태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Android Trojan'에 해당되는 글 1건

  1. 2010.08.13 시만텍 안드로이드용 악성코드 AndroidOS.Tapsnake 정보 공개 (4)
신종악성코드정보2010.08.13 09:57


시만텍(Symantec)에서 스마트폰 안드로이드(Android)용 트로이목마인 AndroidOS.Tapsnake 정보를 등록했습니다.



AndroidOS.Tapsnake 는 외국의 특정 유/무료 안드로이드 앱을 등록해 둔 곳에서 배포되는 것이 확인되었습니다. 

아래는 해당 사이트의 메인 화면 중 일부이며, 매우 다양한 프로그램이 등록되어 있는 것을 볼 수 있습니다.


실제 아래 Snake game 이라는 이름으로 Tap Snake v1.2.2 가 등록된 사이트가 있으며, 일부 사용자 의견(Comment)에 악성코드가 포함되어 있다는 내용이 등록되어 있기도 합니다.

이러한 유해성 앱들은 정식 구글 안드로이드 마켓이 아닌 곳 등에서 발견되고 있으므로, 각별한 주의가 필요합니다.



이 Tap Snake 를 개발한 사람은 GPS Spy 라는 프로그램을 개발한 사람과 동일인이라고 합니다.

GPS Spy 는 스마트폰의 위치 추적 기능 등을 가지고 있는 것으로 보이는데, 동일한 개발자라 관련된 유해 기능을 사용한 것이 아닌가 하는 의구심이 있어 조사가 진행 중이고, 추후 확인되는 내용은 수정/추가될 예정입니다.

특히 이러한 게임 설치/사용시 자기 위치 정보나 인터넷 접근 등을 요구할 때 사용자들이 무심코 승인을 할 수 있기 때문에 더욱 더 주의가 필요한 부분입니다.


Install 은 아래 화면과 같이 2차원 바코드인 QR-Code 를 통해서 이루어지는 것으로 보여지고, 현재는 차단이 된 것으로 보여집니다.




이번 악성앱이 등록된 곳은 정식 안드로이드 마켓은 아니며, 일부 한글로 등록된 내용도 있는 것이 확인되고 있습니다.

따라서 한국쪽에도 충분히 알려질 가능성이 높을 것으로 판단되며, 유해 가능 앱 사용자가 발생할 가능성도 배제할 수 없습니다.


시만텍에서는 아직 구체적인 분석 자료가 나오진 않았고, 분석이 진행 중인 것으로 예상됩니다.

현재 해당 샘플을 추적 중에 있으며, 확보가 되면 nProtect Mobile (Android) 제품에 치료 기능을 추가할 수 있도록 준비 중에 있습니다.

시만텍에서 그 동안 추가한 안드로이드용 악성코드 리스트는 다음과 같습니다.

AndroidOS.Ewalls
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-073014-0854-99&tabid=2

AndroidOS.FakePlayer
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-081100-1646-99&tabid=2

AndroidOS.Tapsnake
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-081214-2657-99&om_rssid=sr-mixed30days

nProtect mobile (안드로이드용) 제품 진단 화면 보기 - 변종 계속 추가 예정 중
http://viruslab.tistory.com/2041

사용자 삽입 이미지

nProtect 안드로이드 모바일 제품에서는 다음과 같이 진단/치료가 가능합니다.

Posted by viruslab

댓글을 달아 주세요

  1. QR 코드 퍼다 나르시는 분이 없기를 바랍니다.. ㅎ

    2010.08.13 10:31 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. TapSnake 치료 기능이 추가 업데이트 되었습니다.

    2010.08.14 14:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 시만텍 테크니컬 정보 추가되었네요.

    http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-081214-2657-99&tabid=2

    근데, 너무 간단하네요.

    The Trojan arrives on the device as part of a game application called Tap Snake, which must be manually installed through the Android Market.

    If the user clicks the Menu button on the phone while the application is running, they are prompted to enter registration information.

    The Trojan then sends location information every 15 minutes to a Web service.

    Another application can then be installed on a second device, allowing a third party to monitor the location of the compromised device.

    2010.08.14 15:30 신고 [ ADDR : EDIT/ DEL : REPLY ]