'모바일'에 해당되는 글 13건

  1. 2013.03.14 스마트폰 공인인증서 탈취 악성 앱 발견
  2. 2013.03.11 모바일 메신저 카카오톡 취약점 보안 업데이트
  3. 2012.08.13 모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(V2.0)
2013.03.14 18:36

스마트폰 공인인증서 탈취 악성 앱 발견

[전체요약]

스마트폰 사용자의 호기심을 자극하는 내용으로 문자 메시지를 발송하고, 수신된 문자 메시지에 포함된 링크를 스마트폰 사용자가 설치하도록 유도하는 기존의 스미싱 악성앱과 동작방식이 동일한 악성코드가 지속적으로 발견되고 있다.

 
이번에 발견된 악성코드는 이전의 문자 메시지를 탈취하는 기능에 사진과 메모도 탈취 할 수 있는 기능이 추가되어 사생활의 침해가 우려된다. 그 기능뿐만 아니라 모바일 공인인증서를 탈취 하는 기능도 추가되어 기존의 소액결제피해를 넘어선 금융 피해를 일으 킬 수 있으므로 사용자의 각별한 주의가 필요하다.

 

[주요증상]

 

- 문자 메시지 탈취 및 사용자의 전화번호 탈취

 

- 공인인증서, 메모, 사진의 탈취

 

- 전화 착신 및 발신 차단

 

[분석정보]

 

1. Android/Trojan-SMS.Fraud-SMS-Stealer.dc

 

파일명 : pftp0312.apk

 

[그림 1] pftp0312.apk의 아이콘

 

A. 감염 경로


Android/Trojan-SMS.Fraud-SMS-Stealer.dc는 스미싱 문자 메시지의 링크를 통하여 감염된다.

 

B. 감염 증상


1) Android/Trojan-SMS.Fraud-SMS-Stealer.dc의 어플리케이션의 권한은 아래의 그림과 같다.
 


[그림 2] pftp0312.apk 어플리케이션의 권한

 

 

2) 해당 악성 앱은 부팅이 되었는지 감지하여 만약 재부팅이 되었을 때 서비스를 자동으로 동작시킨다.
 


[그림 3] 부팅감지

 

 

3) 해당 악성 앱은 처음 실행하게 되면 별도의 UI가 보여지지 않으며 곧바로 종료되는 것처럼 보인다. 그러나 백그라

운드로 악성 프로세서가 감염된 사용자의 스마트폰 전화번호를 전송하게 되며 감염되었음을 등록시킨다.
 


[그림 4] 전화번호 전송 및 등록

 

 

4) 해당 악성 앱은 동작할 때도 따로 UI가 존재하지 않으며 서비스로만 동작하고 있다는 것을 확인 할 수 있다.
 


[그림 5] 서비스로 동작

 

 

5) 해당 악성 앱이 처음 실행될 때 스마트폰에 존재하고 있는 공인인증서와 메모를 zip파일로 만들 수 있으며 사진과

 같이 특정 서버에 전송한다. 서버에 저장 될 때는 [전화번호_IMEI]의 디렉토리가 생성되며 해당 디렉토리에 각각

NPKI, MEMO, DCIM의 하위 디렉토리명으로 저장된다.
 


[그림 6] 공인인증서, 메모, 사진 탈취

 


[그림 7] 탈취된 정보

 

 

6) 해당 악성 앱은 서비스로 동작할 때 3가지의 리시버를 등록시키며 리시버의 종류는 다음과 같다.


문자 메시지 수신 리시버

전화 착신 리시버

전화 발신 리시버
 


[그림 8] 리시버 설치

 

 

7) 문자 메시지 수신 리시버는 abortBroadcast를 이용하여 문자 메시지가 왔다는 사실을 차단하여 사용자는 문자 메시지가 도착한 것을 알 수 없다.
 


[그림 9] 문자 메시지 차단

 

 

8) 문자 메시지 수신 리시버는 문자 메시지의 내용들을 유출시킨다. 유출시킬 때 ‘||’기호를 구분자로 할 것으로 추정

되며 순서대로 [사용자의 스마트폰 전화번호||문자 메시지 내용||발신처||문자 메시지를 받은 시간]으로 만들어 보내

진다.
 


[그림 10] 문자 메시지 유출

 

 

9) 문자 메시지 수신 리시버는 assets에 url.txt라는 문서파일이 존재하며 여기에 있는 URL을 가지고 보내도록 되어

있다. 이 부분으로 인하여 URL.txt만 변경시켜주면 문자 메시지를 탈취하는 서버의 URL을 변경할 수 있다.
 


[그림 11] URL.txt 파싱

 

 

10) 전화 착신 리시버는 전화가 착신되었을 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크하며

 조건이 일치할 경우에는 전화 착신을 차단 시켜서 사용자가 전화가 왔다는 사실을 알 수 없도록 한다.
 


[그림 12] 전화 착신 차단

 

 

11) 전화 발신 리시버는 사용자가 전화를 걸게 될 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크

하며 조건이 일치할 경우에는 전화 발신을 차단 시켜서 사용자가 해당 전화번호에 연결 할 수 없게 한다.
 


[그림 13] 전화 발신 차단

 

 

12) 해당 악성 앱이 공인인증서, 메모, 사진의 유출을 시도하는 URL의 IP위치는 미국으로, 문자 메시지 유출을 시도하

는 URL의 IP위치는 태국으로 확인된다.
 


[그림 14] 공인인증서, 메모, 사진 등의 탈취 위치

 


[그림 15] 문자 메시지 탈취 위치



출처 : 하우리



Trackback 0 Comment 0
2013.03.11 20:20

모바일 메신저 카카오톡 취약점 보안 업데이트

□ 개요

  • 카카오社의 무료 모바일 메신저 앱인 카카오톡의 플러스친구 기능에서 세션정보가 노출되는 취약점이 발견됨
  • 낮은 버전의 사용자는 세션정보 탈취로 인한 계정도용 피해를 입을 수 있으므로 해결방안에 따라 보안
    업데이트 권고
    ※ 낮은 버전 사용자의 경우, 해당 취약점이 발생하는“플러스 친구”사용이 제한됨

 

□ 설명

  • 공격자는 다음과 같은 제한된 상황에서 사용자의 인증값을 탈취할 수 있음
    - 공격자와 사용자가 동일 WiFi네트워크에 접속해 있는 상태에서, 사용자가 “플러스 친구” 기능을 
      사용할 경우

 

□ 해당 시스템

  • 영향 받는 소프트웨어
    - 안드로이드 환경에서 동작하는 카카오톡 3.6.7 및 이전버전
    - iOS 환경에서 동작하는 카카오톡 3.5.2 및 이전버전

 

□ 해결방안

  • 안드로이드 환경 사용자
    - ‘구글 플레이 스토어’ 접속 → 메뉴 선택 → 내 애플리케이션 선택 → 카카오톡 최신 버전(3.6.8 이상)으로 
       업데이트 하거나 자동업데이트를 허용하여 업그레이드
  • iOS 환경 사용자
    - ‘앱 스토어’ 접속 → 업데이트 선택 → 카카오톡 최신 버전(3.5.5 이상)으로 업데이트

 

□ 용어 정리

  • 세션정보 : 단말기와 서버간의 연결유지정보

 

□ 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

□ 기타

  • 본 취약점은 Krcert 홈페이지를 통해 남창현(hacktune) 님께서 제공해주셨습니다.


Trackback 0 Comment 0
2012.08.13 19:02

모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(V2.0)

정보보호정책과-2097(2012.8.3, 모바일 앱 소스코드 보안성 검증 안내서 보급), 미래정보화과-1556(2011.9.5 ) 및 미래정보화과-910(2012.5.9, 모바일 전자정부 관련 가이드라인 2종 배포)호와 관련입니다. 

행정기관등이 안전한 모바일 서비스를 개발하여 각종 사이버위협으로부터 예방ㆍ대응코자 함 
SW 개발단계부터 보안약점을 제거하는 'SW 개발보안 의무화’ 및 '모바일 전자정부 지원센터 개소('12.5.10)’에 따른 『앱 소스코드 보안성 검증 안내서』를 개정ㆍ보급하오니 적극 활용하시기 바랍니다. 

ㅇ 적용 대상 : 중앙ㆍ지자체의 신규 개발되는 모든 모바일 앱(하이브리드 앱 포함) 
ㅇ 가이드 내용 : 앱 소스코드 보안성 검증 기준ㆍ절차 등을 안내 
ㅇ 검증 기관 : 한국인터넷진흥원(KISA) ※ 문의: KISA 방지호 책임 02-405-5342 
ㅇ 검증 신청방법 및 검증내용: 붙임 안내서 참고 ※ 한국인터넷진흥원으로 신청 

※ KISA 검증 완료 → 모바일 전자정부 지원센터에서 서비스 검증 후 저장 및 배포 

붙임1. 모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(2판) 
붙임2. (별지) 서식문서 



모바일 전자정부서비스 앱 소스코드 보안성 검증 안내서(V2.0).pdf

(별지) 서식문서.hwp


출처 : 행정안전부


Trackback 0 Comment 0