encodebook)
III. 모바일악성코드사례 -ADRD ADRD(11 년 2 월 ) 안드로이드정보유출및과금피해악성코드 - 배경화면앱 (Dandelion) 에리패키징하여중국사설마켓에유통 - IMEI 및 IMSI 등의단말기정보를아래 URL 로유출 http://adrd.xiaxiab.com/pic.aspx http://adrd.taxuan.net/index.aspx - 암호화된명령받아특정키워드검색후사이트방문 트래픽발생 -> 과금 금전적이익? 추정
IV. 앱분석기술동향 모바일악성코드분석 과거에는단말기에직접연결하는디버깅방식이많아분석환경구축에시간이많이소비됨 포렌식기술로단말기에설치된앱을추출, 바이너리분석을가능케함 ( 디스어셈블 디컴파일소스코드 ) 분석도구가발달되면서네트워크, 파일기반, 분석등세밀한분석데이터를얻어냄 과거 현재
IV. 앱분석기술동향 안드로이드 안드로이드설치파일 APK 구조 안드로이드어플리케이션설치를위한패키지, 즉압축파일 (zip) - AndroidManifest.xml : 어플리케이션에대한설명및실행권한등의정보를지니는 XML 파일 - Classes.dex : Dalvik 가상머신에서동작하는바이너리실행파일 - /res : 컴파일되지않은리소스파일 ( 아이콘, 이미지, 음악등 ) 들이포함된폴더 - /META-INF : 배포시인증서로서명한내용, APK 파일내폴더, 파일에대한 SHA-1 해쉬값 - resources.arsc : 컴파일된리소스파일 Eclipse JAVA Android SDK 1 개발 2 설치 3 실행 Applications Application Framework Libraries Dalvik VM Linux Kernel
IV. 앱분석기술동향 안드로이드
IV. 앱분석기술동향 - 모바일악성코드 ( 사례 ) 게이니미 (Geinimi, 10 년 12 월 ) 트로이목마 - 기존안드로이드유명게임에악성코드를리패키징 Monkey Jump2, Sex Positions, President vs. Aliens, City Defense, Baseball SuperStars 2010 등 - 게임설치시필요이상의많은권한을요구
IV. 앱분석기술동향 게이니미 (Geinimi, 10 년 12 월 ) 봇넷기능 - 총 11 개의 C&C 서버로부터명령을수신 - 명령어는크게 CmdID 에따라 2 개의그룹으로나뉘며총 36 개의명령어가존재 CmdID = 1 CmdID = 2 call:// 전화발신 contactlist 특정 URL로전화번호부및단말기정보전송 email:// 이메일발송 smsrecord 일정기간내의 SMS를특정 URL로전송 map:// 지도표시 deviceinfo 특정 URL로단말기정보전송 sms:// SMS 전송 location 위치정보를주기적으로특정 URL로전송 search:// 구글검색결과창띄우기 sms SMS 전송 install:// 어플리케이션설치 register 특정전화번호로 "IMEI;IMSI" 전송 shortcut:// 바로가기생성 call 전화발신 contact:// 연락처추가 suggestsms 전화번호부내에있는전화번호로문자발송 wallpaper:// 배경화면변경 skiptime 서버접속을위한 skip_time 설정 bookmark:// 북마크추가 changefrequency 서버접속주기설정, 기본 300000 = 5분 http:// 특정웹사이트열기 applist 설치앱정보를특정 URL로유출 toast:// toast 메시지띄우기 updatehost C&C 정보업데이트 startapp:// 어플리케이션실행 install 어플리케이션다운및설치 suggestsms:// SMS 제안창띄울것으로추정 uninstall 어플리케이션삭제 silentsms:// SMS 전송 showurl URL창열기 text:// 구현되지않음 shell 10초간격으로전송된쉘명령리스트실행 kill 프로세스종료 start 프로그램실행 smskiller SMS 문자폭탄 dsms 문자메시지삭제
III. 앱분석기술동향 게이니미 (Geinimi, 10 년 12 월 ) 암호화 - 악성코드의주요문자열 ( 명령어, C&C주소등 100개 ) 은 DES를이용하여암호화암호화된복호화된문자열 C&C 주소명령어 DES 복호화복호화모듈 JAVA 루틴코딩
IV. 앱분석기술동향 게이니미 (Geinimi, 10 년 12 월 ) 코드난독화 - 악성코드의클래스및메소드가단일알파벳문자로만구성 ( 의미분석 X) - 함수오버로딩을이용하여 Code Readability가떨어짐