'안드로이드 악성코드'에 해당되는 글 1건

  1. 2010.08.11 Trojan-SMS for Android 1
0x02 analysis2010. 8. 11. 15:49


 


http://www.readwriteweb.com/archives/first_trojan_for_android_phones_goes_wild.php
http://www.securelist.com/en/blog/2254/First_SMS_Trojan_for_Android
http://blog.trendmicro.com/first-android-trojan-in-the-wild/
http://www.boannews.com/media/view.asp?idx=22311&kind=0



   



제 안드로이드폰에 설치하기는 좀 그래서 에뮬레이터에 설치했습니다.

E:\02.tools\android\android-sdk-windows\tools> adb install RU.apk

설치 후에는 위 오른쪽 화면처럼 Movie Player 아이콘을 확인하실 수 있습니다.


adb shell로 에뮬레이터에 접속해서 확인해봤습니다.

E:\02.tools\android\android-sdk-windows\tools> adb shell
# ls -l
ls -l
drwxrwxrwt root     root              2010-08-11 02:45 sqlite_stmt_journals
dr-x------ root     root              2010-08-11 02:42 config
drwxrwx--- system   cache             2010-08-11 02:42 cache
d---rwxr-x system   sdcard_rw          2010-08-11 02:45 sdcard
lrwxrwxrwx root     root              2010-08-11 02:42 d -> /sys/kernel/debug
lrwxrwxrwx root     root              2010-08-11 02:42 etc -> /system/etc
drwxr-xr-x root     root              2010-05-06 16:16 system
drwxr-xr-x root     root              1970-01-01 00:00 sys
drwxr-x--- root     root              1970-01-01 00:00 sbin
dr-xr-xr-x root     root              1970-01-01 00:00 proc
-rwxr-x--- root     root        12215 1970-01-01 00:00 init.rc
-rwxr-x--- root     root         1677 1970-01-01 00:00 init.goldfish.rc
-rwxr-x--- root     root       103112 1970-01-01 00:00 init
-rw-r--r-- root     root          118 1970-01-01 00:00 default.prop
drwxrwx--x system   system            2010-08-11 02:44 data
drwx------ root     root              2010-01-28 00:59 root
drwxr-xr-x root     root              2010-08-11 02:43 dev
# cd /data
cd /data
# ls -l
ls -l
drwx------ system   system            2010-08-11 02:44 backup
drwxrwxr-x system   system            2010-08-11 03:42 system
drwxrwx--x system   system            2010-08-11 02:43 anr
drwxrwx--x system   system            2010-08-11 03:42 dalvik-cache
drwx------ root     root              2010-08-11 02:45 property
drwxrwx--x system   system            2010-08-11 03:42 app
drwxrwx--x system   system            2010-08-11 02:42 app-private
drwxrwx--x system   system            2010-08-11 03:42 data
drwxrwx--x shell    shell             2010-08-11 02:42 local
drwxrwx--t system   misc              2010-08-11 02:42 misc
drwxr-x--- root     log               2010-08-11 02:42 dontpanic
drwxrwx--- root     root              2010-08-11 02:42 lost+found

붉은색으로 된 부분이 RU.apk가 설치된 후에 변경된 부분입니다.
즉, 안드로이드 앱이 설치되면 위 디렉토리들을 건드린다는 말이 되겠죠..

시간이 좀 이상하게 표시되었는데 02:42분경이 제가 AVD(Android Virtual Device)를 생성한 시간이고 03:42분이 RU.apk를 설치한 시간입니다. (실제로는 저 시간이 아닌데 말이죠...별로 신경 안씁니다...-_-)

# cd system
cd system
# ls -l
ls -l
-rw------- system   system         64 2010-08-11 03:42 appwidgets.xml
-rw-rw-r-- system   system      38987 2010-08-11 03:42 packages.xml
-rw------- system   system       5520 2010-08-11 03:42 batterystats.bin
-rw------- system   system        171 2010-08-11 02:45 wallpaper_info.xml
-rw------- system   system          8 2010-08-11 02:45 syncmanager.prefs
-rw-rw---- system   system      16384 2010-08-11 02:45 accounts.db
drwxrwx--x system   system            2010-08-11 02:44 registered_services
drwx------ system   system            2010-08-11 03:43 usagestats
-rw------- system   system       4096 2010-08-11 02:43 entropy.dat


다른 파일들은 잘 모르겠고 packages.xml에 설치된 앱들에 대한 정보들이 들어 있습니다.

<package name="org.me.androidapplication1" codePath="/data/app/org.me.androidapplication1.apk" system="false" ts="1281498173000" version="0" userId="10024">
<sigs count="1">
<cert index="1" key="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"/>
</sigs>
<perms>
<item name="android.permission.READ_PHONE_STATE" />
<item name="android.permission.SEND_SMS" />
<item name="android.permission.WRITE_EXTERNAL_STORAGE" />
</perms>
</package>


상단의 뉴스기사를 보면 해당 악성코드가 유료 서비스 번호로 SMS를 발송한다고 했는데 <perms>에 SEND_SMS가 있군요..
문자를 보내기 위한 설정이라고 볼 수 있습니다.
흔히 앱 설치시 어떤 리소스에 접근하고 데이터를 사용한다라는 문구를 볼 수 있습니다. 이런 내용들인 셈이죠..

변경된 파일들을 나열해 보면

/data/system/packages.xml
/data/dalvik-cache/data@app@org.me.androidapplication1.apk@classes.dex
/data/app/org.me.androidapplication1.apk
/data/data/org.me.androidapplication1/databases/movieplayer.db
/data/data/org.me.androidapplication1/lib/


아직은 여기까지가 전부입니다.

일단 사용자들은 MoviePlayer가 설치되어 있는지 확인을 해보셔야 할 것으로 보입니다.



아래 분석들에서는 러시아 premium rate number로 SMS를 보내는 일반적인 자바 악성코드라고 이야기하고 있습니다.

premium rate number가 3353, 3354 등이 보이고 있습니다.

http://www.inreverse.net/?p=1272



국제전화 안되게 일단 막아야겠습니다!!



thnx to contagio :)






 

Posted by demantos