Android 악성코드 위협 연구 (수정본)

스마트폰 2010. 7. 5. 22:15 Posted by TEAMCR@K

Android 악성코드 위협 연구

By Dear.TOM(
bdr@a3security.com)
By k3rz(kerz@a3security.com)
By kyh1026(kyh1026@a3security.com)
편집 : 니키(ngnicky@a3security.com)




1. 개요
스마트폰(iphone 등)이2009년 4분기부터 국내 유입을 통해서 국내 스마트폰 신흥 시장은 지속적으로 발전되고 있으며, 세계적으로도 향후 5년간(현재 2010년) 스마트폰 매출의 주요로 자리잡으며 성장 될 것으로 예측되고 있습니다. 이와 같이 사용자가 증가함으로써 스마트폰 보안 위협이 지속적인 관심을 받고 있습니다.
스마트폰에 대한 위협 및 취약점을 연구 분석 하였으며, 이에 관련된 공격 시나리오를 구성 및 시연 함으로써 스마트폰 공격 가능성을 확인하는데 목적이 있습니다.



2. 시나리오
본 시나리오는 악성코드에 감염된 스마트폰에 저장된 개인 정보를 유출하는 시나리오입니다.
스마트폰의 특성상 개인과 아주 밀접한 기기 이기 때문에 스마트폰에는 민감한 개인정보가 많이 저장되어 있습니다. Android스마트폰의 어플리케이션이 마켓 뿐만 아니라 웹 상에 자유롭게 배포 될 수 있기 때문에 사용자의 무분별한 다운로드에 의해 악성코드가 전파될 수 있다는 점에 초점을 두었으며 연구환경은 안드로이드 에뮬레이터에서 진행되었습니다.

가. 스마트폰내 개인 정보획득 가능성
나. 스팸 문자(SMSBomb) 발송 가능성
다. 파일전송 등의 기능을 이용하여 악성코드에 감염된 Android의 정보 획득 가능성


3. 상세내역
일반적으로 Android 스마트폰의 IP주소를 알기 힘들기 때문에 공격자가 직접적으로 Android 스마트폰에 접속하기는 힘듭니다. 그러므로 반대로 Android 스마트폰에서 공격자에게 접속하는 Reverse Connectiong 형태로 공격을 시도하며, Android 스마트폰 어플리케이션이 마켓뿐만 아니라 웹 상에 자유롭게 배포 될 수 있기 때문에 사용자 무분별한 다운로드에 의해 악성코드에 감염될 수 있는 가능성이 존재합니다.
이런 가능성을 전제로 악성코드에 감염된 스마트폰의 피해는 악성코드의 기능에 따라 무궁무진합니다.

* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.

1. 스마트폰내 개인 정보획득 가능성
Android 스마트폰 사용자가 정상적인 어플리케이션으로 위장한 악성코드를 다운받아 실행하면 Android 스마트폰이 공격자의 서버에 접속하면서 사용자의 정보를 서버에 전송하게 됩니다. 이 정보에는 스마트폰의 전화번호, USIM카드번호, 네트워크지역등 스마트폰 단말기에 대한 정보가 포함됩니다. 이를 통해 사용자의 국가, 전화번호, IP주소 등의 정보를 획득할 수 있습니다.

다음은 공격자의 서버로 악성코드에 감염된 스마트폰의 정보가 수집되어 있는 화면입니다.

획득한 전화번호를 통해 광고 문자 혹은 스팸문자를 발송하거나 악의적인 공격이 가능하리라 예상됩니다.


2. 스팸 문자(SMSBomb) 발송 가능성
악성코드에 감염된 스마트폰에 공격자가 명령을 내려 다른곳으로 대량의 문자를 발송시켜 해당 스마트폰 사용자에게 과금의 패해와 함께 스팸문자 발송의 근원지로 만들 수 있습니다.

다음은 공격자가 스마트폰으로 스팸문자를 보내라는 명령을 내리는 화면입니다.


이 명령을 통해 스마트폰이 자신의 전화번호부에 등록되어 있는 전화번호로 혹은 공격자에게 전송받은 전화번호로 대량의 스팸문자를 발송하게 됩니다.

다음은 공격자에게서 문자 전송명령을 받고 문자를 전송하는 화면입니다.


이런 과정을 통해 악성코드에 감염된 스마트폰 사용자는 문자 발송에 대한 과금피해를 입을 수 있으며, 더 나아가 악성코드에 다른 기능들을 구현해 나간다면 개인정보가 노출 될 수 있으며, DDoS공격에 활용될 수 있는 가능성이 있습니다.



3. 
파일전송등의 기능을 이용하여 악성코드에 감염된 Android 스마트폰의 정보를 획득 가능성
스마트폰에는 다양한 파일들이 존재합니다. 스마트폰의 사진촬영기능, 동영상 재생기능, 음원 재생기능, 모바일 오피스 등 여러가지 기능들이 존재 하며 이에 대한 미디어, 문서파일들이 스마트폰 내에 존재하게 됩니다.
이런 파일들이 외부로 노출된다면 사생활의 노출, 업무 비밀정보의 노출 등 심각한 피해를 입을 수 있습니다.

다음은 공격자가 악성코드에 감염된 스마트폰에 있는 파일을 보내라는 명령을 내리는 화면입니다.



이 명령을 통해 스마트폰에 있는 파일을 공격자에게 전송시킬 수 있으며, 이를 통해 스마트폰 사용자의 사생활 정보 등을 얻어 낼 수 있습니다.

다음은 스마트폰으로부터 전송받은 파일을 확인하는 화면입니다.




※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.