태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.02.16 11:13


카스퍼스키랩에서도 안드로이드용 모바일 시큐리티 제품을 공개했습니다.

http://www.kaspersky.com/kaspersky_mobile_security

설치를 해봤습니다.

사용자 삽입 이미지

카스퍼스키 모바일 제품의 경우 검사 설정을 통해서 모든 파일을 검사할 것인지 실행형식을 검사할 것인지 선택할 수 있도록 되어 있고, 보통의 경우는 APK 내부에 있는 모든 파일을 검사하는 방식을 사용합니다.

따라서 검사속도는 다소 느리지만, 아주 정확한 검사 방식을 채택하고 있다고 할 수 있습니다.

제가 사용해 본 결과 설정을 좀 바꾸니 도중에 검사가 멈추는 버그(?)가 있었습니다.

삭제 후에 좀더 써봐야 겠습니다.

한가지 특이한 점은 검사패턴이 1997개 라는 점입니다.^^

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
Posted by viruslab

댓글을 달아 주세요

  1. 오늘 프로모션으로 설치한 닥터웹의 경우 967개더군요. 거의 두배 넘게 차이가 납니다.
    제가 볼 땐 현재 상황에서는 크게 차이가 날수는 없다고 보는 여기서도 제너릭 진단값 때문인가요. 아니면 진짜 진단 악서코드의 수가 차이나는 걸까요...
    국내 제품들의 진단 갯수도 궁금하고 모바일 제품들도 궁금해할게 많군요~~

    2011.02.16 22:30 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 개인적으로 안드로이드용 악성파일 대응하는 속도를 파악해 본 결과 닥터웹이 월등히 빠르다는 것을 피부로 느끼고 있습니다. 물론 정책적인 차이 때문에 상용안드로이드용 GPS 스파이 프로그램 같은 것을 넣느냐 마느냐에 따라서 패턴수는 다를 수 있을 것 같습니다.^^

      2011.02.17 10:12 신고 [ ADDR : EDIT/ DEL ]

신종악성코드정보2011.02.15 21:27


해외에서 안드로이드용 악성파일이 다수 출현하고 있습니다.

주의하시면 좋겠습니다.

nProtect 모바일 제품에서 다음과 같이 진단/치료가 가능합니다.

http://erteam.nprotect.com/122
http://erteam.nprotect.com/123

사용자 삽입 이미지


Posted by viruslab

댓글을 달아 주세요

  1. 무언가 프로페셔널 한 모습이네요^^; 보기 좋네요 ㅋㅋ UI가

    2011.02.15 22:17 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2010.09.09 10:03


원형 정보 보기 -> http://viruslab.tistory.com/2033

러시아 Kaspersky Lab 에서 안드로이드용 악성코드인 FakePlayer 변종을 발견 보고하였습니다.

해당 악성 파일은 러시아의 특정 성인 사이트에서 배포되고 있는 것으로 추정됩니다.

특히 이번 녀석은 음란한 사진을 아이콘으로 쓰고 있어 일부 모자이크 처리를 하였습니다.





nProtect Mobile for ANDROID 제품에서는 SD카드에 해당 악성파일을 가지고 있을 경우 업데이트를 하지 않아도 기존 Trojan-SMS/Android.Fakeplayer.A 패턴으로  변종 탐지가 가능합니다.

설치 후 치료 기능은 추가될 예정입니다.





Trojan-SMS.AndroidOS.FakePlayer.b

2010년 9월 9일에 업데이트가 된 것으로 파악되었습니다.

http://www.securelist.com/en/blog/2286/Android_SMS_Trojan_Now_Being_Delivered_via_SEO_Techniques

Android users searching for pornography on their smart phones could be in for a costly surprise.

During the course of researching the origin for the first SMS Trojan for Android devices, I found a new Android package masquerading as a porn media player but which instead sends SMS messages to premium rate numbers.

The SMS messages cost $6 each and are sent silently in the background without the user's knowledge.

The latest Android malware (detected as Trojan-SMS.AndroidOS.FakePlayer.b) is being distributed via clever search engine optimization (SEO) techniques, a clear sign that cyber-criminals are making every effort to infect mobile devices. The use of SEO is a significant development that confirms our belief that mobile malware - especially on Android devices - is a potentially lucrative business for malicious hackers.

The code in the latest variant is similar to the first version and I'm pretty sure the same person (or group) is involved in creating and distributing this Trojan. It is currently targeting Android users in Russia.

The fake porn player does not have a user interface. Once installed, it simply drops an icon (an adult-themed photograph) on the smart phone's screen and starts sending premium SMS messages without the user's knowledge whenever the app is launched.

The malware is not available in the official Android app store. It is being distributed via Web sites but, with the search engine optimization techniques being used, there is a likelihood this is infecting a lot of users.

Like all Android apps, the user is prompted to manually install and allow the application to access certain parts of the operating system. This should serve as an immediate warning, especially since media players should not require access and permission to send SMS messages.

As I said in my previous blog entry on this topic, Android users should pay close attention to the services an application requests to access. Automatically permitting a new application to access every service it requests means you could end up with malicious or unwanted applications doing all sorts of things without requesting any additional confirmation. And you won’t know anything about it.





사용자 삽입 이미지

http://www.virustotal.com/file-scan/report.html?id=c6adcd2caaf8a8bd898c8bb8e4923fe7f439e1f984498e94b79a07d03a468d7d-1284004757

Antivirus Version Last Update Result
AhnLab-V3 2010.09.09.00 2010.09.09 -
AntiVir 8.2.4.50 2010.09.08 -
Antiy-AVL 2.0.3.7 2010.09.09 -
Authentium 5.2.0.5 2010.09.08 -
Avast 4.8.1351.0 2010.09.08 -
Avast5 5.0.594.0 2010.09.08 -
AVG 9.0.0.851 2010.09.08 -
BitDefender 7.2 2010.09.09 -
CAT-QuickHeal 11.00 2010.09.09 -
ClamAV 0.96.2.0-git 2010.09.09 -
Comodo 6020 2010.09.09 -
DrWeb 5.0.2.03300 2010.09.09 Android.SmsSend.2
Emsisoft 5.0.0.37 2010.09.09 -
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7843 2010.09.08 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.09 -
Fortinet 4.1.143.0 2010.09.08 -
GData 21 2010.09.09 -
Ikarus T3.1.1.88.0 2010.09.09 -
Jiangmin 13.0.900 2010.09.08 -
K7AntiVirus 9.63.2470 2010.09.08 -
Kaspersky 7.0.0.125 2010.09.09 Trojan-SMS.AndroidOS.FakePlayer.b
McAfee 5.400.0.1158 2010.09.09 -
McAfee-GW-Edition 2010.1B 2010.09.09 -
Microsoft 1.6103 2010.09.09 -
NOD32 5435 2010.09.08 -
Norman 6.06.05 2010.09.08 -
nProtect 2010-09-09.01 2010.09.09 -
Panda 10.0.2.7 2010.09.08 -
PCTools 7.0.3.5 2010.09.09 -
Prevx 3.0 2010.09.09 -
Rising 22.64.02.04 2010.09.08 -
Sophos 4.57.0 2010.09.09 -
Sunbelt 6850 2010.09.09 -
SUPERAntiSpyware 4.40.0.1006 2010.09.09 -
Symantec 20101.1.1.7 2010.09.09 -
TheHacker 6.7.0.0.012 2010.09.09 -
TrendMicro 9.120.0.1004 2010.09.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.09 -
VBA32 3.12.14.0 2010.09.08 -
ViRobot 2010.9.8.4031 2010.09.09 -
VirusBuster 12.64.24.0 2010.09.08 -

Posted by viruslab
TAG Android

댓글을 달아 주세요

  1. 복면 쓴 안드로이드를 설마 직접 그러신건 아니시겠죠?ㅎㅎ

    2010.09.09 13:48 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 저희쪽 분석파트에서 확인해 본 결과 원형 FakePlayer 는 Premium rate number 로 간단한 메시지를 보내게 되어 있었고, 3353, 3354번이었고, 이번 변종은 7132로 보내는 것으로 일부 확인되었네요. 러시아 성인 사이트에서 지속적으로 배포되는 단서를 잡고 계속 추적 중입니다.

    2010.09.09 14:47 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. http://threatcenter.smobilesystems.com/?p=1907

    2010.09.09 14:53 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. http://jon.oberheide.org/blog/2010/08/10/dexcode-teardown-of-the-android-sms-trojan/

    2010.09.09 15:21 신고 [ ADDR : EDIT/ DEL : REPLY ]
  5. http://www.virustotal.com/file-scan/report.html?id=2826ad2bdcf7f79692094029c75971b4ca191c9d51e4362de91b70069128477e-1283849523

    2010.09.09 15:32 신고 [ ADDR : EDIT/ DEL : REPLY ]
  6. http://www.boan.com/news/articleView.html?idxno=2991

    2010.09.13 13:10 신고 [ ADDR : EDIT/ DEL : REPLY ]

신종악성코드정보2010.08.12 11:51


우선 아래 관련 내용을 참고하시면 좋겠습니다.

참고로 안드로이드에서 발견되고 있는 악성 어플들은 "바이러스"라는 용어 표현보다는 "스파이웨어", 또는 "트로이목마" 류로 구분하는 것이 적절해 보입니다.

다음은 관련 뉴스 클리핑입니다.

First SMS Trojan detected for smartphones running Android (Kaspersky Lab)

http://www.kaspersky.com/news?id=207576152

First SMS Trojan for Android is in the wild (The Register)
http://www.theregister.co.uk/2010/08/10/android_sms_trojan/

‘돈 가져가는’ 안드로이드폰용 트로이목마 첫 발견 (쿠키뉴스)

http://news.kukinews.com/article/view.asp?page=1&gCode=eco&arcid=0004001639&cp=nv

안드로이드 노린 트로이목마 공격, 현실로? (ZDNet Korea)
http://www.zdnet.co.kr/Contents/2010/08/11/zdnet20100811080217.htm

안드로이드폰 공격 바이러스 발견 (서울경제신문)
http://economy.hankooki.com/lpage/worldecono/201008/e2010081208335469760.htm

러서 안드로이드폰 공격 바이러스 발견... 보안 ‘비상’ (헤럴드경제)
http://biz.heraldm.com/common/Detail.jsp?newsMLId=20100812000012

스마트폰용 SMS 악성프로그램 발견 (디지털 타임스)
http://www.dt.co.kr/contents.html?article_no=2010081102010960746008

카스퍼스키랩, 안드로이드폰용 SMS 트로이목마 발견 (디지털 데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=66912

안드로이드 스마트폰 전용 SMS 트로이목마 발견! (보안뉴스)
http://www.boannews.com/media/view.asp?idx=22311&kind=0

최초의 안드로이드용 트로이목마 Anti-Virus 업체들 패턴 추가 중
http://viruslab.tistory.com/2037
http://viruslab.tistory.com/2033

블랙햇을 통해서 알려진 Wall Paper 앱들을 Test 로 진단한 화면입니다.


아래는 러시아에서 보고된 최초의 안드로이드용 SMS 트로이목마 샘플 진단한 화면입니다.




Posted by viruslab

댓글을 달아 주세요

보안관련소식2010.08.02 13:17


안드로이드 스마트폰 용 제품을 출시할 예정이라고 홈페이지에 올라왔네요.

http://www.nprotect.com/index.html

사용자 삽입 이미지


Posted by viruslab

댓글을 달아 주세요