보안 인텔리전스 센터

Navigation
모바일 시그니처

주니퍼 네트웍스 MTC(Mobile Threat Center) 연구소는 모바일 장비 플랫폼 및 기술에 특별히 맞춰 고안되어 지속적 보안, 취약점 및 악성 코드 연구 수행을 전담하는 특별 조직입니다. MTC는 점점 교묘해지는 공격뿐 아니라 모바일 사이버 범죄에 대한 새로운 위협 벡터와 모바일 장치 및 데이터의 악용 및 오용 가능성을 조사합니다.

ANDROID

A.ADRD.1

이름 A.ADRD.1
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.10

이름 A.ADRD.10
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.11

이름 A.ADRD.11
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.12

이름 A.ADRD.12
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.13

이름 A.ADRD.13
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.14

이름 A.ADRD.14
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.15

이름 A.ADRD.15
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.16

이름 A.ADRD.16
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.17

이름 A.ADRD.17
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.18

이름 A.ADRD.18
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.19

이름 A.ADRD.19
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.2

이름 A.ADRD.2
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.20

이름 A.ADRD.20
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.21

이름 A.ADRD.21
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.22

이름 A.ADRD.22
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.23

이름 A.ADRD.23
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.24

이름 A.ADRD.24
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.25

이름 A.ADRD.25
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.26

이름 A.ADRD.26
범주
릴리스 날짜 2011/12/21
업데이트 번호 43

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.27

이름 A.ADRD.27
범주
릴리스 날짜 2011/12/21
업데이트 번호 43

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.3

이름 A.ADRD.3
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.4

이름 A.ADRD.4
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.5

이름 A.ADRD.5
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.6

이름 A.ADRD.6
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.7

이름 A.ADRD.7
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.8

이름 A.ADRD.8
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.ADRD.9

이름 A.ADRD.9
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.Adrd.a1

이름 A.Adrd.a1
범주
릴리스 날짜 2012/02/22
업데이트 번호 50

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다. 공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다. 그 조건이란, OS 시작 후 12시간이 지났거나, 네트워크 연결이 변경되었거나, 장비가 전화 통화를 수신하는 것입니다. 그러면 ADRD가 다음 정보의 수집을 시도합니다. 3gnet, 3gwap, APN, cmnet, cmwap, 하드웨어 정보, IMEI, IMSI, 네트워크 연결, uninet, uniwap, Wifi. 다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다. [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다. wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다. 또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다. sdcard/uc/myupdate.apk

A.Android FlexiSpy.a

이름 A.Android FlexiSpy.a
범주
릴리스 날짜 2010/03/22
업데이트 번호 1

전화 통화와 SMS 메시지를 기록하고 원격 서버로 보내는 트로이 목마로, 실제 이런 목적으로 설계된 애플리케이션인 것으로 여겨지는데, 그 목적을 드러내지 않고 은밀하게 실행되므로 트로이 목마로 분류됩니다. FlexiSpy는 지원되는 에스컬레이션 기능 집합과 함께 여러 가지 다양한 패키지 형태로 되어 있습니다.

A.Anserv.a

이름 A.Anserv.a
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

Anserver는 Android 장비를 목표로 삼는 일련의 악성 애플리케이션입니다. Anserver에 감염된 애플리케이션에는 악성 코드 개발자의 제어에 따라 원격 서버에 연결하여 다른 악의적 페이로드를 장비로 다운로드하여 사용자 동의 없이 이를 설치하는 기능이 추가됩니다. 또한, Anserver는 모바일 보안 애플리케이션을 식별하여 중지하려고 시도하는 것으로도 알려졌습니다. 그 밖에도, Anserver는 사용자를 속여 설치를 유도하기 위해 적법하지만 트로이 목마가 숨겨진 호스트 애플리케이션에 패키지 형태로 제공됩니다. Anserver에 감염된 애플리케이션은 일단 설치되고 나면 장비에 악성 페이로드를 "터치 스크린"으로 설치하고 사용자를 속여 원래 호스트에 대한 위조 "업그레이드"에 동의하도록 하는 방법으로 설치됩니다. Anserver는 일단 설치되고 나면 여러 가지 다양한 방식으로 트리거됩니다. - 연결 변경 - 전원 연결 - USB 대용량 스토리지가 연결되거나 연결이 끊김 - SMS 메시지 수신 - 입력 방법 변경 - 부팅 완료 - 장비 잠금 해제. Anserver는 악성 코드 시작에 성공하면 폰 홈(Phone Home)을 통해 새 명령 및 컨트롤(C&C) 서버 주소를 확인합니다. Anserver는 연결에 성공하면 일반 텍스트 XML로 C&C 서버 데이터베이스를 업데이트하는 명령을 수신합니다. 마지막으로, Anserver는 잠재적으로 민감한 성격을 지닌 장비 정보(OS 버전, IMEI 번호, 장비 제조업체 및 장비 모델)를 개발자에게 전송할 수 있습니다.

A.AnserverBot

이름 A.AnserverBot
범주
릴리스 날짜 2011/12/21
업데이트 번호 43

Anserver는 Android 장비를 목표로 삼는 일련의 악성 애플리케이션입니다. Anserver에 감염된 애플리케이션에는 악성 코드 개발자의 제어에 따라 원격 서버에 연결하여 다른 악의적 페이로드를 장비로 다운로드하여 사용자 동의 없이 이를 설치하는 기능이 추가됩니다. 또한, Anserver는 모바일 보안 애플리케이션을 식별하여 중지하려고 시도하는 것으로도 알려졌습니다. 그 밖에도, Anserver는 사용자를 속여 설치를 유도하기 위해 적법하지만 트로이 목마가 숨겨진 호스트 애플리케이션에 패키지 형태로 제공됩니다. Anserver에 감염된 애플리케이션은 일단 설치되고 나면 장비에 악성 페이로드를 "터치 스크린"으로 설치하고 사용자를 속여 원래 호스트에 대한 위조 "업그레이드"에 동의하도록 하는 방법으로 설치됩니다. Anserver는 일단 설치되고 나면 여러 가지 다양한 방식으로 트리거됩니다. - 연결 변경 - 전원 연결 - USB 대용량 스토리지가 연결되거나 연결이 끊김 - SMS 메시지 수신 - 입력 방법 변경 - 부팅 완료 - 장비 잠금 해제. Anserver는 악성 코드 시작에 성공하면 폰 홈(Phone Home)을 통해 새 명령 및 컨트롤(C&C) 서버 주소를 확인합니다. Anserver는 연결에 성공하면 일반 텍스트 XML로 C&C 서버 데이터베이스를 업데이트하는 명령을 수신합니다. 마지막으로, Anserver는 잠재적으로 민감한 성격을 지닌 장비 정보(OS 버전, IMEI 번호, 장비 제조업체 및 장비 모델)를 개발자에게 전송할 수 있습니다.

A.AnserverBot.2

이름 A.AnserverBot.2
범주
릴리스 날짜 2011/12/21
업데이트 번호 43

Anserver는 Android 장비를 목표로 삼는 일련의 악성 애플리케이션입니다. Anserver에 감염된 애플리케이션에는 악성 코드 개발자의 제어에 따라 원격 서버에 연결하여 다른 악의적 페이로드를 장비로 다운로드하여 사용자 동의 없이 이를 설치하는 기능이 추가됩니다. 또한, Anserver는 모바일 보안 애플리케이션을 식별하여 중지하려고 시도하는 것으로도 알려졌습니다. 그 밖에도, Anserver는 사용자를 속여 설치를 유도하기 위해 적법하지만 트로이 목마가 숨겨진 호스트 애플리케이션에 패키지 형태로 제공됩니다. Anserver에 감염된 애플리케이션은 일단 설치되고 나면 장비에 악성 페이로드를 "터치 스크린"으로 설치하고 사용자를 속여 원래 호스트에 대한 위조 "업그레이드"에 동의하도록 하는 방법으로 설치됩니다. Anserver는 일단 설치되고 나면 여러 가지 다양한 방식으로 트리거됩니다. - 연결 변경 - 전원 연결 - USB 대용량 스토리지가 연결되거나 연결이 끊김 - SMS 메시지 수신 - 입력 방법 변경 - 부팅 완료 - 장비 잠금 해제. Anserver는 악성 코드 시작에 성공하면 폰 홈(Phone Home)을 통해 새 명령 및 컨트롤(C&C) 서버 주소를 확인합니다. Anserver는 연결에 성공하면 일반 텍스트 XML로 C&C 서버 데이터베이스를 업데이트하는 명령을 수신합니다. 마지막으로, Anserver는 잠재적으로 민감한 성격을 지닌 장비 정보(OS 버전, IMEI 번호, 장비 제조업체 및 장비 모델)를 개발자에게 전송할 수 있습니다.

A.AnserverBot.3

이름 A.AnserverBot.3
범주
릴리스 날짜 2011/12/21
업데이트 번호 43

Anserver는 Android 장비를 목표로 삼는 일련의 악성 애플리케이션입니다. Anserver에 감염된 애플리케이션에는 악성 코드 개발자의 제어에 따라 원격 서버에 연결하여 다른 악의적 페이로드를 장비로 다운로드하여 사용자 동의 없이 이를 설치하는 기능이 추가됩니다. 또한, Anserver는 모바일 보안 애플리케이션을 식별하여 중지하려고 시도하는 것으로도 알려졌습니다. 그 밖에도, Anserver는 사용자를 속여 설치를 유도하기 위해 적법하지만 트로이 목마가 숨겨진 호스트 애플리케이션에 패키지 형태로 제공됩니다. Anserver에 감염된 애플리케이션은 일단 설치되고 나면 장비에 악성 페이로드를 "터치 스크린"으로 설치하고 사용자를 속여 원래 호스트에 대한 위조 "업그레이드"에 동의하도록 하는 방법으로 설치됩니다. Anserver는 일단 설치되고 나면 여러 가지 다양한 방식으로 트리거됩니다. - 연결 변경 - 전원 연결 - USB 대용량 스토리지가 연결되거나 연결이 끊김 - SMS 메시지 수신 - 입력 방법 변경 - 부팅 완료 - 장비 잠금 해제. Anserver는 악성 코드 시작에 성공하면 폰 홈(Phone Home)을 통해 새 명령 및 컨트롤(C&C) 서버 주소를 확인합니다. Anserver는 연결에 성공하면 일반 텍스트 XML로 C&C 서버 데이터베이스를 업데이트하는 명령을 수신합니다. 마지막으로, Anserver는 잠재적으로 민감한 성격을 지닌 장비 정보(OS 버전, IMEI 번호, 장비 제조업체 및 장비 모델)를 개발자에게 전송할 수 있습니다.

A.BaseBridge.b

이름 A.BaseBridge.b
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

BaseBridge는 Android 사용자에게 정당한 것처럼 보이지만, 사실은 불법 복제되어 트로이 목마를 숨겨놓도록 설계된 일련의 호스트 애플리케이션입니다. BaseBridge에 감염된 애플리케이션은 Android 2.2 장비에서 "udev"(BID 34536) 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득합니다. 루트 권한을 획득한 BaseBridge 감염 애플리케이션은 "/res/raw/anservb"에 있는 애플리케이션 패키지에 저장되는 페이로드("SMSApp.apk")를 드롭합니다. 설치 후, SMSApp.apk는 포트 8080의 원격 서버에 연결하여 "가입자 ID", "제조업체 및 모델", "Android 버전"과 같은 장비 식별 정보를 보냅니다. 둘째로, BaseBridge에 감염된 애플리케이션은 할증 요금이 적용되는 SMS 번호로 일련의 SMS 메시지를 보내도록 구성되는데, 이를 통해 사용자의 모바일 계정에 메시지당 요금이 부과되게 만듭니다. 이런 식으로 발생하는 피해 금액은 거의 항상 구제할 방법이 없습니다. 또한, BaseBridge는 모바일 장비의 받은 편지함에서 SMS 메시지를 제거하여 사용자가 비싼 요금의 SMS 메시지가 전송되고 있음을 알아차릴 가능성을 줄이고 발신자의 동의 없이 전화를 걸 수도 있습니다.

A.BaseBridge.f

이름 A.BaseBridge.f
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

BaseBridge는 Android 사용자에게 정당한 것처럼 보이지만, 사실은 불법 복제되어 트로이 목마를 숨겨놓도록 설계된 일련의 호스트 애플리케이션입니다. BaseBridge에 감염된 애플리케이션은 Android 2.2 장비에서 "udev"(BID 34536) 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득합니다. 루트 권한을 획득한 BaseBridge 감염 애플리케이션은 "/res/raw/anservb"에 있는 애플리케이션 패키지에 저장되는 페이로드("SMSApp.apk")를 드롭합니다. 설치 후, SMSApp.apk는 포트 8080의 원격 서버에 연결하여 "가입자 ID", "제조업체 및 모델", "Android 버전"과 같은 장비 식별 정보를 보냅니다. 둘째로, BaseBridge에 감염된 애플리케이션은 할증 요금이 적용되는 SMS 번호로 일련의 SMS 메시지를 보내도록 구성되는데, 이를 통해 사용자의 모바일 계정에 메시지당 요금이 부과되게 만듭니다. 이런 식으로 발생하는 피해 금액은 거의 항상 구제할 방법이 없습니다. 또한, BaseBridge는 모바일 장비의 받은 편지함에서 SMS 메시지를 제거하여 사용자가 비싼 요금의 SMS 메시지가 전송되고 있음을 알아차릴 가능성을 줄이고 발신자의 동의 없이 전화를 걸 수도 있습니다.

A.Basebrid.1

이름 A.Basebrid.1
범주
릴리스 날짜 2011/12/21
업데이트 번호 43

BaseBridge는 Android 사용자에게 정당한 것처럼 보이지만, 사실은 불법 복제되어 트로이 목마를 숨겨놓도록 설계된 일련의 호스트 애플리케이션입니다. BaseBridge에 감염된 애플리케이션은 Android 2.2 장비에서 "udev"(BID 34536) 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득합니다. 루트 권한을 획득한 BaseBridge 감염 애플리케이션은 "/res/raw/anservb"에 있는 애플리케이션 패키지에 저장되는 페이로드("SMSApp.apk")를 드롭합니다. 설치 후, SMSApp.apk는 포트 8080의 원격 서버에 연결하여 "가입자 ID", "제조업체 및 모델", "Android 버전"과 같은 장비 식별 정보를 보냅니다. 둘째로, BaseBridge에 감염된 애플리케이션은 할증 요금이 적용되는 SMS 번호로 일련의 SMS 메시지를 보내도록 구성되는데, 이를 통해 사용자의 모바일 계정에 메시지당 요금이 부과되게 만듭니다. 이런 식으로 발생하는 피해 금액은 거의 항상 구제할 방법이 없습니다. 또한, BaseBridge는 모바일 장비의 받은 편지함에서 SMS 메시지를 제거하여 사용자가 비싼 요금의 SMS 메시지가 전송되고 있음을 알아차릴 가능성을 줄이고 발신자의 동의 없이 전화를 걸 수도 있습니다.

A.BlitzF.a

이름 A.BlitzF.a
범주
릴리스 날짜 2010/08/16
업데이트 번호 1

"com.blitzforce.massada"는 중국전자과학기술대학교 Blitz Force Massada 그룹의 Android 장비 대상 개념 증명(POC) 악성 코드로 보이는 패키지의 이름입니다. com.blitzforce.massada는 손해를 일으킬 목적으로 만들어진 것이 아니라, POC로서 잠재적 악성 코드의 발생 가능성과 파괴력을 보여줄 목적인 것으로 보입니다. com.blitzforce.massada는 여러 가지 공격을 활용하여 다음과 같은 능력을 예증합니다. - 사용자 개입 없이 전화 받기 - 사용자 개입 없이 전화 통화를 종료시킴 - 수신/발신 전화를 차단하기 위해 장비의 무선 기능을 끔 - 중요한 장비 정보를 수집하여 원격 서버로 보냄

A.DDLight.a

이름 A.DDLight.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

DroidDream Light는 이전에 공식 Android Market을 공격한 DroidDream의 변형입니다. DroidDream와 마찬가지로, DroidDream Light 역시 불법 복제되어 트로이 목마가 숨겨진 Android 애플리케이션에 나타납니다. 분석 결과, 이처럼 불법 복제되어 트로이 목마가 숨겨진 애플리케이션의 악의적 특성은 수신 전화를 받을 때 활성화되는 것으로 밝혀졌습니다. DroidDream Light가 시작되면 다음 정보를 수집하여 원격 서버로 보냅니다. - IMEI 번호 - 전화 번호 - 장비 모델 - Android 버전. DroidDream Light 악성 코드에 감염된 애플리케이션에는 원격 서버에서 추가 패키지를 다운로드하여 설치하는 기능도 있습니다. 이전의 DroidDream과는 달리, DroidDream Light는 백그라운드에서 이런 추가 애플리케이션을 설치할 수 없으므로 사용자에게 설치 여부를 묻는 메시지가 표시됩니다.

A.DrdDream.a

이름 A.DrdDream.a
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

DroidDream은 Android Market에 나타난 최초의 복잡한 Android용 트로이 목마였습니다. DroidDream은 불법 복제되어 트로이 목마가 숨겨진 일련의 애플리케이션 형태로 나왔는데, 이 악성 코드의 개발자는 합법적 애플리케이션에 악성 코드를 채워 넣어 합법적 애플리케이션과 함께 릴리스했습니다. DroidDream은 'rageagainstthecage' 루트 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득했습니다. 루트 권한을 확보한 DroidDream 감염 애플리케이션에는 사용자 몰래 백그라운드에서 자동으로 설치되는 추가 페이로드가 패키지 내부에 포함되었습니다. 트로이 목마는 이 추가 패키지를 통해 장비에서 다음과 같은 정보를 캡처할 수 있습니다. - 제품 ID - 모델 - 서비스 프로바이더 - 장비 언어 - 장비에서 구성된 사용자 ID. 이 정보는 원격 서버로 전송됩니다. 그러면 DroidDream가 트로이 목마가 자유자재로 백그라운드에서 애플리케이션을 추가로 다운로드하고 설치할 수 있는 능력을 내장시키는 방식으로 더욱 많은 피해를 입힙니다. 이 기능은 사용자가 전혀 알지 못하는 상태에서 악성 코드의 능력을 더욱 확장시킬 수 있습니다.

A.DroidDream

이름 A.DroidDream
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

DroidDream은 Android Market에 나타난 최초의 복잡한 Android용 트로이 목마였습니다. DroidDream은 불법 복제되어 트로이 목마가 숨겨진 일련의 애플리케이션 형태로 나왔는데, 이 악성 코드의 개발자는 합법적 애플리케이션에 악성 코드를 채워 넣어 합법적 애플리케이션과 함께 릴리스했습니다. DroidDream은 'rageagainstthecage' 루트 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득했습니다. 루트 권한을 확보한 DroidDream 감염 애플리케이션에는 사용자 몰래 백그라운드에서 자동으로 설치되는 추가 페이로드가 패키지 내부에 포함되었습니다. 트로이 목마는 이 추가 패키지를 통해 장비에서 다음과 같은 정보를 캡처할 수 있습니다. - 제품 ID - 모델 - 서비스 프로바이더 - 장비 언어 - 장비에서 구성된 사용자 ID. 이 정보는 원격 서버로 전송됩니다. 그러면 DroidDream가 트로이 목마가 자유자재로 백그라운드에서 애플리케이션을 추가로 다운로드하고 설치할 수 있는 능력을 내장시키는 방식으로 더욱 많은 피해를 입힙니다. 이 기능은 사용자가 전혀 알지 못하는 상태에서 악성 코드의 능력을 더욱 확장시킬 수 있습니다.

A.DroidDream.2

이름 A.DroidDream.2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

DroidDream은 Android Market에 나타난 최초의 복잡한 Android용 트로이 목마였습니다. DroidDream은 불법 복제되어 트로이 목마가 숨겨진 일련의 애플리케이션 형태로 나왔는데, 이 악성 코드의 개발자는 합법적 애플리케이션에 악성 코드를 채워 넣어 합법적 애플리케이션과 함께 릴리스했습니다. DroidDream은 'rageagainstthecage' 루트 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득했습니다. 루트 권한을 확보한 DroidDream 감염 애플리케이션에는 사용자 몰래 백그라운드에서 자동으로 설치되는 추가 페이로드가 패키지 내부에 포함되었습니다. 트로이 목마는 이 추가 패키지를 통해 장비에서 다음과 같은 정보를 캡처할 수 있습니다. - 제품 ID - 모델 - 서비스 프로바이더 - 장비 언어 - 장비에서 구성된 사용자 ID. 이 정보는 원격 서버로 전송됩니다. 그러면 DroidDream가 트로이 목마가 자유자재로 백그라운드에서 애플리케이션을 추가로 다운로드하고 설치할 수 있는 능력을 내장시키는 방식으로 더욱 많은 피해를 입힙니다. 이 기능은 사용자가 전혀 알지 못하는 상태에서 악성 코드의 능력을 더욱 확장시킬 수 있습니다.

A.DroidDream.3

이름 A.DroidDream.3
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

DroidDream은 Android Market에 나타난 최초의 복잡한 Android용 트로이 목마였습니다. DroidDream은 불법 복제되어 트로이 목마가 숨겨진 일련의 애플리케이션 형태로 나왔는데, 이 악성 코드의 개발자는 합법적 애플리케이션에 악성 코드를 채워 넣어 합법적 애플리케이션과 함께 릴리스했습니다. DroidDream은 'rageagainstthecage' 루트 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득했습니다. 루트 권한을 확보한 DroidDream 감염 애플리케이션에는 사용자 몰래 백그라운드에서 자동으로 설치되는 추가 페이로드가 패키지 내부에 포함되었습니다. 트로이 목마는 이 추가 패키지를 통해 장비에서 다음과 같은 정보를 캡처할 수 있습니다. - 제품 ID - 모델 - 서비스 프로바이더 - 장비 언어 - 장비에서 구성된 사용자 ID. 이 정보는 원격 서버로 전송됩니다. 그러면 DroidDream가 트로이 목마가 자유자재로 백그라운드에서 애플리케이션을 추가로 다운로드하고 설치할 수 있는 능력을 내장시키는 방식으로 더욱 많은 피해를 입힙니다. 이 기능은 사용자가 전혀 알지 못하는 상태에서 악성 코드의 능력을 더욱 확장시킬 수 있습니다.

A.DroidDream.n

이름 A.DroidDream.n
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

DroidDream은 Android Market에 나타난 최초의 복잡한 Android용 트로이 목마였습니다. DroidDream은 불법 복제되어 트로이 목마가 숨겨진 일련의 애플리케이션 형태로 나왔는데, 이 악성 코드의 개발자는 합법적 애플리케이션에 악성 코드를 채워 넣어 합법적 애플리케이션과 함께 릴리스했습니다. DroidDream은 'rageagainstthecage' 루트 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득했습니다. 루트 권한을 확보한 DroidDream 감염 애플리케이션에는 사용자 몰래 백그라운드에서 자동으로 설치되는 추가 페이로드가 패키지 내부에 포함되었습니다. 트로이 목마는 이 추가 패키지를 통해 장비에서 다음과 같은 정보를 캡처할 수 있습니다. - 제품 ID - 모델 - 서비스 프로바이더 - 장비 언어 - 장비에서 구성된 사용자 ID. 이 정보는 원격 서버로 전송됩니다. 그러면 DroidDream가 트로이 목마가 자유자재로 백그라운드에서 애플리케이션을 추가로 다운로드하고 설치할 수 있는 능력을 내장시키는 방식으로 더욱 많은 피해를 입힙니다. 이 기능은 사용자가 전혀 알지 못하는 상태에서 악성 코드의 능력을 더욱 확장시킬 수 있습니다.

A.EicarAndr

이름 A.EicarAndr
범주
릴리스 날짜 2011/11/01
업데이트 번호 37

EICAR 바이러스 백신 테스트 애플리케이션. 이 애플리케이션은 유해하지 않습니다. 장비에 어떤 손상도 주지 않습니다. 이 애플리케이션은 단순히 이와 비슷한 메시지를 표시할 뿐, 그 이상은 아무런 역할도 하지 않습니다. 이 애플리케이션을 설치하는 데 아무런 권한도 필요하지 않습니다. 이 애플리케이션은 사용자의 데이터를 읽거나, 인터넷에 액세스하거나, 파일을 만들지 않습니다. 백그라운드에서 실행되거나 자동으로 시작되지도 않고, 메시지를 표시하는 것 외에는 전혀 아무런 일도 하지 않습니다. 하지만 이 애플리케이션에는 모든 바이러스 백신 제품이 안전하게 바이러스로 탐지할 수 있도록 EICAR(European Institute for Computer Antivirus Research)에서 고안한 텍스트가 포함되어 있으므로, 실제 바이러스나 다른 악성 코드로 장비를 실제로 감염시킬 필요 없이 바이러스 백신 애플리케이션이 올바로 작동하는지 테스트할 수 있습니다. 다시 분명히 설명하자면, 이 애플리케이션은 완벽히 무해한 애플리케이션이지만 바이러스로 탐지되어야 합니다. 이것이 바로 이 애플리케이션의 전적인 목적입니다. 스마트폰에서 바이러스 백신 애플리케이션이 실행 중인 경우 이 앱애플리케이션을 설치할 때 바이러스로 탐지되어야 합니다. 자세한 내용은 위키피디아에서 "EICAR test file(EICAR 테스트 파일)"을 검색하거나 EICAR 웹 사이트(eicar.org)를 참고하십시오.

A.FakePlayer.gen

이름 A.FakePlayer.gen
범주
릴리스 날짜 2010/09/14
업데이트 번호 1

“Fake Player”는 Android 장비에 영향을 주는 것으로 알려진 최초의 SMS 트로이 목마 애플리케이션입니다. 이 애플리케이션은 “ru.apk”라는 이름의 APK(Android Package) 형태로 핸드셋에 나타나며, 장비의 애플리케이션 목록에 “org.me.androidapplication1″로 존재하고 애플리케이션 서랍에는 “Movie Player”로 나타납니다. 분석 결과, “Fake Player”는 개발자가 단순한 “Hello, World” 애플리케이션을 만들고 “SMS_SEND” 권한을 요청하여 매우 기본적인 SMS 기능을 포함하도록 코드를 수정했다는 점에서 상당히 초보적인 것으로 밝혀졌습니다. “Fake Player”는 SMS 트로이 목마로서, 일단 설치되고 나면 메시지 본문에 “798657″을 포함한 SMS 메시지를 할증 요금이 적용되는 SMS 번호 “3353″으로 보내어 사용자의 모바일 계정에 대해 발송되는 각 메시지마다 요금이 청구되도록 합니다. 그런 메시지가 전송되면 트로이 목마가 같은 메시지를 짧은 코드 “3354″로 보낸 다음, 제3의 메시지를 “3353″으로 보냅니다. 분석 결과, “Fake Player”는 타사 채널을 통해서만 배포되고 지역 Android Market에는 존재하지 않는 것으로 밝혀졌습니다. 또한, 구성된 짧은 코드가 러시아 네트워크 내부에 존재하여 러시아 외부의 통신사 네트워크에서는 연결할 수 없으므로 “Fake Player”가 러시아 통신사 네트워크 외부에서는 올바로 작동할 것으로 판단되지 않습니다. 뿐만 아니라, “Fake Player”는 자동 전파할 수 없으므로, 장비 사용자가 애플리케이션 설치에 필요한 작업을 시작하고 요청되는 권한의 승인을 확인해야 합니다.

A.FakeTr.a

이름 A.FakeTr.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Fake Trusteer는 사용자가 스마트폰 뱅킹을 사용할 때 “은행 웹 사이트”에서 불필요한 키를 입력하도록 합니다. 이를 통해 정보가 누출됩니다.

A.Flexispy.gen

이름 A.Flexispy.gen
범주
릴리스 날짜 2012/02/22
업데이트 번호 50

FlexiSpy는 대부분의 주요 모바일 플랫폼에 영향을 미치는 상업용 스파이웨어입니다. Flexispy는 전화 통화와 SMS 메시지를 기록하고 원격 서버로 보냅니다. 실제 이런 목적으로 설계된 애플리케이션인 것으로 여겨지는데, 그 목적을 드러내지 않고 은밀하게 실행되므로 트로이 목마로 분류됩니다. FlexiSpy는 지원되는 에스컬레이션 기능 집합과 함께 여러 가지 다양한 패키지 형태로 되어 있습니다. 전체 기능 집합은 다음과 같습니다. 원격 청취, SMS에 의한 전화 제어, SMS 및 이메일 로깅, 통화 기록 로깅, 위치 추적, 통화 인터셉션, GPS 추적, 실드, 블랙 리스트, 화이트 리스트, 웹 지원, 보안 로그인, 보고서 보기, 고급 검색, 보고서 다운로드, 특수 기능, SIM 변경 알림, 필요한 GPRS 기능, 녹음된 대화 청취

A.Foncy.a

이름 A.Foncy.a
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

Foncy는 합법적 애플리케이션으로 다시 패키지된 SMS 트로이 목마 애플리케이션입니다. 적당한 국가 내에서 특정 번호로 할증 요금이 적용되는 SMS 메시지를 보내기 위해 장비의 국가 코드를 검색할 수 있도록 허용하는 특별한 메소드를 사용합니다. Foncy는 현재 유럽 국가와 사용자에게 영향을 주는 것으로 알려져 있을 뿐입니다.

A.GGTracker

이름 A.GGTracker
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

GGTracker는 할증 요금 적용 번호로 SMS 메시지를 보낼 뿐 아니라 중요한 장비 정보도 수집하는 Android 장비용 트로이 목마입니다. 이 트로이 목마가 실행되면 제어 서버가 감염된 장비로 SMS 메시지를 보낼 수 있도록 장비의 전화 번호를 보냅니다. 다음으로, 트로이 목마가 수신된 SMS 메시지를 모니터링하다가 다음 번호에서 SMS 메시지를 가로챕니다. 00033335 00036397 33335 36397 46621 55991 55999 56255 96512 99735. 또한, 다음 SMS 메시지를 보내어 41001에서 보내는 SMS 메시지에 응답합니다. 예(YES). 이 트로이 목마는 다음 정보를 수집할 수 있습니다. - 장비 전화 번호 - 네트워크 운영자의 이름 - 가로챈 SMS 메시지의 발신자와 본문 - 받은 편지함에 있는 SMS 메시지의 발신자와 본문 - Android 운영 체제의 버전. 수집된 정보는 다음 위치로 전송됩니다. http://www.amaz0n-cloud.com/droid/droid.php

A.GGTracker.b

이름 A.GGTracker.b
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

GGTracker는 할증 요금 적용 번호로 SMS 메시지를 보낼 뿐 아니라 중요한 장비 정보도 수집하는 Android 장비용 트로이 목마입니다. 이 트로이 목마가 실행되면 제어 서버가 감염된 장비로 SMS 메시지를 보낼 수 있도록 장비의 전화 번호를 보냅니다. 다음으로, 트로이 목마가 수신된 SMS 메시지를 모니터링하다가 다음 번호에서 SMS 메시지를 가로챕니다. 00033335 00036397 33335 36397 46621 55991 55999 56255 96512 99735. 또한, 다음 SMS 메시지를 보내어 41001에서 보내는 SMS 메시지에 응답합니다. 예(YES). 이 트로이 목마는 다음 정보를 수집할 수 있습니다. - 장비 전화 번호 - 네트워크 운영자의 이름 - 가로챈 SMS 메시지의 발신자와 본문 - 받은 편지함에 있는 SMS 메시지의 발신자와 본문 - Android 운영 체제의 버전. 수집된 정보는 다음 위치로 전송됩니다. http://www.amaz0n-cloud.com/droid/droid.php

A.Geinimi.25

이름 A.Geinimi.25
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.26

이름 A.Geinimi.26
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.27

이름 A.Geinimi.27
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.28

이름 A.Geinimi.28
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.01

이름 A.Geinimi.01
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.02

이름 A.Geinimi.02
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.03

이름 A.Geinimi.03
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 ��염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.04

이름 A.Geinimi.04
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.05

이름 A.Geinimi.05
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.06

이름 A.Geinimi.06
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.07

이름 A.Geinimi.07
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.08

이름 A.Geinimi.08
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.09

이름 A.Geinimi.09
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.10

이름 A.Geinimi.10
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.11

이름 A.Geinimi.11
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.12

이름 A.Geinimi.12
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.13

이름 A.Geinimi.13
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.14

이름 A.Geinimi.14
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.16

이름 A.Geinimi.16
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.17

이름 A.Geinimi.17
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.18

이름 A.Geinimi.18
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.19

이름 A.Geinimi.19
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.20

이름 A.Geinimi.20
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.21

이름 A.Geinimi.21
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.22

이름 A.Geinimi.22
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.23

이름 A.Geinimi.23
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.24

이름 A.Geinimi.24
범주
릴리스 날짜 2011/01/11
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.29

이름 A.Geinimi.29
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.30

이름 A.Geinimi.30
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.31

이름 A.Geinimi.31
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.32

이름 A.Geinimi.32
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.Geinimi.33

이름 A.Geinimi.33
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다. - SMS 메시지 모니터링 및 전송 - 선택한 SMS 메시지 삭제 - 위치 데이터 모니터링 및 전송 - 장비 식별 데이터(IMEI/IMSI) 수집 및 전송 - 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시 - 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송 - 전화 걸기 - 파일 자동 다운로드 - 미리 정의된 URL로 브라우저 시작. 지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다. Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다. Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다. 다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다. www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185. Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다. com.moonage.iTraining – A.Geinimi.01로 탐지됨, com.sgg.sp – A.Geinimi.02로 탐지됨, com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨, com.ubermind.ilightr – A.Geinimi.04로 탐지됨, com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨, com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨, com.xlabtech.MonsterTruckRally – A.Geinimi.08로 탐지됨, cmp.LocalService – A.Geinimi.09로 탐지됨, jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨, com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨, cmp.netsentry – A.Geinimi.12로 탐지됨, com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨, com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨, com.masshabit.squibble.free – A.Geinimi.15로 탐지됨, signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨, redrabbit.CityDefense – A.Geinimi.17로 탐지됨, com.gamevil.bs2010 – A.Geinimi.18로 탐지됨, com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨, com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨, sex.sexy – A.Geinimi.21로 탐지됨, com.swampy.sexpos – A.Geinimi.22로 탐지됨, com.ericlie.cg5 – A.Geinimi.23으로 탐지됨, chaire1.mm – A.Geinimi.24로 탐지됨. 앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

A.GingerMaster.2

이름 A.GingerMaster.2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

GingerMaster는 Android 버전 2.2 이하에 대해 루트 익스플로잇을 활용한 기능을 확장하기 위해 장비를 루팅할 수 있었던 이전의 Android 악성 코드 변형과는 달리, Android 2.3(Gingerbread)에 대해 루트 익스플로잇을 활용하는 최초의 Android 악성 코드입니다. GingerMaster는 합법적 애플리케이션 내부에 악성 코드를 다시 패키지하는 추세를 따릅니다. 트로이 목마가 숨겨진 애플리케이션이 설치되면, GingerMaster가 수신기를 등록하여 시스템 부팅에 성공했을 때와 원격 서버로 업로드할 장비 식별 정보를 수집하는 서비스를 백그라운드에서 실행할 때도 알림 메시지를 받을 수 있습니다. 장비 정보를 수집하는 것 외에도, GingerMaster에 감염된 애플리케이션은 "GingerBreak" 루트 익스플로잇을 활용하여 이를 루트 권한으로 상승할 뿐 아니라, 이후에 사용할 수 있도록 루트 셸을 시스템 파티션에 설치하려고 시도합니다. 루트 권한을 획득한 후, GingerMaster는 원격 명령 및 컨트롤(C&C) 서버에 연결을 시도하고 봇 마스터에서 명령을 기다립니다. 그러면 GingerMaster가 이전에 설치된 루트 셸에서 "pm install"을 실행하여 악성 코드의 기능을 확장할 수 있는 추가 애플리케이션을 자동으로 다운로드하여 설치하기 시작할 수 있습니다.

A.GingerMaster.a

이름 A.GingerMaster.a
범주
릴리스 날짜 2011/08/31
업데이트 번호 5

GingerMaster는 Android 버전 2.2 이하에 대해 루트 익스플로잇을 활용한 기능을 확장하기 위해 장비를 루팅할 수 있었던 이전의 Android 악성 코드 변형과는 달리, Android 2.3(Gingerbread)에 대해 루트 익스플로잇을 활용하는 최초의 Android 악성 코드입니다. GingerMaster는 합법적 애플리케이션 내부에 악성 코드를 다시 패키지하는 추세를 따릅니다. 트로이 목마가 숨겨진 애플리케이션이 설치되면, GingerMaster가 수신기를 등록하여 시스템 부팅에 성공했을 때와 원격 서버로 업로드할 장비 식별 정보를 수집하는 서비스를 백그라운드에서 실행할 때도 알림 메시지를 받을 수 있습니다. 장비 정보를 수집하는 것 외에도, GingerMaster에 감염된 애플리케이션은 "GingerBreak" 루트 익스플로잇을 활용하여 이를 루트 권한으로 상승할 뿐 아니라, 이후에 사용할 수 있도록 루트 셸을 시스템 파티션에 설치하려고 시도합니다. 루트 권한을 획득한 후, GingerMaster는 원격 명령 및 컨트롤(C&C) 서버에 연결을 시도하고 봇 마스터에서 명령을 기다립니다. 그러면 GingerMaster가 이전에 설치된 루트 셸에서 "pm install"을 실행하여 악성 코드의 기능을 확장할 수 있는 추가 애플리케이션을 자동으로 다운로드하여 설치하기 시작할 수 있습니다.

A.GoldDream.3

이름 A.GoldDream.3
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

“GoldDream”은 “Fast Racing”이라는 애플리케이션에서 발견된 Android 악성 코드입니다. ”Fast Racing”은 드래그 레이싱 게임으로 백그라운드에서 악성 코드가 삽입된 상태에서 올바르게 작동하는 것처럼 보입니다. “Fast Racing”은 “com.creativemobi.DragRacing”이라는 패키지 이름으로 제공되는데, 게임 작동에 필요한 수준 이상의 권한을 요청합니다. 사용자는 다음 권한을 요청하는 것을 관찰함으로써 이를 악성 애플리케이션으로 식별할 수 있을지 알 수 있습니다. - 사용자의 메시지 - 사용자의 위치 - 네트워크 통신 - 스토리지 - 유료 서비스 - 전화 통화. 그 이후로 GoldDream 악성 코드에 감염된 애플리케이션 6개를 추가로 식별했습니다. 다음 패키지 이름에서 이런 애플리케이션이 발견될 수 있습니다. Pure Girls 16 – com.GoldDream.pg03, Pure Girls 16 – com.GoldDream.pg04, Pure Girls 16 – com.GoldDream.pg, Forrest Defender – com.droid.game.forestman, DevilDom Ninja – com.droidstu.game.devilninja, Blood vs Zombie – com.gamelio.DrawSlasher. GoldDream 악성 코드로 감염된 것으로 탐지되는 Android 애플리케이션은 감염된 모바일 장비에서 모든 인바운드 및 아웃바운드 SMS 메시지와 전화 통화를 모니터링할 수 있습니다. 이 악성 코드는 이런 통신을 수신 대기하다가 메시지 또는 통화와 관련된 전화 번호를 캡처합니다. SMS 메시지의 경우, GoldDream 악성 코드는 메시지의 내용도 캡처하고 모바일 핸드셋이 캡처된 데이터를 제어 서버로 보내라는 명령을 수신할 때까지 모바일 핸드셋에서 다른 두 텍스트 파일에 캡처된 데이터를 전부 저장합니다.[redacted]phonecall.txt [redacted]sms.txt 메시지 또는 통화가 수신/송신되면 장비의 /data/data/app_name/files 폴더에 이들 파일이 생성됩니다. GoldDream에 감염된 애플리케이션에는 명령을 내리는 서버가 악성 코드에 구성된 기능을 수행하라고 지시하는 명령 및 컨트롤(C&C) 기능도 포함됩니다. 악성 코드 분석 결과, C&C 서버가 감염된 장비에 다음 기능을 수행할 것을 지시할 수 있는 것으로 나타났습니다. - 백그라운드에서 SMS 메시지 전송 - 백그라운드에서 전화 걸기 - 백그라운드에서 애플리케이션 설치/제거 - 원격 서버로 파일 업로드

A.HippoSMS

이름 A.HippoSMS
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

HippoSMS는 아시아 사용자를 목표로 삼아, 정당한 애플리케이션의 크랙 버전으로 나옵니다. HippoSMS가 설치되면 "8"을 메시지 본문으로 하여 할증 요금 번호로 SMS 메시지를 보냅니다. 또한, 수신 SMS 메시지를 모니터링하여 "10"으로 시작하는 수신 메시지를 삭제합니다.

A.HippoSMS.a

이름 A.HippoSMS.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

HippoSMS는 아시아 사용자를 목표로 삼아, 정당한 애플리케이션의 크랙 버전으로 나옵니다. HippoSMS가 설치되면 "8"을 메시지 본문으로 하여 할증 요금 번호로 SMS 메시지를 보냅니다. 또한, 수신 SMS 메시지를 모니터링하여 "10"으로 시작하는 수신 메시지를 삭제합니다.

A.Jifake.gen1

이름 A.Jifake.gen1
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

Jifake는 인스턴트 메시징 애플리케이션 JIMM의 러시아 수정 버전에 미리 다운로드된 형태로 제공됩니다. 이 사전 다운로드에서 최종 사용자에게 정식 버전을 구하려면 본문 메시지를 "744155jimm"으로 하여 단축 번호(2476)로 SMS 메시지를 보낼 것을 요구합니다. 피해자에게는 그 SMS 메시지의 비용이 청구됩니다. Jifake의 또 다른 변형은 단축 번호 1899로 SMS를 보냅니다. SMS의 본문은 다음과 같습니다. 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

A.Jifake.gen2

이름 A.Jifake.gen2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

Jifake는 인스턴트 메시징 애플리케이션 JIMM의 러시아 수정 버전에 미리 다운로드된 형태로 제공됩니다. 이 사전 다운로드에서 최종 사용자에게 정식 버전을 구하려면 본문 메시지를 "744155jimm"으로 하여 단축 번호(2476)로 SMS 메시지를 보낼 것을 요구합니다. 피해자에게는 그 SMS 메시지의 비용이 청구됩니다. Jifake의 또 다른 변형은 단축 번호 1899로 SMS를 보냅니다. SMS의 본문은 다음과 같습니다. 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

A.KMin

이름 A.KMin
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

KMin은 Android 장비에 영향을 주는 악성 애플리케이션입니다. 트로이 목마는 "KMHome"이라는 이름의 Android 애플리케이션으로 나타날 수 있으며, 원격 서버로 보내기 위해 장비 ID, 가입자 ID 및 장비의 현재 시간을 수집합니다.

A.Kidlogger.a

이름 A.Kidlogger.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

KidLogger는 Android 장비의 비상업용 스파이웨어입니다. 지금도 Android Market에 있는 Kid Logger에 대한 Market의 설명은 다음과 같습니다. 전화 및 사용자 활동을 로그 파일에 기록합니다. - 모든 통화 기록 - 수신자 이름을 포함한 SMS 텍스트 - Wi-fi 연결 - GSM 상태(Airmode, 운영자 이름 등). - USB 연결에 의한 SD 카드 사용 - 사용되는 모든 애플리케이션 기록 - 방문한 웹 사이트 로그(표준 브라우저만 해당). - 화면 상의 키보드와 클립보드 텍스트에 입력한 키 입력 로그. - 전화 좌표와 생성된 사진도 기록합니다. - 백그라운드에서 숨겨진 상태로 작동 - 암호로 보호됨 - 사용자 작업 로그 파일을 5일간 유지하거나 Kidlogger.net 계정으로 업로드 언제든 온라인 상에서 전화 활동 저널을 볼 수 있습니다. 설치하고 스마트폰을 다시 시작한 후 *123456#로 전화를 걸어 KidLogger App을 열고 작동하십시오. 다시 시작하지 않으려면 "Soft Keyboard PRO" 입력 메소드를 설치하십시오. 자세한 내용은 "Soft Keyboard PRO" 애플리케이션을 참고하십시오. KidLogger는 사용자로부터 스스로 숨길 수 있는 능력이 있으므로 스파이웨어로 분류됩니다. 이런 유형의 애플리케이션은 확실히 하위 애플리케이션의 온라인 및 모바일 활동을 인식하려는 상위 애플리케이션에 필요한 서비스를 제공하지만, 인증되지 않은 사용자에게도 의심하지 않는 사람을 불법적으로 모니터링할 수 있는 기능을 제공합니다.

A.KungFu.a

이름 A.KungFu.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Droid KungFu는 중국어 사용자를 대상으로 하는 대체 시장 내에서 기능을 제공하는 악성 코드를 포함하도록 불법 복제되어 트로이 목마가 숨겨진 채 다시 패키지된 애플리케이션 형식의 Android 악성 코드입니다. Droid KungFun은 'udev' 및 'rageagainstthecage' 루트 익스플로잇을 활용하여 감염된 장비에 대한 루트 액세스 권한을 사용자 몰래 자동으로 획득합니다. 감염된 애플리케이션을 설치하면 애플리케이션이 새 서비스와 새 수신기를 장비에 등록하여 수신기는 장비가 다시 부팅되어 백그라운드에서 해당 서비스를 자동으로 시작할 수 있게 될 때 알림 메시지를 받게 됩니다. 시작된 서비스는 암호화된 루트 익스플로잇 페이로드의 암호화를 해제하고 장비에 대해 익스플로잇을 실행하여 루트 권한으로 상승을 시도합니다. 루트 권한을 얻은 후, Droid KungFu는 원격 서버로 보낼 장비 정보 수집을 시도합니다. 다음 장비 정보가 수집됩니다. - IMEI 번호 - 장비 모델 - Android 버전. 악성 코드가 장비에 대한 루트 권한으로 장비를 원격 서버에 등록하는 데 필요한 정보를 수집하여 전송하면, Droid KungFu가 사용자의 동의 없이 백그라운드에서 장비에 추가 패키지 설치를 시도합니다. 설치된 'legacy' 애플리케이션은 같은 애플리케이션 아이콘을 포함한 합법적인 Google Search 애플리케이션을 가장합니다. 'Legacy'는 실제로는 다음으로 할 일, 본질적으로는 감염된 장비를 봇으로 바꾸는 명령과 지시를 수신하기 위해 원격 서버에 연결하는 백도어입니다.

A.KungFu2.2

이름 A.KungFu2.2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

Droid KungFu2는 불법 복제되어 트로이 목마가 숨겨진 Android 애플리케이션에 패키지된 원래 Droid KungFu 악성 코드의 변형입니다. 이전의 Droid KungFu와 기능이 상당히 유사한 Droid KungFu2는 (Java 기반의) Dalvik 코드로 작성된 코드의 일부에 대해 난독 처리를 시도하고, 기본 코드를 대신 사용합니다. 또한, 이전 버전은 명령 및 컨트롤(C&C) 도메인을 하나만 사용하는 반면, Droid KungFu2는 2개의 C&C 도메인을 추가로 채택합니다. 연구자들이 악성 코드의 통신과 기타 기능을 분석하고 식별하기 더 어렵게 만들어 기존 검색 방법을 혼란스럽게 하고 분석 속도를 떨어뜨리는 방식으로 변경되었습니다.

A.KungFu2.a

이름 A.KungFu2.a
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

Droid KungFu2는 불법 복제되어 트로이 목마가 숨겨진 Android 애플리케이션에 패키지된 원래 Droid KungFu 악성 코드의 변형입니다. 이전의 Droid KungFu와 기능이 상당히 유사한 Droid KungFu2는 (Java 기반의) Dalvik 코드로 작성된 코드의 일부에 대해 난독 처리를 시도하고, 기본 코드를 대신 사용합니다. 또한, 이전 버전은 명령 및 컨트롤(C&C) 도메인을 하나만 사용하는 반면, Droid KungFu2는 2개의 C&C 도메인을 추가로 채택합니다. 연구자들이 악성 코드의 통신과 기타 기능을 분석하고 식별하기 더 어렵게 만들어 기존 검색 방법을 혼란스럽게 하고 분석 속도를 떨어뜨리는 방식으로 변경되었습니다.

A.KungFu3.a

이름 A.KungFu3.a
범주
릴리스 날짜 2011/08/31
업데이트 번호 5

Droid KungFu3은 Android 장비에 영향을 미치는 Droid KungFun 악성 코드 시리즈의 세 번째 변형입니다. Droid KungFu3은 이전의 Droid KungFu 시리즈와 마찬가지로 불법 복제되어 트로이 목마가 숨겨진 Android 장비용 애플리케이션 형태로 나타납니다. Droid KungFu3은 진짜 의도를 위장하기 위해 더한 시도를 합니다. Droid KungFu2가 명령 및 컨트롤(C&C) 서버 2개를 더 추가하고 이들 서버를 기본 코드로 하드코드했다면, Droid KungFu3은 C&C 서버 주소 3개를 모두 실제로 암호화하여 악성 코드를 리버스 엔지니어링하기 더 어렵게 합니다. Droid KungFu3의 주요 목적은 미묘한 변형으로 변화하는 것이 아닙니다. 이전 시리즈와 마찬가지로, Droid KungFu3은 두 가지 루트 익스플로잇 중 하나를 활용하여 감염된 장비에 대한 루트 권한을 획득합니다. 루트 권한을 얻은 후, 모조 Google Update 애플리케이션으로 가장하는 포함된 APK(Android 패키지) 설치를 시도합니다. 포함된 애플리케이션 설치에 성공하더라도 사용자에게 애플리케이션 아이콘이 표시되지는 않습니다. 실제로는 이 애플리케이션은 설치된 후 장비의 백도어에서 열려 원격 서버에 연결되어 명령을 받으며, 해당 장비를 봇에 효율적으로 바꿔놓습니다.

A.Lovetrap.1

이름 A.Lovetrap.1
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

LoveTrap은 할증 요금 번호로 SMS 메시지를 보내는 Android 트로이 목마입니다. LoveTrap은 일단 설치되고 나면 원격 서버에서 할증 요금 번호를 검색하여 SMS 메시지를 보냄으로써 해당 모바일 사용자의 계정에 요금이 청구되게끔 합니다. 그런 다음, 이 트로이 목마는 더 깊은 곳까지 나아가 할증 요금 번호로부터 수신되는 확인 SMS 메시지를 차단합니다.

A.Lovetrap.2

이름 A.Lovetrap.2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

LoveTrap은 할증 요금 번호로 SMS 메시지를 보내는 Android 트로이 목마입니다. LoveTrap은 일단 설치되고 나면 원격 서버에서 할증 요금 번호를 검색하여 SMS 메시지를 보냄으로써 해당 모바일 사용자의 계정에 요금이 청구되게끔 합니다. 그런 다음, 이 트로이 목마는 더 깊은 곳까지 나아가 할증 요금 번호로부터 수신되는 확인 SMS 메시지를 차단합니다.

A.Lovetrap.3

이름 A.Lovetrap.3
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

LoveTrap은 할증 요금 번호로 SMS 메시지를 보내는 Android 트로이 목마입니다. LoveTrap은 일단 설치되고 나면 원격 서버에서 할증 요금 번호를 검색하여 SMS 메시지를 보냄으로써 해당 모바일 사용자의 계정에 요금이 청구되게끔 합니다. 그런 다음, 이 트로이 목마는 더 깊은 곳까지 나아가 할증 요금 번호로부터 수신되는 확인 SMS 메시지를 차단합니다.

A.MNauten.gen

이름 A.MNauten.gen
범주
릴리스 날짜 2010/10/05
업데이트 번호 1

Mobinauten SMS Spy는 Android Market에 있으며, 사용자가 분실 또는 도난당한 장비를 찾는 데 도움이 될 수 있는 애플리케이션으로 설명됩니다. SMS Spy는 스스로를 사용자로부터 숨기고 장비의 애플리케이션 서랍에 애플리케이션 아이콘을 삽입하지 않으므로 스파이웨어로 분류됩니다. SMS Spy는 “SMS Spy”라는 이름의 애플리케이션과 함께 “de.mobinauten.smsspy”라는 이름의 패키지 형태로 나타납니다. SMS Spy는 공격자가 “How are you???”라고 사전 구성된 메시지를 포함한 SMS 메시지를 장비로 보내야 합니다. 위치가 확인된 장비는 3개의 SMS 메시지로 발신자에게 응답합니다. 첫 번째 메시지는 locate 메시지의 수신을 확인합니다. 두 번째 회신 메시지는 GPS 좌표와 장비의 주소를 포함하여 회신합니다. 세 번째 회신 메시지에는 장비의 위치를 나타내는 Google Map에 연결되는 URL이 포함됩니다. SMS Spy는 사용자에게 수신 “locate” SMS 메시지를 숨길 수 있는 옵션을 제공합니다. 이 경우에는 성이 “systemnumber”로 표시되고 나머지 정보는 공백인 상태로 대상 장비에서 별개의 연락처를 만들어야 합니다. SMS Spy는 대상 장비에서 이 “systemnumber” 연락처를 만들어 올바로 생성된 locate 메시지를 삭제하고 시스템 알림으로 보내는 메시지가 “내부 서비스 – SMS 데이터베이스가 최적화되고 압축됨”이 되도록 수정합니다. SMS Spy는 올바로 사용한다면 확실히 유용한 애플리케이션으로 간주될 수 있습니다. 하지만 사용자로부터 스스로를 숨기기 위한 수단을 취해 공격자로 하여금 수신 locate 메시지를 난독 처리하도록 할 수 있으므로, 사용자가 이 애플리케이션을 장비에 그대로 남겨둬야 할지 정확한 정보를 바탕으로 결정할 수 있도록 Android 스파이웨어로 분류됩니다.

A.NickiSpy.a

이름 A.NickiSpy.a
범주
릴리스 날짜 2011/08/31
업데이트 번호 5

NickySpy는 Android 장비에 영향을 주는 악성 프로그램입니다. NickySpy는 "Android System Manager"라는 이름의 애플리케이션으로 나타나지만, 실제로는 장비에 대한 정보를 수집하여 원격 서버로 보내기만 합니다. NickySpy는 음성 통화, SMS 메시지, GPS 위치 정보, 국제 모바일 장비 ID, IP 주소와 같은 정보를 캡처할 수 있습니다. 이 악성 코드는 SD 카드에서 '/sdcard/shangzhou/callrecord'로 명명된 폴더에 음성 통화 데이터를 저장하고, 데이터 수집을 시작하고 이런 세부 정보를 원격 서버로 업로드하기 위한 타이머 이벤트를 만듭니다.

A.NickiSpy.b

이름 A.NickiSpy.b
범주
릴리스 날짜 2011/08/31
업데이트 번호 5

NickySpy는 Android 장비에 영향을 주는 악성 프로그램입니다. NickySpy는 "Android System Manager"라는 이름의 애플리케이션으로 나타나지만, 실제로는 장비에 대한 정보를 수집하여 원격 서버로 보내기만 합니다. NickySpy는 음성 통화, SMS 메시지, GPS 위치 정보, 국제 모바일 장비 ID, IP 주소와 같은 정보를 캡처할 수 있습니다. 이 악성 코드는 SD 카드에서 '/sdcard/shangzhou/callrecord'로 명명된 폴더에 음성 통화 데이터를 저장하고, 데이터 수집을 시작하고 이런 세부 정보를 원격 서버로 업로드하기 위한 타이머 이벤트를 만듭니다.

A.PJApp.1

이름 A.PJApp.1
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다. 블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.2

이름 A.PJApp.2
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다.블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.3

이름 A.PJApp.3
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다. 블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.4

이름 A.PJApp.4
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 앱애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다. 블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.5

이름 A.PJApp.5
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다. 블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.6

이름 A.PJApp.6
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다. 블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.7

이름 A.PJApp.7
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다.블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft-이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다.는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.8

이름 A.PJApp.8
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다.블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PJApp.9

이름 A.PJApp.9
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사 중국 애플리케이션 스토어에서 정식 애플리케이션으로 위장됩니다. 이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다. - 네트워크 소켓 열기 - 수신 SMS 메시지 전송 및 모니터링 - 사용자의 탐색 기록 및 북마크 읽기 및 쓰기 - 패키지 설치 - 외부 스토리지에 쓰기 - 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등). 그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다. 서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다. http://mobile.meego91.com/mm.do?..[PARAMETERS] 참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다. - IMEI - 장비 ID - 회선 번호 - 가입자 ID - SIM 일련 번호. 이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS] 이 위협의 경우, 다음 위치에서 명령을 다운로드합니다. http://xml.meego91.com:8118/push/newandroidxml/… 명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다. 참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다.블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다. ($blacklist_url) + “/?tel=” + mobilenumber response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다. push- 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다. —텍스트 메시지의 내용 —메시지 내용의 끝에 추가할 URL —텍스트를 전송할 대상 모바일 번호로서, ‘#’로 구분 soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다. window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다. com.uc.browser, com.tencent.mtt, com.opera.mini.android, mobi.mgeek.TunnyBrowser com.skyfire.browser, com.kolbysoft.steel, com.android.browser, android.paojiao.cn, ct2.paojiao.cn g3g3.cn, mark-이 명령은위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다. xbox-이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

A.PirateText.a

이름 A.PirateText.a
범주
릴리스 날짜 2011/03/29
업데이트 번호 1

PirateText는 "Walk and Text"로 명명된 최고 등급 Android 애플리케이션의 불법 복제 버전입니다. "Walk and Text"의 공식 개발자들이 Android Market에 애플리케이션의 새 버전을 내놓은 지 몇 시간도 되지 않아 Market에서 불법 복제되어 패키지에 악성 코드가 이식된 채로 타사 애플리케이션 스토어에서 정식 버전으로 다시 배포되었습니다. Market에서 불법 복제된 버전은 1.3.6이었습니다. 현재 Market 버전은 1.5.3입니다. 악성 코드가 있는 버전은 1.3.7입니다. 우리가 아는 한, 1.3.7 버전은 Incorporate Apps에서 푸시된 정식 애플리케이션에 대한 공식 업데이트가 아닙니다. 1.3.7 버전이 존재하는 것처럼 보이지만, 실제로는 악성 코드가 작성되어 있는 1.3.6 버전으로서 이후에 Incorporate Apps에서 사용하는 것과는 다른 자체 서명된 인증서로 서명되었습니다. 이는 다른 누군가가 원래 개발자의 정당한 인증서에 액세스하지 못해 이 애플리케이션을 다시 패키지했음을 나타내는 좋은 증거입니다. 악성 “Walk and Text v1.3.7″ 애플리케이션은 사용자에게 정상 작동하는 것으로 보입니다. 하지만 백그라운드에서는 장비의 모든 연락처로 다음 메시지가 포함된 SMS 메시지를 보냅니다. “Hey,just downlaoded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck.Don\’t steal like I did!” “Walk and Text v1.3.7″은 장비의 연락처로 성가신 SMS 메시지를 보낼 뿐입니다. 전송되는 SMS 메시지의 본질은 누군가 불법 복제 애플리케이션을 다운로드하는 것이 비윤리적이지만, 그들이 사용한 방법도 똑같이 비윤리적이라는 주장을 입증하고 싶어 했음을 나타내는 것입니다.

A.Plankton.1

이름 A.Plankton.1
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Plankton은 불법 복제되어 트로이 목마가 숨겨진 애플리케이션에 있는 Android 악성 코드입니다. Plankton은 노스 캐롤라이나 주립대의 연구자들이 처음으로 식별한 악성 코드로서, Plankton에 감염된 애플리케이션은 Android 장비에서 은밀하게 실행 가능한 Dalvik 클래스 로딩 기능을 악용한다는 사실을 발견했습니다. 감염된 애플리케이션이 모바일 장비에 로드되면 이 악성 코드는 애플리케이션 실행 시 스스로 시작하는 백그라운드 서비스를 추가합니다. 이 백그라운드 서비스는 감염된 Android 장비에서 IMEI와 같은 식별 정보를 수집할 수 있고, 호스트 애플리케이션이 요청한 권한 목록을 수집하여 원격 서버로 보냅니다. 서버가 이 정보를 수신하면 장비 상의 악성 코드가 연결할 수 있는 URL을 다시 보내고, 악성 코드는 이를 통해 스스로 자동 로드하여 감염된 Android 장비에서 봇넷과 같은 기능을 사용하는 .jar 파일을 검색합니다. 또한, 다운로드한 .jar 파일은 브라우저 기록 및 북마크와 같은 정보를 계속 검색하고, 장비 adb 로그를 덤프하고, 장비에 저장된 계정 자격 증명을 캡처할 수 있습니다.

A.Plankton.2

이름 A.Plankton.2
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Plankton은 불법 복제되어 트로이 목마가 숨겨진 애플리케이션에 있는 Android 악성 코드입니다. Plankton은 노스 캐롤라이나 주립대의 연구자들이 처음으로 식별한 악성 코드로서, Plankton에 감염된 애플리케이션은 Android 장비에서 은밀하게 실행 가능한 Dalvik 클래스 로딩 기능을 악용한다는 사실을 발견했습니다. 감염된 애플리케이션이 모바일 장비에 로드되면 이 악성 코드는 애플리케이션 실행 시 스스로 시작하는 백그라운드 서비스를 추가합니다. 이 백그라운드 서비스는 감염된 Android 장비에서 IMEI와 같은 식별 정보를 수집할 수 있고, 호스트 애플리케이션이 요청한 권한 목록을 수집하여 원격 서버로 보냅니다. 서버가 이 정보를 수신하면 장비 상의 악성 코드가 연결할 수 있는 URL을 다시 보내고, 악성 코드는 이를 통해 스스로 자동 로드하여 감염된 Android 장비에서 봇넷과 같은 기능을 사용하는 .jar 파일을 검색합니다. 또한, 다운로드한 .jar 파일은 브라우저 기록 및 북마크와 같은 정보를 계속 검색하고, 장비 adb 로그를 덤프하고, 장비에 저장된 계정 자격 증명을 캡처할 수 있습니다.

A.Plankton.3

이름 A.Plankton.3
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Plankton은 불법 복제되어 트로이 목마가 숨겨진 애플리케이션에 있는 Android 악성 코드입니다. Plankton은 노스 캐롤라이나 주립대의 연구자들이 처음으로 식별한 악성 코드로서, Plankton에 감염된 애플리케이션은 Android 장비에서 은밀하게 실행 가능한 Dalvik 클래스 로딩 기능을 악용한다는 사실을 발견했습니다. 감염된 애플리케이션이 모바일 장비에 로드되면 이 악성 코드는 애플리케이션 실행 시 스스로 시작하는 백그라운드 서비스를 추가합니다. 이 백그라운드 서비스는 감염된 Android 장비에서 IMEI와 같은 식별 정보를 수집할 수 있고, 호스트 애플리케이션이 요청한 권한 목록을 수집하여 원격 서버로 보냅니다. 서버가 이 정보를 수신하면 장비 상의 악성 코드가 연결할 수 있는 URL을 다시 보내고, 악성 코드는 이를 통해 스스로 자동 로드하여 감염된 Android 장비에서 봇넷과 같은 기능을 사용하는 .jar 파일을 검색합니다. 또한, 다운로드한 .jar 파일은 브라우저 기록 및 북마크와 같은 정보를 계속 검색하고, 장비 adb 로그를 덤프하고, 장비에 저장된 계정 자격 증명을 캡처할 수 있습니다.

A.Plankton.4

이름 A.Plankton.4
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Plankton은 불법 복제되어 트로이 목마가 숨겨진 애플리케이션에 있는 Android 악성 코드입니다. Plankton은 노스 캐롤라이나 주립대의 연구자들이 처음으로 식별한 악성 코드로서, Plankton에 감염된 애플리케이션은 Android 장비에서 은밀하게 실행 가능한 Dalvik 클래스 로딩 기능을 악용한다는 사실을 발견했습니다. 감염된 애플리케이션이 모바일 장비에 로드되면 이 악성 코드는 애플리케이션 실행 시 스스로 시작하는 백그라운드 서비스를 추가합니다. 이 백그라운드 서비스는 감염된 Android 장비에서 IMEI와 같은 식별 정보를 수집할 수 있고, 호스트 애플리케이션이 요청한 권한 목록을 수집하여 원격 서버로 보냅니다. 서버가 이 정보를 수신하면 장비 상의 악성 코드가 연결할 수 있는 URL을 다시 보내고, 악성 코드는 이를 통해 스스로 자동 로드하여 감염된 Android 장비에서 봇넷과 같은 기능을 사용하는 .jar 파일을 검색합니다. 또한, 다운로드한 .jar 파일은 브라우저 기록 및 북마크와 같은 정보를 계속 검색하고, 장비 adb 로그를 덤프하고, 장비에 저장된 계정 자격 증명을 캡처할 수 있습니다.

A.SPPush.2

이름 A.SPPush.2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

A.SPPush는 중국에 있는 Android 사용자를 목표로 삼는 악성 애플리케이션으로, 타사 웹 스토어를 통해 배포됩니다. 중국에 흔히 구현되어 있는 SMS 기반 구독 시스템을 활용하여 사용자의 동의를 얻지 않고 사용자 몰래 특정 서비스에 사용자를 가입시킵니다.

A.SPPush.3

이름 A.SPPush.3
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

A.SPPush는 중국에 있는 Android 사용자를 목표로 삼는 악성 애플리케이션으로, 타사 웹 스토어를 통해 배포됩니다. 중국에 흔히 구현되어 있는 SMS 기반 구독 시스템을 활용하여 사용자의 동의를 얻지 않고 사용자 몰래 특정 서비스에 사용자를 가입시킵니다.

A.SPPush.a

이름 A.SPPush.a
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

A.SPPush는 중국에 있는 Android 사용자를 목표로 삼는 악성 애플리케이션으로, 타사 웹 스토어를 통해 배포됩니다. 중국에 흔히 구현되어 있는 SMS 기반 구독 시스템을 활용하여 사용자의 동의를 얻지 않고 사용자 몰래 특정 서비스에 사용자를 가입시킵니다.

A.SPPush.b

이름 A.SPPush.b
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

A.SPPush는 중국에 있는 Android 사용자를 목표로 삼는 악성 애플리케이션으로, 타사 웹 스토어를 통해 배포됩니다. 중국에 흔히 구현되어 있는 SMS 기반 구독 시스템을 활용하여 사용자의 동의를 얻지 않고 사용자 몰래 특정 서비스에 사용자를 가입시킵니다.

A.Skypwned.a

이름 A.Skypwned.a
범주
릴리스 날짜 2011/04/19
업데이트 번호 1

Skypwned는 Android용 Skype의 취약점을 악용하는 기능을 설명하기 위해 특별히 개발된 개념 증명(POC) 애플리케이션입니다. Skypwned POC는 분명 악성은 아니지만, 그래도 탐지되면 장비에서 제거해야 합니다.

A.SndApps.a

이름 A.SndApps.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

SndApps는 Android 장비용 게임으로 보이는 애플리케이션으로 나오는 Android 악성 코드입니다. SndApps는 다양한 유형의 장비 식별 정보를 평가하여 원격 서버로 전달합니다. 다음 정보를 평가하여 전송합니다. - 통신사/서비스 프로바이더 - 국가 코드 - 장비 ID/IMEI 번호 - 장비와 연결된 이메일 주소 - 전화 번호. SndApps에 감염된 애플리케이션은 정당한 개발자가 다시 패키지한 것으로 보이지 않습니다. 이 경우에는 애플리케이션을 처음 만든 같은 개발자가 나중에 다시 애플리케이션 후속 버전에 악성 코드를 포함한 것으로 나타납니다. 이런 애플리케이션은 처음에는 공식 Android Market에서 검색되었지만 이후로는 제거되었습니다.

A.Spitmo.c

이름 A.Spitmo.c
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

SPITMO/SpyEye는 PC가 PC 악성 코드 SpyEye에 감염된 사용자에게 영향을 주는 Android 악성 코드입니다. 감염된 PC의 사용자가 온라인 뱅킹 사이트를 검색할 때, SpyEye는 은행의 웹 페이지에 컨텐츠를 주입하여 사용자가 해당 은행에서 mTan 메시지를 사용하여 대역 외 인증을 원활하게 수행하기 위해 사용자의 모바일 장비 전화 번호를 묻는 것이라고 믿게끔 속일 수 있습니다. mTan 메시지는 온라인 은행 웹 사이트에 로그인할 때 인증에 사용할 수 있도록 은행에서 모바일 사용자의 장비로 전송되는 일회용 코드입니다. SpyEye는 사용자의 모바일 장비 번호를 일단 검색하고 나면 주입된 컨텐츠를 통해 사용자에게 “인증서”를 다운로드해야 mTan 인증을 장비에서 올바로 확인할 수 있다고 기만합니다. 실제로, 사용자는 SpyEye에 모바일 장비의 전화 번호를 제공했으며 모니터링하다가 금융기관에서 전송되는 mTan 번호를 캡처하는 SpyEye 모바일 스파이웨어 애플리케이션을 설치하도록 속게 됩니다. SpyEye는 SMS를 통해 장비로 전송된 이런 mTan 번호를 결정할 수 있도록 구성되어 있고, 공격자가 피해자의 온라인 은행 웹 사이트에 대한 액세스 권한을 얻기 위해 사용하는 타사 서버로 mTan 번호를 전송합니다.

A.SpyBubble.b

이름 A.SpyBubble.b
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

Spy Bubble은 Android 휴대폰용 스텔스 GPS 추적 소프트웨어입니다. Spy Bubble은 (Mobile Spy와 같이) "스텔스" GPS 추적 및 다양한 모니터링/스파이 기능을 제공하는 시중의 다른 Android 추적 애플리케이션과 매우 유사합니다.

Spy Bubble은 다음 활동을 추적할 수 있습니다.

GPS 위치
Android 장비에서 송/수신하는 SMS 메시지
호출 로그 보기

A.Spybub.a

이름 A.Spybub.a
범주
릴리스 날짜 2010/03/03
업데이트 번호 1

Spy Bubble은 Android 휴대폰용 스텔스 GPS 추적 소프트웨어입니다. Spy Bubble은 (Mobile Spy와 같이) "스텔스" GPS 추적 및 다양한 모니터링/스파이 기능을 제공하는 시중의 다른 Android 추적 애플리케이션과 매우 유사합니다.

Spy Bubble은 다음 활동을 추적할 수 있습니다.

GPS 위치
Android 장비에서 송/수신하는 SMS 메시지
호출 로그 보기

A.Thefty.gen2

이름 A.Thefty.gen2
범주
릴리스 날짜 2010/12/01
업데이트 번호 1

Theft Aware는 의심하지 않는 개인의 GPS 위치를 불법적으로 모니터링할 가능성을 제공할 수 있는 도난 방지 애플리케이션입니다.

Theft Aware는 Symbian 및 Android 장비 사용자가 분실 또는 도난당한 모바일 장비의 위치를 찾는 데 사용할 수 있는 상업용 애플리케이션입니다.

Theft Aware는 다음과 같은 기능을 제공합니다.

GPS 위치 모니터링
스텔스 모드
원격 잠금/삭제
사이렌
삭제
SMS 메시지 검색
주변 소음 모니터링을 위해 자동 전화 걸기
SMS 명령

Theft Aware는 사용자에게 경쟁력 있는 서비스를 제공하지만, 이 애플리케이션은 의심하지 않는 사용자가 검색하지 못하도록 장비에서 스스로를 능동적으로 숨기는 기능이 있고 사용자의 이동과 통신을 불법적으로 염탐하는 도구로 사용될 가능성이 있기 때문에 스파이웨어로 분류됩니다.

A.Typstu

이름 A.Typstu
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

Android/TypStu.D는 타사 사이트로 중요한 정보를 보냅니다. 이 악성 코드는 사용자가 장비에 의도적으로 설치해야 합니다.

A.YzhcSms.1

이름 A.YzhcSms.1
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

YZHCSMS는 개발사 ‘Gengine‘에서 ‘com.ppxiu’를 패키지 이름으로 하여 나오는 Android 트로이 목마 애플리케이션입니다. 이 애플리케이션을 더 이상 Android Market에서 구할 수 없는 것으로 보이지만, 여전히 아시아의 타사 스토어를 통해 제공되고 있습니다. 아시아 시장만 대상으로 하는 것으로 보이는 ‘YZHCSMS’라는 악성 코드는 할증 요금 번호(American Idol에서 투표할 때와 같이, SMS 메시지를 보내는 짧은 코드 번호)의 목록을 가져와서 모두 ‘YZHC’와 함께 시작하는 SMS 메시지 전송을 시작하기 위해 오프라인 웹 사이트에 연결함으로써 작동을 시작합니다. ’YZHCSMS’는 웹 서버에서 검색되는 할증 요금 번호를 하드코드된 번호의 목록과 결합하여 50분마다 대상으로 SMS/텍스트 메시지를 보내는데, 사용자에게 부과되는 비용은 요금 제도에 따라 메시지당 요금이 달라집니다. SMS 트로이 목마는 장비가 부팅될 때나 감염된 애플리케이션 실행 시 시작되는 백그라운드 스레드로 실행됩니다. 백그라운드 스레드로 작동하는 능력 외에도, YZHCSMS SMS 트로이 목마는 전송한 SMS 메시지를 삭제할 뿐 아니라, 방금 할증 요금 메시지를 보낸 결과로서 수신될 수 있는 SMS 과금 메시지의 삭제를 시도함으로써 자신의 정체를 더욱 모호하게 숨기려고 합니다. SMS 트로이 목마의 일부 변종은 악성 코드에 하드코드된 번호와 관련되어 있는 메시지를 제거할 수만 있는 반면, 다른 변종은 오프라인 서버에서 검색되는 번호와 관련된 메시지를 제거하려고 합니다. 하나 이상의 변종에 대한 분석 결과, ‘YZHCSMS’의 다양한 변종에 다음 번호가 하드코드된 것으로 나타났습니다. 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 다음 번호는 ‘mmssender’ 클래스에 있습니다. 052714034192100013309 10086 1240000089393100527140341001 하나 이상의 변종이 ‘SMSObserver’ 클래스를 통해 다음과 같이 하드코드된 번호와 관련된 메시지를 가로채는 것으로 나타납니다. 10086 1065800885566 이때, 이런 할증 요금 번호가 아시아 시장 외부에서 작동할지는 분명하지 않습니다. Android Market 데이터에 따르면 이 애플리케이션이 약 500회만 다운로드된 것으로 나옵니다.

A.YzhcSms.2

이름 A.YzhcSms.2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

YZHCSMS는 개발사 ‘Gengine‘에서 ‘com.ppxiu’를 패키지 이름으로 하여 나오는 Android 트로이 목마 애플리케이션입니다. 이 애플리케이션을 더 이상 Android Market에서 구할 수 없는 것으로 보이지만, 여전히 아시아의 타사 스토어를 통해 제공되고 있습니다. 아시아 시장만 대상으로 하는 것으로 보이는 ‘YZHCSMS’라는 악성 코드는 할증 요금 번호(American Idol에서 투표할 때와 같이, SMS 메시지를 보내는 짧은 코드 번호)의 목록을 가져와서 모두 ‘YZHC’와 함께 시작하는 SMS 메시지 전송을 시작하기 위해 오프라인 웹 사이트에 연결함으로써 작동을 시작합니다. ’YZHCSMS’는 웹 서버에서 검색되는 할증 요금 번호를 하드코드된 번호의 목록과 결합하여 50분마다 대상으로 SMS/텍스트 메시지를 보내는데, 사용자에게 부과되는 비용은 요금 제도에 따라 메시지당 요금이 달라집니다. SMS 트로이 목마는 장비가 부팅될 때나 감염된 애플리케이션 실행 시 시작되는 백그라운드 스레드로 실행됩니다. 백그라운드 스레드로 작동하는 능력 외에도, YZHCSMS SMS 트로이 목마는 전송한 SMS 메시지를 삭제할 뿐 아니라, 방금 할증 요금 메시지를 보낸 결과로서 수신될 수 있는 SMS 과금 메시지의 삭제를 시도함으로써 자신의 정체를 더욱 모호하게 숨기려고 합니다. SMS 트로이 목마의 일부 변종은 악성 코드에 하드코드된 번호와 관련되어 있는 메시지를 제거할 수만 있는 반면, 다른 변종은 오프라인 서버에서 검색되는 번호와 관련된 메시지를 제거하려고 합니다. 하나 이상의 변종에 대한 분석 결과, ‘YZHCSMS’의 다양한 변종에 다음 번호가 하드코드된 것으로 나타났습니다. 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 다음 번호는 ‘mmssender’ 클래스에 있습니다. 052714034192100013309 10086 1240000089393100527140341001 하나 이상의 변종이 ‘SMSObserver’ 클래스를 통해 다음과 같이 하드코드된 번호와 관련된 메시지를 가로채는 것으로 나타납니다. 10086 1065800885566 이때, 이런 할증 요금 번호가 아시아 시장 외부에서 작동할지는 분명하지 않습니다. Android Market 데이터에 따르면 이 애플리케이션이 약 500회만 다운로드된 것으로 나옵니다.

A.Yzhcsms.2

이름 A.Yzhcsms.2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

YZHCSMS는 개발사 ‘Gengine‘에서 ‘com.ppxiu’를 패키지 이름으로 하여 나오는 Android 트로이 목마 애플리케이션입니다. 이 애플리케이션을 더 이상 Android Market에서 구할 수 없는 것으로 보이지만, 여전히 아시아의 타사 스토어를 통해 제공되고 있습니다. 아시아 시장만 대상으로 하는 것으로 보이는 ‘YZHCSMS’라는 악성 코드는 할증 요금 번호(American Idol에서 투표할 때와 같이, SMS 메시지를 보내는 짧은 코드 번호)의 목록을 가져와서 모두 ‘YZHC’와 함께 시작하는 SMS 메시지 전송을 시작하기 위해 오프라인 웹 사이트에 연결함으로써 작동을 시작합니다. ’YZHCSMS’는 웹 서버에서 검색되는 할증 요금 번호를 하드코드된 번호의 목록과 결합하여 50분마다 대상으로 SMS/텍스트 메시지를 보내는데, 사용자에게 부과되는 비용은 요금 제도에 따라 메시지당 요금이 달라집니다. SMS 트로이 목마는 장비가 부팅될 때나 감염된 애플리케이션 실행 시 시작되는 백그라운드 스레드로 실행됩니다. 백그라운드 스레드로 작동하는 능력 외에도, YZHCSMS SMS 트로이 목마는 전송한 SMS 메시지를 삭제할 뿐 아니라, 방금 할증 요금 메시지를 보낸 결과로서 수신될 수 있는 SMS 과금 메시지의 삭제를 시도함으로써 자신의 정체를 더욱 모호하게 숨기려고 합니다. SMS 트로이 목마의 일부 변종은 악성 코드에 하드코드된 번호와 관련되어 있는 메시지를 제거할 수만 있는 반면, 다른 변종은 오프라인 서버에서 검색되는 번호와 관련된 메시지를 제거하려고 합니다. 하나 이상의 변종에 대한 분석 결과, ‘YZHCSMS’의 다양한 변종에 다음 번호가 하드코드된 것으로 나타났습니다. 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 다음 번호는 ‘mmssender’ 클래스에 있습니다. 052714034192100013309 10086 1240000089393100527140341001 하나 이상의 변종이 ‘SMSObserver’ 클래스를 통해 다음과 같이 하드코드된 번호와 관련된 메시지를 가로채는 것으로 나타납니다. 10086 1065800885566 이때, 이런 할증 요금 번호가 아시아 시장 외부에서 작동할지는 분명하지 않습니다. Android Market 데이터에 따르면 이 애플리케이션이 약 500회만 다운로드된 것으로 나옵니다.

A.Yzhcsms.3

이름 A.Yzhcsms.3
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

YZHCSMS는 개발사 ‘Gengine‘에서 ‘com.ppxiu’를 패키지 이름으로 하여 나오는 Android 트로이 목마 애플리케이션입니다. 이 애플리케이션을 더 이상 Android Market에서 구할 수 없는 것으로 보이지만, 여전히 아시아의 타사 스토어를 통해 제공되고 있습니다. 아시아 시장만 대상으로 하는 것으로 보이는 ‘YZHCSMS’라는 악성 코드는 할증 요금 번호(American Idol에서 투표할 때와 같이, SMS 메시지를 보내는 짧은 코드 번호)의 목록을 가져와서 모두 ‘YZHC’와 함께 시작하는 SMS 메시지 전송을 시작하기 위해 오프라인 웹 사이트에 연결함으로써 작동을 시작합니다. ’YZHCSMS’는 웹 서버에서 검색되는 할증 요금 번호를 하드코드된 번호의 목록과 결합하여 50분마다 대상으로 SMS/텍스트 메시지를 보내는데, 사용자에게 부과되는 비용은 요금 제도에 따라 메시지당 요금이 달라집니다. SMS 트로이 목마는 장비가 부팅될 때나 감염된 애플리케이션 실행 시 시작되는 백그라운드 스레드로 실행됩니다. 백그라운드 스레드로 작동하는 능력 외에도, YZHCSMS SMS 트로이 목마는 전송한 SMS 메시지를 삭제할 뿐 아니라, 방금 할증 요금 메시지를 보낸 결과로서 수신될 수 있는 SMS 과금 메시지의 삭제를 시도함으로써 자신의 정체를 더욱 모호하게 숨기려고 합니다. SMS 트로이 목마의 일부 변종은 악성 코드에 하드코드된 번호와 관련되어 있는 메시지를 제거할 수만 있는 반면, 다른 변종은 오프라인 서버에서 검색되는 번호와 관련된 메시지를 제거하려고 합니다. 하나 이상의 변종에 대한 분석 결과, ‘YZHCSMS’의 다양한 변종에 다음 번호가 하드코드된 것으로 나타났습니다. 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 다음 번호는 ‘mmssender’ 클래스에 있습니다. 052714034192100013309 10086 1240000089393100527140341001 하나 이상의 변종이 ‘SMSObserver’ 클래스를 통해 다음과 같이 하드코드된 번호와 관련된 메시지를 가로채는 것으로 나타납니다. 10086 1065800885566 이때, 이런 할증 요금 번호가 아시아 시장 외부에서 작동할지는 분명하지 않습니다. Android Market 데이터에 따르면 이 애플리케이션이 약 500회만 다운로드된 것으로 나옵니다.

A.Yzhcsms.a

이름 A.Yzhcsms.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

YZHCSMS는 개발사 ‘Gengine‘에서 ‘com.ppxiu’를 패키지 이름으로 하여 나오는 Android 트로이 목마 애플리케이션입니다. 이 애플리케이션을 더 이상 Android Market에서 구할 수 없는 것으로 보이지만, 여전히 아시아의 타사 스토어를 통해 제공되고 있습니다. 아시아 시장만 대상으로 하는 것으로 보이는 ‘YZHCSMS’라는 악성 코드는 할증 요금 번호(American Idol에서 투표할 때와 같이, SMS 메시지를 보내는 짧은 코드 번호)의 목록을 가져와서 모두 ‘YZHC’와 함께 시작하는 SMS 메시지 전송을 시작하기 위해 오프라인 웹 사이트에 연결함으로써 작동을 시작합니다. ’YZHCSMS’는 웹 서버에서 검색되는 할증 요금 번호를 하드코드된 번호의 목록과 결합하여 50분마다 대상으로 SMS/텍스트 메시지를 보내는데, 사용자에게 부과되는 비용은 요금 제도에 따라 메시지당 요금이 달라집니다. SMS 트로이 목마는 장비가 부팅될 때나 감염된 애플리케이션 실행 시 시작되는 백그라운드 스레드로 실행됩니다. 백그라운드 스레드로 작동하는 능력 외에도, YZHCSMS SMS 트로이 목마는 전송한 SMS 메시지를 삭제할 뿐 아니라, 방금 할증 요금 메시지를 보낸 결과로서 수신될 수 있는 SMS 과금 메시지의 삭제를 시도함으로써 자신의 정체를 더욱 모호하게 숨기려고 합니다. SMS 트로이 목마의 일부 변종은 악성 코드에 하드코드된 번호와 관련되어 있는 메시지를 제거할 수만 있는 반면, 다른 변종은 오프라인 서버에서 검색되는 번호와 관련된 메시지를 제거하려고 합니다. 하나 이상의 변종에 대한 분석 결과, ‘YZHCSMS’의 다양한 변종에 다음 번호가 하드코드된 것으로 나타났습니다. 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 다음 번호는 ‘mmssender’ 클래스에 있습니다. 052714034192100013309 10086 1240000089393100527140341001 하나 이상의 변종이 ‘SMSObserver’ 클래스를 통해 다음과 같이 하드코드된 번호와 관련된 메시지를 가로채는 것으로 나타납니다. 10086 1065800885566 이때, 이런 할증 요금 번호가 아시아 시장 외부에서 작동할지는 분명하지 않습니다. Android Market 데이터에 따르면 이 애플리케이션이 약 500회만 다운로드된 것으로 나옵니다.

A.ZSone.gen1

이름 A.ZSone.gen1
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.ZSone.gen2

이름 A.ZSone.gen2
범주
릴리스 날짜 2012/01/27
업데이트 번호 47

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.ZSone.gen3

이름 A.ZSone.gen3
범주
릴리스 날짜 2011/12/21
업데이트 번호 43

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.01

이름 A.Zsone.01
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.02

이름 A.Zsone.02
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.03

이름 A.Zsone.03
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.04

이름 A.Zsone.04
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.05

이름 A.Zsone.05
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.06

이름 A.Zsone.06
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.07

이름 A.Zsone.07
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.08

이름 A.Zsone.08
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.09

이름 A.Zsone.09
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.10

이름 A.Zsone.10
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

A.Zsone.11

이름 A.Zsone.11
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다. 분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다. 개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다. LoveBaby, iBook, iCartoon, Sea Ball, iCalendar, 3D Cube horror terriblei, ShakeBanger, iMatch 对对碰, Shake Break, iSMS, iMine. 위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다. 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다. M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

ADRD

이름 ADRD
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

ADRD는 공식 애플리케이션에서 불법 복제된 Android 애플리케이션에 나타납니다. Android 애플리케이션은 공식 Android Market에서 다운로드하여 압축을 풀게 되는데, 악의적 공격자들은 이런 애플리케이션에 악성 ADRD 코드를 삽입하여 다시 패키지로 묶어 비공식적인 타사 애플리케이션 리포지토리에 배포합니다. 지금으로서는, ADRD가 중국 애플리케이션 리포지토리에만 있는 것으로 알려져 있지만, 이 위협이 다른 타사 사이트로 비교적 쉽게 전파될 수 있습니다.

공격자가 사용자를 속여서 SD 카드로 악성 애플리케이션을 다운로드해 설치하도록 한 경우, 이 애플리케이션은 필요한 조건 중 하나가 충족될 때 실행되도록 스스로를 등록합니다.

OS 시작 후 12시간이 지남

네트워크 연결이 변경됨

장비가 전화 통화를 수신함

그러면 ADRD가 다음 정보의 수집을 시도합니다.

3gnet
3gwap
APN
cmnet
cmwap
하드웨어 정보
IMEI
IMSI
네트워크 연결
uninet
uniwap
Wifi

다음으로, 트로이 목마가 훔친 정보를 암호화하여 다음 위치로 보냅니다.
[http://]adrd.taxuan.net/index[REMOVED]
[http://]adrd.xiaxiab.com/pic.[REMOVED]
ADRD는 위에서 언급한 정보를 원격 서버로 보낸 후 트로이 목마로 하여금 다음 위치로 여러 HTTP 요청을 보내어 검색 엔진 조작 작업을 시작할 것을 지시하는 일련의 명령을 수신합니다.

wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]

이런 검색 요청의 목적은 웹 사이트의 사이트 순위를 높이는 것입니다.

또한, ADRD에는 스스로 새 버전을 다운로드하고 설치하여 원격으로 업데이트되는 기능도 있습니다.
sdcard/uc/myupdate.apk

ANSERVER

이름 ANSERVER
범주
릴리스 날짜 2011/09/28
업데이트 번호 39

Anserver는 Android 장비를 목표로 삼는 일련의 악성 애플리케이션입니다. Anserver에 감염된 애플리케이션에는 악성 코드 개발자의 제어에 따라 원격 서버에 연결하여 다른 악의적 페이로드를 장비로 다운로드하여 사용자 동의 없이 이를 설치하는 기능이 추가됩니다. 또한, Anserver는 모바일 보안 애플리케이션을 식별하여 중지하려고 시도하는 것으로도 알려졌습니다. 그 밖에도,

Anserver는 사용자를 속여 설치하도록 유도하기 위해 적법하지만 트로이 목마가 숨겨진 호스트 애플리케이션에 패키지 형태로 제공됩니다. Anserver에 감염된 애플리케이션은 일단 설치되고 나면 장비에 악성 페이로드를 "터치 스크린"으로 설치하고 사용자를 속여 원래 호스트에 대한 위조 "업그레이드"에 동의하도록 하는 방법으로 설치됩니다.

Anserver는 일단 설치되고 나면 여러 가지 다양한 방식으로 트리거됩니다.
- 연결 변경
- 전원 연결
- USB 대용량 스토리지가 연결되거나 연결이 끊김
- SMS 메시지 수신
- 입력 방법 변경
- 부팅 완료
- 장비 잠금 해제

Anserver는 악성 코드 시작에 성공하면 폰 홈(Phone Home)을 통해 새 명령 및 컨트롤(C&C) 서버 주소를 확인합니다. Anserver는 연결에 성공하면 일반 텍스트 XML로 C&C 서버 데이터베이스를 업데이트하는 명령을 수신합니다.

마지막으로, Anserver는 잠재적으로 민감한 성격을 지닌 장비 정보(OS 버전, IMEI 번호, 장비 제조업체 및 장비 모델)를 개발자에게 전송할 수 있습니다.

AccuTracking

이름 AccuTracking
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

Android용 Accutracking

이 서명은 Android 장비에 "Android용 Accutracking" 애플리케이션이 있는지 검색합니다. Accutracking은 모바일 장비를 GPS 추적 장비로 전환하는 Android 애플리케이션입니다. 이런 유형의 GPS 추적 기능은 필수적이고 알맞은 것이지만, Accutracking은 사용자로부터 애플리케이션을 숨길 수 있습니다. 이 유형의 스텔스 작동으로 권한 없는 개인이 의도치 않은 피해자의 위치를 추적할 가능성이 생길 수도 있습니다.

AnserverBot

이름 AnserverBot
범주
릴리스 날짜 2011/09/28
업데이트 번호 39

Anserver는 Android 장비를 목표로 삼는 일련의 악성 애플리케이션입니다. Anserver에 감염된 애플리케이션에는 악성 코드 개발자의 제어에 따라 원격 서버에 연결하여 다른 악의적 페이로드를 장비로 다운로드하여 사용자 동의 없이 이를 설치하는 기능이 추가됩니다. 또한, Anserver는 모바일 보안 애플리케이션을 식별하여 중지하려고 시도하는 것으로도 알려졌습니다. 그 밖에도,

Anserver는 사용자를 속여 설치하도록 유도하기 위해 적법하지만 트로이 목마가 숨겨진 호스트 애플리케이션에 패키지 형태로 제공됩니다. Anserver에 감염된 애플리케이션은 일단 설치되고 나면 장비에 악성 페이로드를 "터치 스크린"으로 설치하고 사용자를 속여 원래 호스트에 대한 위조 "업그레이드"에 동의하도록 하는 방법으로 설치됩니다.

Anserver는 일단 설치되고 나면 여러 가지 다양한 방식으로 트리거됩니다.
- 연결 변경
- 전원 연결
- USB 대용량 스토리지가 연결되거나 연결이 끊김
- SMS 메시지 수신
- 입력 방법 변경
- 부팅 완료
- 장비 잠금 해제

Anserver는 악성 코드 시작에 성공하면 폰 홈(Phone Home)을 통해 새 명령 및 컨트롤(C&C) 서버 주소를 확인합니다. Anserver는 연결에 성공하면 일반 텍스트 XML로 C&C 서버 데이터베이스를 업데이트하는 명령을 수신합니다.

마지막으로, Anserver는 잠재적으로 민감한 성격을 지닌 장비 정보(OS 버전, IMEI 번호, 장비 제조업체 및 장비 모델)를 개발자에게 전송할 수 있습니다.

Backdoor.AndroidOS.GinMaster.a1

이름 Backdoor.AndroidOS.GinMaster.a1
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

GingerMaster는 Android 버전 2.2 이하에 대해 루트 익스플로잇을 활용한 기능을 확장하기 위해 장비를 루팅할 수 있었던 이전의 Android 악성 코드 변형과는 달리, Android 2.3(Gingerbread)에 대해 루트 익스플로잇을 활용하는 최초의 Android 악성 코드입니다.

GingerMaster는 합법적 애플리케이션 내부에 악성 코드를 다시 패키지하는 추세를 따릅니다. 트로이 목마가 숨겨진 애플리케이션이 설치되면, GingerMaster가 수신기를 등록하여 시스템 부팅에 성공했을 때와 원격 서버로 업로드할 장비 식별 정보를 수집하는 서비스를 백그라운드에서 실행할 때도 알림 메시지를 받을 수 있습니다.

장비 정보를 수집하는 것 외에도, GingerMaster에 감염된 애플리케이션은 "GingerBreak" 루트 익스플로잇을 활용하여 이를 루트 권한으로 상승할 뿐 아니라, 이후에 사용할 수 있도록 루트 셸을 시스템 파티션에 설치하려고 시도합니다.

루트 권한을 획득한 후, GingerMaster는 원격 명령 및 컨트롤(C&C) 서버에 연결을 시도하고 봇 마스터에서 명령을 기다립니다. 그러면 GingerMaster가 이전에 설치된 루트 셸에서 "pm install"을 실행하여 악성 코드의 기능을 확장할 수 있는 추가 애플리케이션을 자동으로 다운로드하여 설치하기 시작할 수 있습니다.

Backdoor.AndroidOS.GinMaster.a4

이름 Backdoor.AndroidOS.GinMaster.a4
범주
릴리스 날짜 2012/01/30
업데이트 번호 50

GingerMaster는 Android 버전 2.2 이하에 대해 루트 익스플로잇을 활용한 기능을 확장하기 위해 장비를 루팅할 수 있었던 이전의 Android 악성 코드 변형과는 달리, Android 2.3(Gingerbread)에 대해 루트 익스플로잇을 활용하는 최초의 Android 악성 코드입니다. GingerMaster는 합법적 애플리케이션 내부에 악성 코드를 다시 패키지하는 추세를 따릅니다. 트로이 목마가 숨겨진 애플리케이션이 설치되면, GingerMaster가 수신기를 등록하여 시스템 부팅에 성공했을 때와 원격 서버로 업로드할 장비 식별 정보를 수집하는 서비스를 백그라운드에서 실행할 때도 알림 메시지를 받을 수 있습니다. 장비 정보를 수집하는 것 외에도, GingerMaster에 감염된 애플리케이션은 "GingerBreak" 루트 익스플로잇을 활용하여 이를 루트 권한으로 상승할 뿐 아니라, 이후에 사용할 수 있도록 루트 셸을 시스템 파티션에 설치하려고 시도합니다. 루트 권한을 획득한 후, GingerMaster는 원격 명령 및 컨트롤(C&C) 서버에 연결을 시도하고 봇 마스터에서 명령을 기다립니다. 그러면 GingerMaster가 이전에 설치된 루트 셸에서 "pm install"을 실행하여 악성 코드의 기능을 확장할 수 있는 추가 애플리케이션을 자동으로 다운로드하여 설치하기 시작할 수 있습니다.

Backdoor.AndroidOS.Kmin.c

이름 Backdoor.AndroidOS.Kmin.c
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

KMin은 Android 장비에 영향을 주는 악성 애플리케이션입니다. 트로이 목마는 "KMHome"이라는 이름의 Android 애플리케이션으로 나타날 수 있으며, 원격 서버로 보내기 위해 장비 ID, 가입자 ID 및 장비의 현재 시간을 수집합니다.

BaseBrid1

이름 BaseBrid1
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

BaseBridge는 Android 사용자에게 정당한 것처럼 보이지만, 사실은 불법 복제되어 트로이 목마를 숨겨놓도록 설계된 일련의 호스트 애플리케이션으로 되어 있습니다. BaseBridge에 감염된 애플리케이션은 Android 2.2 장비에서 "udev"(BID 34536) 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득합니다.

루트 권한을 획득한 BaseBridge 감염 애플리케이션은 "/res/raw/anservb"에 있는 애플리케이션 패키지에 저장되는 페이로드("SMSApp.apk")를 드롭합니다. 설치 후, SMSApp.apk는 포트 8080의 원격 서버에 연결하여 "가입자 ID", "제조업체 및 모델", "Android 버전"과 같은 장비 식별 정보를 보냅니다.

둘째로, BaseBridge에 감염된 애플리케이션은 할증 요금이 적용되는 SMS 번호로 일련의 SMS 메시지를 보내도록 구성되는데, 이를 통해 사용자의 모바일 계정에 메시지당 요금이 부과되게 만듭니다. 이런 식으로 발생하는 피해 금액은 거의 항상 구제할 방법이 없습니다. 또한, BaseBridge는 모바일 장비의 받은 편지함에서 SMS 메시지를 제거하여 사용자가 비싼 요금의 SMS 메시지가 전송되고 있음을 알아차릴 가능성을 줄이고 발신자의 동의 없이 전화를 걸 수도 있습니다.

BaseBridge

이름 BaseBridge
범주
릴리스 날짜 2011/06/07
업데이트 번호 1

BaseBridge는 Android 사용자에게 정당한 것처럼 보이지만, 사실은 불법 복제되어 트로이 목마를 숨겨놓도록 설계된 일련의 호스트 애플리케이션으로 되어 있습니다. BaseBridge에 감염된 애플리케이션은 Android 2.2 장비에서 "udev"(BID 34536) 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득합니다.

루트 권한을 획득한 BaseBridge 감염 애플리케이션은 "/res/raw/anservb"에 있는 애플리케이션 패키지에 저장되는 페이로드("SMSApp.apk")를 드롭합니다. 설치 후, SMSApp.apk는 포트 8080의 원격 서버에 연결하여 "가입자 ID", "제조업체 및 모델", "Android 버전"과 같은 장비 식별 정보를 보냅니다.

둘째로, BaseBridge에 감염된 애플리케이션은 할증 요금이 적용되는 SMS 번호로 일련의 SMS 메시지를 보내도록 구성되는데, 이를 통해 사용자의 모바일 계정에 메시지당 요금이 부과되게 만듭니다. 이런 식으로 발생하는 피해 금액은 거의 항상 구제할 방법이 없습니다. 또한, BaseBridge는 모바일 장비의 받은 편지함에서 SMS 메시지를 제거하여 사용자가 비싼 요금의 SMS 메시지가 전송되고 있음을 알아차릴 가능성을 줄이고 발신자의 동의 없이 전화를 걸 수도 있습니다.

BatteryDoctor

이름 BatteryDoctor
범주
릴리스 날짜 2011/10/26
업데이트 번호 39

BatteryDoctor는 Android 사용자를 대상으로 하는 트로이 목마 애플리케이션으로서 Android 장비의 배터리를 재충전할 수 있다는 과장된 주장을 하지만, 장비에서 다음 개인 정보를 캡처하여 원격 서버로 보냅니다.

- 장비 IMEI 번호
- 전화 번호
- 전화 번호부/연락처 데이터
- 이름
- 이메일 주소

BatteryDoctor의 실제 의도는 설치 중에 요청하는 권한의 수준에서 확인할 수 있습니다.

- 현재 또는 최근에 실행 중인 작업에 대한 정보를 수집합니다.
- 정보에 액세스하고 WiFi 상태를 변경합니다.
- 페어링된 Bluetooth 장비를 검색하여 이런 장비에 연결합니다.
- 전화의 현재 상태를 확인합니다.
- 시스템 설정을 읽거나 씁니다.
- 외부 스토리지 장비에 씁니다.
- 네트워크 연결을 엽니다.
- 네트워크에 대한 정보에 액세스합니다.
- 장비 부팅이 완료되면 시작합니다.
- 전화를 진동 모드로 전환합니다.
- 셀 ID 또는 WiFi와 같은 위치 정보에 액세스합니다.
- 연락처 데이터를 읽습니다.

Bgserv

이름 Bgserv
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

Bgserv는 Android 장비에 영향을 주고, 그렇지 않으면 정당한 것으로 보이는 불법 복제, 트로이 목마 Android 애플리케이션으로 나옵니다. 장비가 Bgserv에 감염된 경우, 감염되지 않았다면 정당한 애플리케이션의 내부에 삽입된 악성 코드가 원격 서버로 전송할 장비 식별 정보의 수집을 시도합니다. 수집되는 정보는 다음과 같습니다.

- IMEI 번호
- 전화 번호
- 설치 시간
- Android 버전
- SMS 센터

Bgserv는 다음과 같이 악성 코드 개발자가 장비에서 추가 기능을 시작하기 위해 사용할 수 있는 실행 가능한 명령의 목록을 다운로드하여 장비에서 백도어를 열려고 시도하기도 합니다.

- 장비에서 SMS 메시지 전송
- 수신 SMS 메시지 차단
- 외부 링크 목록 다운로드
- 추가 파일 다운로드
- 장비의 액세스 포트 이름(APN) 변경 가능
- 디버깅 목적으로 활동을 로그에 기록

CellPhoneRecon

이름 CellPhoneRecon
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

CellPhoneRecon은 권한 없는 개인이 의심하지 않는 사용자의 통신과 위치를 모니터링하도록 할 수 있는 상업용 스파이웨어 애플리케이션입니다.

통신 및 위치 데이터의 레코드를 원격 서버에 자동으로 업로드함으로써, 개인 사용자가 CellPhoneRecon을 사용하여 Android 장비의 SMS 메시지, 호출 로그, 송수신 이메일 및 GPS 위치 데이터를 모니터링할 수 있습니다. 그러면 제어/설치 엔티티가 웹 포털을 통해 로그와 데이터에 대한 액세스 권한을 가집니다. CellPhoneRecon은 장비에 실제로 액세스하여 설치된 후에 스텔스 모드에서 작동하도록 구성 가능합니다.

사용자로부터 스스로를 숨길 수 있는 이런 유형의 상업용 스파이/추적 애플리케이션은 의심하지 않는 사용자에게 특히 위험을 안겨주므로, 이런 애플리케이션이 있음을 사용자에게 알리기 위해 스파이웨어로 분류 및 탐지해야 합니다. Android 장비에 CellPhoneRecon을 의도적이고 합법적으로 설치한 경우 사용자는 알림을 무시해야 합니다.

DDLight-1

이름 DDLight-1
범주
릴리스 날짜 2011/05/31
업데이트 번호 1

DroidDream Light는 이전에 공식 Android Market을 공격한 DroidDream의 변형입니다. DroidDream와 마찬가지로, DroidDream Light 역시 불법 복제되어 트로이 목마가 숨겨진 Android 애플리케이션에 나타납니다. 분석 결과, 이처럼 불법 복제되어 트로이 목마가 숨겨진 애플리케이션의 악의적 특성은 수신 전화를 받을 때 활성화되는 것으로 밝혀졌습니다. DroidDream Light가 시작되면 다음 정보를 수집하여 원격 서버로 보냅니다.

- IMEI 번호
- 전화 번호
- 장비 모델
- Android 버전.

DroidDream Light 악성 코드에 감염된 애플리케이션에는 원격 서버에서 추가 패키지를 다운로드하여 설치하는 기능도 있습니다. 이전의 DroidDream과는 달리, DroidDream Light는 백그라운드에서 이런 추가 애플리케이션을 설치할 수 없으므로 사용자에게 설치 여부를 묻는 메시지가 표시됩니다.

DroidDelux

이름 DroidDelux
범주
릴리스 날짜 2011/09/30
업데이트 번호 35

DroidDelux는 불법 복제, 트로이 목마 Android 애플리케이션으로 나타납니다. DroidDelux는 버전 2.2 이하를 실행하는 Android 장비를 자동으로 루팅하기 위해 'rageagainstthecage' 루트 익스플로잇을 활용합니다. 장비가 루팅된 후에는 사용자의 자격 증명을 포함한 여러 DroidDelux 시스템 파일을 읽을 수 있으므로, 추가 애플리케이션에서 이런 파일에 액세스하여 중요한 계정 자격 증명을 훔칠 수 있습니다.

DroidDelux는 시작된 후에 Google Analytics를 통해 계정 ID가 'UA-19670793-1'인 원격 공격자에게 업로드되는 중요한 장비 정보의 수집을 시도합니다.

공격자에게 업로드되는 장비 정보는 다음과 같습니다.

- 전화 모델
- 장비 제조업체
- 장비 브랜드

"잠금 해제"된 사용자 자격 증명을 포함한 특정 파일은 다음과 같습니다.

/data/system/accounts.db
/data/data/com.android.email/databases/EmailProvider.db
/data/data/com.android.providers.contacts/databases/contacts2.db
/data/data/com.android.providers.telephony/databases/mmssms.db

이런 파일에는 계정 이름, 인증 토큰, 연락처 등의 사용자 기밀 정보가 포함됩니다.

분석 결과, DroidDelux에 감염된 애플리케이션에는 추가 페이로드가 포함된 것으로 나타나지 않습니다.

DroidDream

이름 DroidDream
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

DroidDream은 Android Market에 나타난 최초의 복잡한 Android용 트로이 목마였습니다. DroidDream은 불법 복제되어 트로이 목마가 숨겨진 일련의 애플리케이션 형태로 나왔는데, 이 악성 코드의 개발자는 합법적 애플리케이션에 악성 코드를 채워 넣어 합법적 애플리케이션과 함께 릴리스했습니다.

DroidDream은 'rageagainstthecage' 루트 취약점을 악용하여 감염된 장비에 대한 루트 권한을 획득했습니다. 루트 권한을 확보한 DroidDream 감염 애플리케이션에는 사용자 몰래 백그라운드에서 자동으로 설치되는 추가 페이로드가 패키지 내부에 포함되었습니다. 트로이 목마는 이 추가 패키지를 통해 장비에서 다음과 같은 정보를 캡처할 수 있습니다.

- 제품 ID
- 모델
- 서비스 프로바이더
- 장비 언어
- 장비에서 구성된 사용자 ID

이 정보는 원격 서버로 전송됩니다.

그러면 DroidDream가 트로이 목마가 자유자재로 백그라운드에서 애플리케이션을 추가로 다운로드하고 설치할 수 있는 능력을 내장시키는 방식으로 더욱 많은 피해를 입힙니다. 이 기능은 사용자가 전혀 알지 못하는 상태에서 악성 코드의 능력을 더욱 확장시킬 수 있습니다.

DroidDream-Inside

이름 DroidDream-Inside
범주
릴리스 날짜 2011/07/27
업데이트 번호 1

DroidDream-Inside는 DroidDream에 감염된 애플리케이션 내부에 포함된 페이로드를 검색하는데, 감염 시 피해자의 장비에 설치됩니다.

DroidKungFu

이름 DroidKungFu
범주
릴리스 날짜 2011/06/06
업데이트 번호 1

Droid KungFu는 중국어 사용자를 대상으로 하는 대체 시장 내에서 기능을 제공하는 악성 코드를 포함하도록 불법 복제되어 트로이 목마가 숨겨진 채 다시 패키지된 애플리케이션 형식의 Android 악성 코드입니다.

Droid KungFun은 'udev' 및 'rageagainstthecage' 루트 익스플로잇을 활용하여 감염된 장비에 대한 루트 액세스 권한을 사용자 몰래 자동으로 획득합니다. 감염된 애플리케이션을 설치하면 애플리케이션이 새 서비스와 새 수신기를 장비에 등록하여 수신기는 장비가 다시 부팅되어 백그라운드에서 해당 서비스를 자동으로 시작할 수 있게 될 때 알림 메시지를 받게 됩니다. 시작된 서비스는 암호화된 루트 익스플로잇 페이로드의 암호화를 해제하고 장비에 대해 익스플로잇을 실행하여 루트 권한으로 상승을 시도합니다.

루트 권한을 얻은 후, Droid KungFu는 원격 서버로 보낼 장비 정보 수집을 시도합니다. 다음 장비 정보가 수집됩니다.

- IMEI 번호
- 장비 모델
- Android 버전

악성 코드가 장비에 대한 루트 권한으로 장비를 원격 서버에 등록하는 데 필요한 정보를 수집하여 전송하면, Droid KungFu가 사용자의 동의 없이 백그라운드에서 장비에 추가 패키지 설치를 시도합니다. 설치된 'legacy' 애플리케이션은 같은 애플리케이션 아이콘을 포함한 합법적인 Google Search 애플리케이션을 가장합니다. 'Legacy'는 실제로는 다음으로 할 일, 본질적으로는 감염된 장비를 봇으로 바꾸는 명령과 지시를 수신하기 위해 원격 서버에 연결하는 백도어입니다.

DroidKungFu2

이름 DroidKungFu2
범주
릴리스 날짜 2011/07/04
업데이트 번호 1

Droid KungFu2는 불법 복제되어 트로이 목마가 숨겨진 Android 애플리케이션에 패키지된 원래 Droid KungFu 악성 코드의 변형입니다. 이전의 Droid KungFu와 기능이 상당히 유사한 Droid KungFu2는 (Java 기반의) Dalvik 코드로 작성된 코드의 일부에 대해 난독 처리를 시도하고, 기본 코드를 대신 사용합니다. 또한, 이전 버전은 명령 및 컨트롤(C&C) 도메인을 하나만 사용하는 반면, Droid KungFu2는 2개의 C&C 도메인을 추가로 채택합니다.

연구자들이 악성 코드의 통신과 기타 기능을 분석하고 식별하기 더 어렵게 만들어 기존 검색 방법을 혼란스럽게 하고 분석 속도를 떨어뜨리는 방식으로 변경되었습니다.

DroidKungFu3

이름 DroidKungFu3
범주
릴리스 날짜 2011/09/07
업데이트 번호 5

Droid KungFu3은 Android 장비에 영향을 미치는 Droid KungFun 악성 코드 시리즈의 세 번째 변형입니다. Droid KungFu3은 이전의 Droid KungFu 시리즈와 마찬가지로 불법 복제되어 트로이 목마가 숨겨진 Android 장비용 애플리케이션 형태로 나타납니다. Droid KungFu3은 진짜 의도를 위장하기 위해 더한 시도를 합니다. Droid KungFu2가 명령 및 컨트롤(C&C) 서버 2개를 더 추가하고 이들 서버를 기본 코드로 하드코드했다면, Droid KungFu3은 C&C 서버 주소 3개를 모두 실제로 암호화하여 악성 코드를 리버스 엔지니어링하기 더 어렵게 합니다.

Droid KungFu3의 주요 목적은 미묘한 변형으로 변화하는 것이 아닙니다. 이전 시리즈와 마찬가지로, Droid KungFu3은 두 가지 루트 익스플로잇 중 하나를 활용하여 감염된 장비에 대한 루트 권한을 획득합니다. 루트 권한을 얻은 후, 모조 Google Update 애플리케이션으로 가장하는 포함된 APK(Android 패키지) 설치를 시도합니다.

포함된 애플리케이션 설치에 성공하더라도 사용자에게 애플리케이션 아이콘이 표시되지는 않습니다. 실제로는 이 애플리케이션은 설치된 후 장비의 백도어에서 열려 원격 서버에 연결되어 명령을 받으며, 해당 장비를 봇에 효율적으로 바꿔놓습니다.

Eicar

이름 Eicar
범주
릴리스 날짜 2011/09/28
업데이트 번호 39

EICAR 바이러스 백신 테스트 애플리케이션
이 애플리케이션은 유해하지 않습니다. 장비에 어떤 손상도 주지 않습니다.

이 애플리케이션은 단순히 이와 비슷한 메시지를 표시할 뿐, 그 이상은 아무런 역할도 하지 않습니다. 이 애플리케이션을 설치하는 데 아무런 권한도 필요하지 않습니다. 이 애플리케이션은 사용자의 데이터를 읽거나, 인터넷에 액세스하거나, 파일을 만들지 않습니다. 백그라운드에서 실행되거나 자동으로 시작되지도 않고, 메시지를 표시하는 것 외에는 전혀 아무런 일도 하지 않습니다.

하지만 이 애플리케이션에는 모든 바이러스 백신 제품이 안전하게 바이러스로 탐지할 수 있도록 EICAR(European Institute for Computer Antivirus Research)에서 고안한 텍스트가 포함되어 있으므로, 실제 바이러스나 다른 악성 코드로 장비를 실제로 감염시킬 필요 없이 바이러스 백신 애플리케이션이 올바로 작동하는지 테스트할 수 있습니다.

다시 분명히 설명하자면, 이 애플리케이션은 완벽히 무해한 애플리케이션이지만 바이러스로 탐지되어야 합니다. 이것이 바로 이 애플리케이션의 전적인 목적입니다. 스마트폰에서 바이러스 백신 애플리케이션이 실행 중인 경우 이 애플리케이션을 설치할 때 바이러스로 탐지되어야 합니다.

자세한 내용은 위키피디아에서 "EICAR test file(EICAR 테스트 파일)"을 검색하거나 EICAR 웹 사이트(eicar.org)를 참고하십시오.

Exploit.Linux.Lotoor

이름 Exploit.Linux.Lotoor
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

Exploit.Linux.Lotoor는 버전 2.3까지의 Android 장비에 대해 유효한 루트 익스플로잇으로 Android 장비를 목표로 하는 악성 애플리케이션입니다. 이 악성 코드는 호스트 애플리케이션 설치를 위해 사용자가 개입해야 합니다. 다시 패키지된 애플리케이션이 설치되고 나면 루트 권한을 획득하려고 장비에 대해 루트 익스플로잇을 실행합니다. "asset" 폴더 내부에는 악성 코드의 기능에 핵심이 되는 별개의 파일 4개가 있으며, 호스트 애플리케이션이 설치될 때 이들 파일의 이름은 .sh 확장자로 바뀝니다.

- gbfm.png
- install.png
- installsoft.png
- runme.png

루트 권한을 얻고 나면, 이 악성 코드는 시스템 파티션의 파일 권한을 설정하기 위해(chmod 4775) 새로 변경된 "install.sh" 파일을 실행합니다. 그런 다음, 셸이 "/system/bin/sh"에서 악성 애플리케이션에 의해 생성된 새 폴더인 "/system/xbin/appmaster"로 복사되고 파티션을 다시 탑재합니다. 이를 통해 필요할 때마다 셸에 액세스할 수 있습니다.

이 익스플로잇은 SD 카드가 탑재된 장비에서만 작동합니다.

Fake-netFlic

이름 Fake-netFlic
범주
릴리스 날짜 2011/10/26
업데이트 번호 39

Fake-netFlic은 Android 장비용 NetFlix 애플리케이션으로 가장한 트로이 목마 애플리케이션입니다. Fake-netFlic이 설치되면 공식 NetFlix 애플리케이션 이상으로 다음 권한을 요청합니다.

- 네트워크 연결을 엽니다.
- 네트워크에 대한 정보에 액세스합니다.
- WiFi 상태에 대한 정보에 액세스합니다.
- 전화의 현재 상태를 확인합니다.
- 프로세서가 대기 상태로 들어가거나 화면이 어두워지지 않게 합니다.
- 이벤트 스트림에 사용자 이벤트를 주입하고 어떤 창으로든 전달합니다.
- 하위 수준 시스템 로그에 대한 액세스를 허용합니다.
- 외부 스토리지 장비에 씁니다.
- 디버그 로그를 수집합니다.
- 현재 또는 최근에 실행된 작업에 대한 정보를 수집합니다.

Fake-netFlic은 공식 NetFlix 애플리케이션과 매우 흡사한 로그인 화면으로 표시됩니다. 하지만 미묘한 차이는 있습니다. 실제로, 사용자가 가짜 로그인 페이지에서 NetFlix 자격 증명을 입력할 때 로그인되지 않습니다. 이 악성 코드는 그 즉시 원격 서버로 자격 증명을 보냅니다.

FakePlayer

이름 FakePlayer
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

“Fake Player”는 Android 장비에 영향을 주는 것으로 알려진 최초의 SMS 트로이 목마 애플리케이션입니다. 이 애플리케이션은 “ru.apk”라는 이름의 APK(Android Package) 형태로 핸드셋에 나타나며, 장비의 애플리케이션 목록에 “org.me.androidapplication1″로 존재하고 애플리케이션 서랍에는 “Movie Player”로 나타납니다. 분석 결과, “Fake Player”는 개발자가 단순한 “Hello, World” 애플리케이션을 만들고 “SMS_SEND” 권한을 요청하여 매우 기본적인 SMS 기능을 포함하도록 코드를 수정했다는 점에서 상당히 초보적인 것으로 밝혀졌습니다. “Fake Player”는 SMS 트로이 목마로서, 일단 설치되고 나면 메시지 본문에 “798657″을 포함한 SMS 메시지를 할증 요금이 적용되는 SMS 번호 “3353″으로 보내어 사용자의 모바일 계정에 대해 발송되는 각 메시지마다 요금이 청구되도록 합니다. 그런 메시지가 전송되면 트로이 목마가 같은 메시지를 짧은 코드 “3354″로 보낸 다음, 제3의 메시지를 “3353″으로 보냅니다.

분석 결과, “Fake Player”는 타사 채널을 통해서만 배포되고 지역 Android Market에는 존재하지 않는 것으로 밝혀졌습니다. 또한, 구성된 짧은 코드가 러시아 네트워크 내부에 존재하여 러시아 외부의 통신사 네트워크에서는 연결할 수 없으므로 “Fake Player”가 러시아 통신사 네트워크 외부에서는 올바로 작동할 것으로 판단되지 않습니다. 뿐만 아니라, “Fake Player”는 자동 전파할 수 없으므로, 장비 사용자가 애플리케이션 설치에 필요한 작업을 시작하고 요청되는 권한의 승인을 확인해야 합니다.

FlexiSpy

이름 FlexiSpy
범주
릴리스 날짜 2012/02/22
업데이트 번호 50

FlexiSpy는 대부분의 주요 모바일 플랫폼에 영향을 미치는 상업용 스파이웨어입니다. Flexispy는 전화 통화와 SMS 메시지를 기록하고 원격 서버로 보냅니다. 실제 이런 목적으로 설계된 애플리케이션인 것으로 여겨지는데, 그 목적을 드러내지 않고 은밀하게 실행되므로 트로이 목마로 분류됩니다. FlexiSpy는 지원되는 에스컬레이션 기능 집합과 함께 여러 가지 다양한 패키지 형태로 되어 있습니다. 전체 기능 집합은 다음과 같습니다.

원격 청취
SMS에 의한 전화 제어
SMS 및 이메일 로깅
통화 기록 로깅
위치 추적
통화 인터셉션
GPS 추적
실드
블랙 리스트
화이트 리스트
웹 지원
보안 로그인
보고서 보기
고급 검색
보고서 다운로드
특수 기능
SIM 변경 알림
필요한 GPRS 기능
녹음된 대화 청취

Foncy

이름 Foncy
범주
릴리스 날짜 2011/12/09
업데이트 번호 43

Foncy는 정당한 애플리케이션으로 다시 패키지된 SMS 트로이 목마 애플리케이션입니다. 적당한 국가 내에서 특정 번호로 할증 요금이 적용되는 SMS 메시지를 보내기 위해 장비의 국가 코드를 검색할 수 있도록 허용하는 특별한 메소드를 사용합니다. Foncy는 현재 유럽 국가와 사용자에게 영향을 주는 것으로 알려져 있을 뿐입니다.

GGTracker

이름 GGTracker
범주
릴리스 날짜 2011/06/23
업데이트 번호 1

GGTracker는 할증 요금 적용 번호로 SMS 메시지를 보낼 뿐 아니라 중요한 장비 정보도 수집하는 Android 장비용 트로이 목마입니다.

이 트로이 목마가 실행되면 제어 서버가 감염된 장비로 SMS 메시지를 보낼 수 있도록 장비의 전화 번호를 보냅니다.

다음으로, 트로이 목마가 수신된 SMS 메시지를 모니터링하다가 다음 번호에서 SMS 메시지를 가로챕니다.

00033335
00036397
33335
36397
46621
55991
55999
56255
96512
99735

또한, 다음 SMS 메시지를 보내어 41001에서 보내는 SMS 메시지에 응답합니다.
예(YES).

이 트로이 목마는 다음 정보를 수집할 수 있습니다.

- 장비 전화 번호
- 네트워크 운영자의 이름
- 가로챈 SMS 메시지의 발신자와 본문
- 받은 편지함에 있는 SMS 메시지의 발신자와 본문
- Android 운영 체제의 버전

수집된 정보는 다음 위치로 전송됩니다.
http://www.amaz0n-cloud.com/droid/droid.php

Geinimi

이름 Geinimi
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

Geinimi는 개인 및 장비 식별 정보를 수집하여 원격 서버로 전송할 수 있는 Android 트로이 목마입니다. 지금까지 등장한 Android 악성 코드 중 가장 정교한 것으로 손꼽히는 Geinimi는 명령 및 컨트롤(C&C) 기능이 Geinimi 코드 베이스의 일부일 수 있음을 분명히 보여주는 봇넷 기능도 도입합니다. 지금까지는 실제 C&C 통신의 증거가 식별된 적은 없지만, 그 채널은 분석 중에 분명히 드러나고 있습니다. Geinimi에는 다음과 같은 기능이 있습니다.

- SMS 메시지 모니터링 및 전송

- 선택한 SMS 메시지 삭제

- 위치 데이터 모니터링 및 전송

- 장비 식별 데이터(IMEI/IMSI) 수집 및 전송

- 타사 애플리케이션 다운로드 및 사용자에게 설치 메시지 표시

- 감염된 장비에 설치된 애플리케이션의 목록 나열 및 전송

- 전화 걸기

- 파일 자동 다운로드

- 미리 정의된 URL로 브라우저 시작.

지금까지는, Geinimi에 감염된 애플리케이션이 중국의 타사 애플리케이션 리포지토리에만 나타났고 감염된 애플리케이션을 “사이드로딩”해야만 설치할 수 있습니다. Geinimi가 공식 Android Market에 나타난 적은 없었습니다. 사실 Geinimi는 Android Market에서 불법 복제 및 디스어셈블한 후 애플리케이션에 Geinimi 코드를 넣고 다시 어셈블한 다양한 정식 애플리케이션으로 나타납니다.

Geinimi에 감염된 애플리케이션의 정교한 기능 외에도, Geinimi는 Geinimi 코드와 이 코드가 발생하는 통신에서 악성 동작을 난독 처리하고 암호화하는 시도를 합니다. 분석 시도를 방해하기 위해, Geinimi 작성자들은 약한 DES 암호를 사용하여 특정 코드 문자열을 암호화했습니다. 다행히도, “12345678″의 약한 키가 코드에서 쉽사리 식별되어 중요한 문자열의 암호화를 해제하여 분석할 수 있었습니다.

Geinimi에 감염된 장비와 이런 장비를 제어하는 서버 사이의 통신도 사용된 암호화 문자열과 같은 DES 암호 및 키로 암호화됩니다. 이 시나리오에서는 Geinimi가 트래픽이 덜 두드러져 보이도록 하기 위해 다른 경우라면 일반 텍스트 HTTP 요청이 되었을 내용을 암호화하게 됩니다.

다음 URL은 포트 8080을 통해 Geinimi 코드 내에서 관심 있는 URL로 식별되었습니다.

www.widifu.com

www.udaore.com

www.frijd.com

www.piajesj.com

www.qoewsl.com

www.weolir.com

www.uisoa.com

www.riusdu.com

www.aiucr.com

117.135.134.185

Geinimi의 초기 분석에서는 소수의 애플리케이션이 영향을 받은 것으로 나타났습니다. Juniper GTC는 Geinimi에 감염된 24가지 이상의 각기 다른 애플리케이션을 식별했습니다. 다음 Android 패키지는 Geinimi 코드에 감염되는 것으로 알려져 있습니다.

com.moonage.iTraining – A.Geinimi.01로 탐지됨

com.sgg.sp – A.Geinimi.02로 탐지됨

com.bitlogik.uconnect – A.Geinimi.03으로 탐지됨

com.ubermind.ilightr – A.Geinimi.04로 탐지됨

com.outfit7.talkinghippo – A.Geinimi.05로 탐지됨

com.littlekillerz.legendsarcana – A.Geinimi.07로 탐지됨

com.xlabtech.MonsterTruckRally – A.Geimimi.08로 탐지됨

cmp.LocalService – A.Geinimi.09로 탐지됨

jp.co.kaku.spi.fs1006.Paid – A.Geinimi.10으로 탐지됨

com.xlabtech.HardcoreDirtBike – A.Geinimi.11로 탐지됨

cmp.netsentry – A.Geinimi.12로 탐지됨

com.dseffects.MonkeyJump2 – A.Geinimi.13으로 탐지됨

com.wuzla.game.ScooterHero_Paid – A.Geinimi.14로 탐지됨

com.masshabit.squibble.free – A.Geinimi.15로 탐지됨

signcomsexgirl1.mm – A.Geinimi.16으로 탐지됨

redrabbit.CityDefense – A.Geinimi.17로 탐지됨

com.gamevil.bs2010 – A.Geinimi.18로 탐지됨

com.computertimeco.android.alienspresident – A.Geinimi.19로 탐지됨

com.apostek.SlotMachine.paid – A.Geinimi.20으로 탐지됨

sex.sexy – A.Geinimi.21로 탐지됨

com.swampy.sexpos – A.Geinimi.22로 탐지됨

com.ericlie.cg5 – A.Geinimi.23으로 탐지됨

chaire1.mm – A.Geinimi.24로 탐지됨

앞서 언급한 바와 같이, Geinimi에 감염된 애플리케이션은 공식 Android Market에서 액세스할 수 없었던 것으로 밝혀졌습니다. 모든 Android 애플리케이션과 마찬가지로, 사용자가 Geinimi에 감염된 애플리케이션을 물리적으로 설치하고 요청되는 권한을 승인해야 합니다. Android 사용자는 애플리케이션에서 요청하는 권한의 승인을 고려할 때 모든 애플리케이션의 컨텍스트에 각별히 유의해야 합니다. 타사 애플리케이션 리포지토리에서 Android 애플리케이션을 “사이드로딩”할 때 특히 더 그렇습니다.

GingerMaster

이름 GingerMaster
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

GingerMaster는 Android 버전 2.2 이하에 대해 루트 익스플로잇을 활용한 기능을 확장하기 위해 장비를 루팅할 수 있었던 이전의 Android 악성 코드 변형과는 달리, Android 2.3(Gingerbread)에 대해 루트 익스플로잇을 활용하는 최초의 Android 악성 코드입니다.

GingerMaster는 합법적 애플리케이션 내부에 악성 코드를 다시 패키지하는 추세를 따릅니다. 트로이 목마가 숨겨진 애플리케이션이 설치되면, GingerMaster가 수신기를 등록하여 시스템 부팅에 성공했을 때와 원격 서버로 업로드할 장비 식별 정보를 수집하는 서비스를 백그라운드에서 실행할 때도 알림 메시지를 받을 수 있습니다.

장비 정보를 수집하는 것 외에도, GingerMaster에 감염된 애플리케이션은 "GingerBreak" 루트 익스플로잇을 활용하여 이를 루트 권한으로 상승할 뿐 아니라, 이후에 사용할 수 있도록 루트 셸을 시스템 파티션에 설치하려고 시도합니다.

루트 권한을 획득한 후, GingerMaster는 원격 명령 및 컨트롤(C&C) 서버에 연결을 시도하고 봇 마스터에서 명령을 기다립니다. 그러면 GingerMaster가 이전에 설치된 루트 셸에서 "pm install"을 실행하여 악성 코드의 기능을 확장할 수 있는 추가 애플리케이션을 자동으로 다운로드하여 설치하기 시작할 수 있습니다.

GoldDream

이름 GoldDream
범주
릴리스 날짜 2011/07/04
업데이트 번호 1

“GoldDream”은 “Fast Racing”이라는 애플리케이션에서 발견된 Android 악성 코드입니다. ”Fast Racing”은 드래그 레이싱 게임으로 백그라운드에서 악성 코드가 삽입된 상태에서 올바르게 작동하는 것처럼 보입니다.

“Fast Racing”은 “com.creativemobi.DragRacing”이라는 패키지 이름으로 제공되는데, 게임 작동에 필요한 수준 이상의 권한을 요청합니다. 사용자는 다음 권한을 요청하는 것을 관찰함으로써 이를 악성 애플리케이션으로 식별할 수 있을지 알 수 있습니다.

- 사용자의 메시지
- 사용자의 위치
- 네트워크 통신
- 스토리지
- 유료 서비스
- 전화 통화

그 이후로 GoldDream 악성 코드에 감염된 애플리케이션 6개를 추가로 식별했습니다. 다음 패키지 이름에서 이런 애플리케이션이 발견될 수 있습니다.

Pure Girls 16 – com.GoldDream.pg03
Pure Girls 16 – com.GoldDream.pg04
Pure Girls 16 – com.GoldDream.pg
Forrest Defender – com.droid.game.forestman
DevilDom Ninja – com.droidstu.game.devilninja
Blood vs Zombie – com.gamelio.DrawSlasher

GoldDream 악성 코드로 감염된 것으로 탐지되는 Android 애플리케이션은 감염된 모바일 장비에서 모든 인바운드 및 아웃바운드 SMS 메시지와 전화 통화를 모니터링할 수 있습니다. 이 악성 코드는 이런 통신을 수신 대기하다가 메시지 또는 통화와 관련된 전화 번호를 캡처합니다. SMS 메시지의 경우, GoldDream 악성 코드는 메시지의 내용도 캡처하고 캡처된 데이터를 제어 서버로 보내라는 명령을 수신할 때까지 모바일 핸드셋에서 다른 두 텍스트 파일에 캡처된 데이터를 전부 저장합니다.[redacted]phonecall.txt

[redacted]sms.txt

메시지 또는 통화가 수신/송신되면 장비의 /data/data/app_name/files 폴더에 이들 파일이 생성됩니다.

GoldDream에 감염된 애플리케이션에는 명령을 내리는 서버가 악성 코드에 구성된 기능을 수행하라고 지시하는 명령 및 컨트롤(C&C) 기능도 포함됩니다. 악성 코드 분석 결과, C&C 서버가 감염된 장비에 다음 기능을 수행할 것을 지시할 수 있는 것으로 나타났습니다.

- 백그라운드에서 SMS 메시지 전송
- 백그라운드에서 전화 걸기
- 백그라운드에서 애플리케이션 설치/제거
- 원격 서버로 파일 업로드

GraySpyware

이름 GraySpyware
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

Gray Spyware는 이런 종류로는 Android Market에서 최초로 발견된 비상업용 스파이웨어 중 하나입니다. GraySpyware는 의심하지 않는 사용자의 문자 메시지를 모니터링하기 위한 수단으로 나온 매우 기초적인 형태의 SMS 스파이웨어였습니다. GraySpyware는 일단 설치되고 나면 기본적인 Android 브라우저 애플리케이션으로 가장했지만, 송수신되는 모든 SMS 메시지를 원격 서버로 캡처하여 모니터링합니다.

HippoSMS

이름 HippoSMS
범주
릴리스 날짜 2011/07/12
업데이트 번호 1

HippoSMS는 아시아 사용자를 목표로 삼아, 정당한 애플리케이션의 크랙 버전으로 나옵니다. HippoSMS가 설치되면 "8"을 메시지 본문으로 하여 할증 요금 번호로 SMS 메시지를 보냅니다. 또한, 수신 SMS 메시지를 모니터링하여 "10"으로 시작하는 수신 메시지를 삭제합니다.

Jifake

이름 Jifake
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

Jifake는 인스턴트 메시징 애플리케이션 JIMM의 러시아 수정 버전에 미리 다운로드된 형태로 제공됩니다. 이 사전 다운로드에서 최종 사용자에게 정식 버전을 구하려면 본문 메시지를 "744155jimm"으로 하여 단축 번호(2476)로 SMS 메시지를 보낼 것을 요구합니다. 피해자에게는 그 SMS 메시지의 비용이 청구됩니다.

Jifake의 또 다른 변형은 단축 번호 1899로 SMS를 보냅니다. SMS의 본문은 다음과 같습니다. 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

KidLogger

이름 KidLogger
범주
릴리스 날짜 2011/07/29
업데이트 번호 1

KidLogger는 Android 장비에 대한 비상업용 스파이웨어입니다. 지금도 Android Market에 있는 Kid Logger에 대한 Market의 설명은 다음과 같습니다.

전화 및 사용자 활동을 로그 파일에 기록합니다.
- 모든 통화 기록
- 수신자 이름을 포함한 SMS 텍스트
- Wi-fi 연결
- GSM 상태(Airmode, 운영자 이름 등)
- USB 연결에 의한 SD 카드 사용
- 사용되는 모든 애플리케이션 기록
- 방문한 웹 사이트 로그(표준 브라우저만 해당)
- 화면 상의 키보드와 클립보드 텍스트에 입력한 키 입력 로그
- 전화 좌표와 생성된 사진 기록
- 백그라운드에서 숨겨진 상태로 작동
- 암호로 보호됨
- 사용자 작업 로그 파일을 5일간 유지하거나 Kidlogger.net 계정으로 업로드 언제든 온라인 상에서 전화 활동 저널을 볼 수 있습니다.

설치하고 스마트폰을 다시 시작한 후 *123456#로 전화를 걸어 KidLogger App을 열고 작동하십시오.
다시 시작하지 않으려면 "Soft Keyboard PRO" 입력 메소드를 설치하십시오. 자세한 내용은 "Soft Keyboard PRO" 애플리케이션을 참고하십시오.

KidLogger는 사용자로부터 스스로 숨길 수 있는 능력이 있으므로 스파이웨어로 분류됩니다. 이런 유형의 애플리케이션은 확실히 하위 애플리케이션의 온라인 및 모바일 활동을 인식하려는 상위 애플리케이션에 필요한 서비스를 제공하지만, 인증되지 않은 사용자에게도 의심하지 않는 사람을 불법적으로 모니터링할 수 있는 기능을 제공합니다.

Kmin

이름 Kmin
범주
릴리스 날짜 2012/03/06

KMin은 Android 장비에 영향을 주는 악성 애플리케이션입니다. 트로이 목마는 "KMHome"이라는 이름의 Android 애플리케이션으로 나타날 수 있으며, 원격 서버로 보내기 위해 장비 ID, 가입자 ID 및 장비의 현재 시간을 수집합니다.

KungFu

이름 KungFu
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

Droid KungFu는 중국어 사용자를 대상으로 하는 대체 시장 내에서 기능을 제공하는 악성 코드를 포함하도록 불법 복제되어 트로이 목마가 숨겨진, 다시 패키지된 애플리케이션 형식의 Android 악성 코드입니다.

Droid KungFun은 'udev' 및 'rageagainstthecage' 루트 익스플로잇을 활용하여 감염된 장비에 대한 루트 액세스 권한을 사용자 몰래 자동으로 획득합니다. 감염된 애플리케이션을 설치하면 애플리케이션이 새 서비스와 새 수신기를 장비에 등록하여 수신기는 장비가 다시 부팅되어 백그라운드에서 해당 서비스를 자동으로 시작할 수 있게 될 때 알림 메시지를 받게 됩니다. 시작된 서비스는 암호화된 루트 익스플로잇 페이로드의 암호화를 해제하고 장비에 대해 익스플로잇을 실행하여 루트 권한으로 상승을 시도합니다.

루트 권한을 얻은 후, Droid KungFu는 원격 서버로 보낼 장비 정보 수집을 시도합니다. 다음 장비 정보가 수집됩니다.

- IMEI 번호
- 장비 모델
- Android 버전

악성 코드가 장비에 대한 루트 권한으로 장비를 원격 서버에 등록하는 데 필요한 정보를 수집하여 전송하면, Droid KungFu가 사용자의 동의 없이 백그라운드에서 장비에 추가 패키지 설치를 시도합니다. 설치된 'legacy' 애플리케이션은 같은 애플리케이션 아이콘을 포함한 합법적인 Google Search 애플리케이션을 가장합니다. 'Legacy'는 실제로는 다음으로 할 일, 본질적으로는 감염된 장비를 봇으로 바꾸는 명령과 지시를 수신하기 위해 원격 서버에 연결하는 백도어입니다.

KungFu.a

이름 KungFu.a
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

Droid KungFu2는 불법 복제되어 트로이 목마가 숨겨진 Android 애플리케이션에 패키지된 원래 Droid KungFu 악성 코드의 변형입니다. 이전의 Droid KungFu와 기능이 상당히 유사한 Droid KungFu2는 (Java 기반의) Dalvik 코드로 작성된 코드의 일부에 대해 난독 처리를 시도하고, 기본 코드를 대신 사용합니다. 또한, 이전 버전은 명령 및 컨트롤(C&C) 도메인을 하나만 사용하는 반면, Droid KungFu2는 2개의 C&C 도메인을 추가로 채택합니다.

연구자들이 악성 코드의 통신과 기타 기능을 분석하고 식별하기 더 어렵게 만들어 기존 검색 방법을 혼란스럽게 하고 분석 속도를 떨어뜨리는 방식으로 변경되었습니다.

KungFu.b

이름 KungFu.b
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

Droid KungFu3은 Android 장비에 영향을 미치는 Droid KungFun 악성 코드 시리즈의 세 번째 변형입니다. Droid KungFu3은 이전의 Droid KungFu 시리즈와 마찬가지로 불법 복제되어 트로이 목마가 숨겨진 Android 장비용 애플리케이션 형태로 나타납니다. Droid KungFu3은 진짜 의도를 위장하기 위해 더한 시도를 합니다. Droid KungFu2가 명령 및 컨트롤(C&C) 서버 2개를 더 추가하고 이들 서버를 기본 코드로 하드코드했다면, Droid KungFu3은 C&C 서버 주소 3개를 모두 실제로 암호화하여 악성 코드를 리버스 엔지니어링하기 더 어렵게 합니다.

Droid KungFu3의 주요 목적은 미묘한 변형으로 변화하는 것이 아닙니다. 이전 시리즈와 마찬가지로, Droid KungFu3은 두 가지 루트 익스플로잇 중 하나를 활용하여 감염된 장비에 대한 루트 권한을 획득합니다. 루트 권한을 얻은 후, 모조 Google Update 애플리케이션으로 가장하는 포함된 APK(Android 패키지) 설치를 시도합니다.

포함된 애플리케이션 설치에 성공하더라도 사용자에게 애플리케이션 아이콘이 표시되지는 않습니다. 실제로는 이 애플리케이션은 설치된 후 장비의 백도어에서 열려 원격 서버에 연결되어 명령을 받으며, 해당 장비를 봇에 효율적으로 바꿔놓습니다.

LeeCookSpyware

이름 LeeCookSpyware
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

LeeCook Spyware는 이런 종류로는 Android Market에서 최초로 발견된 비상업용 스파이웨어 중 하나입니다. LeeCook Spyware는 의심하지 않는 사용자의 문자 메시지를 모니터링하기 위한 수단으로 나온 매우 기초적인 형태의 SMS 스파이웨어였습니다. LeeCook Spyware는 일단 설치되고 나면 기본적인 Android 브라우저 애플리케이션으로 가장했지만, 송수신되는 모든 SMS 메시지를 원격 서버로 캡처하여 모니터링합니다.

LoveTrap

이름 LoveTrap
범주
릴리스 날짜 2011/09/07
업데이트 번호 5

LoveTrap은 할증 요금 번호로 SMS 메시지를 보내는 Android 트로이 목마입니다. LoveTrap은 일단 설치되고 나면 원격 서버에서 할증 요금 번호를 검색하여 SMS 메시지를 보냄으로써 해당 모바일 사용자의 계정에 요금이 청구되게끔 합니다.

그런 다음, 이 트로이 목마는 더 깊은 곳까지 나아가 할증 요금 번호로부터 수신되는 확인 SMS 메시지를 차단합니다.

MobinautenSMSSpy

이름 MobinautenSMSSpy
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

Mobinauten SMS Spy는 Android Market에 있으며, 사용자가 분실 또는 도난당한 장비를 찾는 데 도움이 될 수 있는 애플리케이션으로 설명됩니다. SMS Spy는 스스로를 사용자로부터 숨기고 장비의 애플리케이션 서랍에 애플리케이션 아이콘을 삽입하지 않으므로 스파이웨어로 분류됩니다. SMS Spy는 “SMS Spy”라는 이름의 애플리케이션과 함께 “de.mobinauten.smsspy”라는 이름의 패키지 형태로 나타납니다.

SMS Spy는 공격자가 “How are you???”라고 사전 구성된 메시지를 포함한 SMS 메시지를 장비로 보내야 합니다. 위치가 확인된 장비는 3개의 SMS 메시지로 발신자에게 응답합니다. 첫 번째 메시지는 locate 메시지의 수신을 확인합니다. 두 번째 회신 메시지는 GPS 좌표와 장비의 주소를 포함하여 회신합니다. 세 번째 회신 메시지에는 장비의 위치를 나타내는 Google Map에 연결되는 URL이 포함됩니다.

SMS Spy는 사용자에게 수신 “locate” SMS 메시지를 숨길 수 있는 옵션을 제공합니다. 이 경우에는 성이 “systemnumber”로 표시되고 나머지 정보는 공백인 상태로 대상 장비에서 별개의 연락처를 만들어야 합니다. SMS Spy는 대상 장비에서 이 “systemnumber” 연락처를 만들어 올바로 생성된 locate 메시지를 삭제하고 시스템 알림으로 보내는 메시지가 “내부 서비스 – SMS 데이터베이스가 최적화되고 압축됨”이 되도록 수정합니다.

SMS Spy는 올바로 사용한다면 확실히 유용한 애플리케이션으로 간주될 수 있습니다. 하지만 사용자로부터 스스로를 숨기기 위한 수단을 취해 공격자로 하여금 수신 locate 메시지를 난독 처리하도록 할 수 있으므로, 사용자가 이 애플리케이션을 장비에 그대로 남겨둬야 할지 정확한 정보를 바탕으로 결정할 수 있도록 Android 스파이웨어로 분류됩니다.

NickySpy

이름 NickySpy
범주
릴리스 날짜 2011/09/07
업데이트 번호 5

NickySpy는 Android 장비에 영향을 주는 악성 프로그램입니다. NickySpy는 "Android System Manager"라는 이름의 애플리케이션으로 나타나지만, 실제로는 장비에 대한 정보를 수집하여 원격 서버로 보내기만 합니다. NickySpy는 음성 통화, SMS 메시지, GPS 위치 정보, 국제 모바일 장비 ID, IP 주소와 같은 정보를 캡처할 수 있습니다. 이 악성 코드는 SD 카드에서 '/sdcard/shangzhou/callrecord'로 명명된 폴더에 음성 통화 데이터를 저장하고, 데이터 수집을 시작하고 이런 세부 정보를 원격 서버로 업로드하기 위한 타이머 이벤트를 만듭니다.

PJApps

이름 PJApps
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

PJApps는 일반적으로 Android 애플리케이션에서 발견되는데, 공식 Android Market에서 불법 복제 및 해체되고 악성 코드와 함께 압축되는 과정을 거친 다음 타사의 중국 애플리케이션 스토어에서 합법적인 애플리케이션으로 위장됩니다.

이 트로이 목마가 실행될 때, 다음 작업을 수행하기 위한 권한을 요청합니다.

- 네트워크 소켓 열기
- 수신 SMS 메시지 전송 및 모니터링
- 사용자의 탐색 기록 및 북마크 읽기 및 쓰기
- 패키지 설치
- 외부 스토리지에 쓰기
- 전화 상태 읽기(즉, 고장, 무선 기능 끄기 등).

그런 다음, 백그라운드에서 실행되는 서비스를 만듭니다. 장비의 수신 신호가 바뀔 때마다 위협 시작 관리자가 트리거됩니다.

서비스가 시작될 때 다음 URL을 사용하여 스스로 등록하려 합니다.

http://mobile.meego91.com/mm.do?..[PARAMETERS]

참고: [PARAMETERS]는 다음과 같은 장비 정보를 포함한 변수입니다.

- IMEI
- 장비 ID
- 회선 번호
- 가입자 ID
- SIM 일련 번호

이 위협의 경우, 공격자가 감염된 장비의 IMEI 번호로 제어하는 모바일 번호로 메시지가 전송될 수 있습니다. 이 메시지가 전송되는 모바일 번호는 다음 URL에서 획득합니다. http://log.meego91.com:9033/android.log?[PARAMETERS]

이 위협의 경우, 다음 위치에서 명령을 다운로드합니다.

http://xml.meego91.com:8118/push/newandroidxml/…

명령은 .xml 파일 내에 포함되며, 다음 명령을 포함합니다.
참고 - 거의 대부분 이 명령의 목적은 할증 요금 번호로 텍스트 메시지를 보내는 것입니다. 모바일 번호와 컨텐츠를 지정해야 하며, 다음 두 가지 추가 작업을 수행할 수 있습니다.

블랙리스팅—지정된 경우 모바일 번호가 블랙리스트에 포함되어 메시지가 전송되지 않을 것인지 확인하기 위해 원격 서버로 전송됩니다. 서비스의 URL은 이 명령에 매개 변수로 전송되어야 하고 블랙리스트 확인을 수행하여 다음 형식으로 요청하게 됩니다.
($blacklist_url) + “/?tel=” + mobilenumber

response blocking— 또한, Android.Pjapps가 수신 메시지를 수신 대기하는데, 이를 통해 사용자가 인바운드 메시지를 읽지 못하도록 특정 조건이 충족될 경우 note 명령으로 이런 메시지를 삭제하는 규칙을 지정할 수 있습니다. 지원되는 필터 중에는 메시지 시작 및 끝 문자열이 있습니다.

push- 이 명령은 SMS 스팸 처리를 수행하며 다음 매개 변수가 필요합니다.

—텍스트 메시지의 내용
—메시지 내용의 끝에 추가할 URL
—텍스트를 전송할 대상 모바일 번호로서, ‘#’

로 구분. soft- 이 명령은 위협에 노출된 장비에 패키지를 설치하는 데 사용됩니다. 패키지는 명령과 함께 매개 변수로 전송해야 할 원격 URL에서 다운로드됩니다.

window- 이 명령은 모바일 장비가 지정된 웹 사이트를 탐색하도록 합니다. Android.Pjapps는 사용할 브라우저가 기본 설정되며, 다음 브라우저가 있는지 확인합니다.

com.uc.browser
com.tencent.mtt
com.opera.mini.android
mobi.mgeek.TunnyBrowser
com.skyfire.browser
com.kolbysoft.steel
com.android.browser
android.paojiao.cn
ct2.paojiao.cn
g3g3.cn

mark- 이 명령은 위협에 노출된 장비에 북마크를 추가하는 데 사용됩니다. 이 서비스가 처음 시작될 때는 Android.Pjapps 역시 기본적으로 장비에 다음 북마크를 추가할 수 있습니다.

xbox- 이 명령은 Android.Pjapps 구문 분석 코드에서 발견되었지만, 구현되지 않는 것으로 보입니다.

PirateText

이름 PirateText
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

PirateText는 "Walk and Text"로 명명된 최고 등급 Android 애플리케이션의 불법 복제 버전입니다. "Walk and Text"의 공식 개발자들이 Android Market에 애플리케이션의 새 버전을 내놓은 지 몇 시간도 되지 않아 Market에서 불법 복제되어 패키지에 악성 코드가 이식된 채로 타사 애플리케이션 스토어에서 정식 버전으로 다시 배포되었습니다.

Market에서 불법 복제된 버전은 1.3.6이었습니다. 현재 Market 버전은 1.5.3입니다. 악성 코드가 있는 버전은 1.3.7입니다. 우리가 아는 한, 1.3.7 버전은 Incorporate Apps에서 푸시된 정식 애플리케이션에 대한 공식 업데이트가 아닙니다. 1.3.7 버전이 존재하는 것처럼 보이지만, 실제로는 악성 코드가 작성되어 있는 1.3.6 버전으로서 이후에 Incorporate Apps에서 사용하는 것과는 다른 자체 서명된 인증서로 서명되었습니다. 이는 다른 누군가가 원래 개발자의 정당한 인증서에 액세스하지 못해 이 애플리케이션을 다시 패키지했음을 나타내는 좋은 증거입니다.

악성 “Walk and Text v1.3.7″ 애플리케이션은 사용자에게 정상 작동하는 것으로 보입니다. 하지만 백그라운드에서는 장비의 모든 연락처로 다음 메시지가 포함된 SMS 메시지를 보냅니다.

“Hey,just downlaoded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck.Don\’t steal like I did!”

“Walk and Text v1.3.7″은 장비의 연락처로 성가신 SMS 메시지를 보낼 뿐입니다. 전송되는 SMS 메시지의 본질은 누군가 불법 복제 애플리케이션을 다운로드하는 것이 비윤리적이지만, 그들이 사용한 방법도 똑같이 비윤리적이라는 주장을 입증하고 싶어 했음을 나타내는 것입니다.

Plankton

이름 Plankton
범주
릴리스 날짜 2011/06/07
업데이트 번호 1

Plankton은 불법 복제되어 트로이 목마가 숨겨진 애플리케이션으로 나오는 Android 악성 코드입니다. Plankton은 노스 캐롤라이나 주립대의 연구자들이 처음으로 식별한 악성 코드로서, Plankton에 감염된 애플리케이션은 Android 장비에서 은밀하게 실행 가능한 Dalvik 클래스 로딩 기능을 악용한다는 사실을 발견했습니다.

감염된 애플리케이션이 모바일 장비에 로드되면 이 악성 코드는 애플리케이션 실행 시 스스로 시작하는 백그라운드 서비스를 추가합니다. 이 백그라운드 서비스는 감염된 Android 장비에서 IMEI와 같은 식별 정보를 수집할 수 있고, 호스트 애플리케이션이 요청한 권한 목록을 수집하여 원격 서버로 보냅니다.

서버가 이 정보를 수신하면 장비 상의 악성 코드가 연결할 수 있는 URL을 다시 보내고, 악성 코드는 이를 통해 스스로 자동 로드하여 감염된 Android 장비에서 봇넷과 같은 기능을 사용하는 .jar 파일을 검색합니다. 또한, 다운로드한 .jar 파일은 브라우저 기록 및 북마크와 같은 정보를 계속 검색하고, 장비 adb 로그를 덤프하고, 장비에 저장된 계정 자격 증명을 캡처할 수 있습니다.

SMSBomber

이름 SMSBomber
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

SMSBomber는 Android 장비용으로 개발된 간단한 SMS 폭탄 애플리케이션입니다. 수신자가 SMS 메시지를 송수신하지 못하게 수많은 SMS 메시지로 원격 Android 장비를 플러딩합니다.

SMSReplicator

이름 SMSReplicator
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

SMS Replicator는 두 가지 버전으로 나옵니다. 유해한 버전을 “Secret SMS Replicators”, 무해한 버전을 “SMS Replicator"라고 합니다. 두 애플리케이션은 모두 보통은 iPhone용 애플리케이션을 개발하는 DLP Mobile에서 개발하여 Android Market에 게시한 것입니다. 공격자는 두 버전의 SMS Replicator를 사용하여 애플리케이션이 감염된 장비에 도착하거나 이 장비에서 송신되는 SMS 메시지를 모니터링 목적으로 선택한 휴대폰으로 전달하도록 구성할 수 있습니다. 두 애플리케이션 사이의 유일한 차이점은 “secret” 버전은 특별히 작성한 SMS 메시지를 감염된 장비로 보내지 않는 한 액세스 가능한 아무런 애플리케이션 아이콘이나 인터페이스도 제공하지 않음으로써 스스로를 숨겨 탐지되지 않도록 한다는 점입니다. 두 애플리케이션 모두 애플리케이션 인터페이스 내에 있을 때는 정확하게 같은 모습으로 보입니다.

SMS Replicator 애플리케이션의 두 버전은 모두 Anroid Market에 공개되었지만, “Secret SMS Replicator”는 의심하지 않는 사용자의 개인 정보를 침해할 수도 있도록 설계된 스파이웨어 애플리케이션임을 명시적으로 밝힌 후 마케팅해야 한다는 Merket의 서비스 약관을 위반하여 Market에서 제거되었습니다. ”Secret SMS Replicator”는 여전히 Android Market 외부의 타사 소스에서 구매할 수 있습니다.

“Secret SMS Replicator”의 패키지 이름은 다음과 같습니다.

com.dlp.SMSReplicatorSecret

“SMS Replicator”의 패키지 이름은 다음과 같습니다.

com.dlp.SMSReplicator

두 애플리케이션 모두 설치 시 다음 Android 권한을 요청합니다.

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

SMS Replicator의 두 변형 버전에서는 모두 공격자가 스파이웨어 애플리케이션을 설치하려면 대상 장비에 실제로 액세스해야 합니다.

SMSReplicatorSecret

이름 SMSReplicatorSecret
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

SMS Replicator는 두 가지 버전으로 나옵니다. 유해한 버전을 “Secret SMS Replicators”, 무해한 버전을 “SMS Replicator"라고 합니다. 두 애플리케이션은 모두 보통은 iPhone용 애플리케이션을 개발하는 DLP Mobile에서 개발하여 Android Market에 게시한 것입니다. 공격자는 두 버전의 SMS Replicator를 사용하여 애플리케이션이 감염된 장비에 도착하거나 이 장비에서 송신되는 SMS 메시지를 모니터링 목적으로 선택한 휴대폰으로 전달하도록 구성할 수 있습니다. 두 애플리케이션 사이의 유일한 차이점은 “secret” 버전은 특별히 작성한 SMS 메시지를 감염된 장비로 보내지 않는 한 액세스 가능한 아무런 애플리케이션 아이콘이나 인터페이스도 제공하지 않음으로써 스스로를 숨겨 탐지되지 않도록 한다는 점입니다. 두 애플리케이션 모두 애플리케이션 인터페이스 내에 있을 때는 정확하게 같은 모습으로 보입니다.

SMS Replicator 애플리케이션의 두 버전은 모두 Anroid Market에 공개되었지만, “Secret SMS Replicator”는 의심하지 않는 사용자의 개인 정보를 침해할 수도 있도록 설계된 스파이웨어 애플리케이션임을 명시적으로 밝힌 후 마케팅해야 한다는 Merket의 서비스 약관을 위반하여 Market에서 제거되었습니다. ”Secret SMS Replicator”는 여전히 Android Market 외부의 타사 소스에서 구매할 수 있습니다.

“Secret SMS Replicator”의 패키지 이름은 다음과 같습니다.

com.dlp.SMSReplicatorSecret

“SMS Replicator”의 패키지 이름은 다음과 같습니다.

com.dlp.SMSReplicator

두 애플리케이션 모두 설치 시 다음 Android 권한을 요청합니다.

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

SMS Replicator의 두 변형 버전에서는 모두 공격자가 스파이웨어 애플리케이션을 설치하려면 대상 장비에 실제로 액세스해야 합니다.

SMSSpyFree

이름 SMSSpyFree
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

SMS Spy Free는 유료 애플리케이션 SMS Spy Pro의 평가판 버전입니다. SMS Spy Free는 SMS 메시지를 캡처하고 의심하지 않는 사용자의 통신을 염탐하기 위한 수단으로 미리 구성된 이메일 주소로 이 메시지를 자동으로 보냅니다. SMS Spy Free는 "Tip Calculator"로 가장하는데, 공식 Android Market에서 발견되었습니다.

SMS Spy Free는 "Tip Calculator"로 가장하여 자기 자신과 그 의도를 숨기려고 적극적으로 시도하기 때문에, 권한 없는 사용자가 의심하지 않는 사용자의 통신을 염탐할 기회를 제공합니다. 그래서 비상업적 스파이웨어로 분류됩니다.

SMSSpyPro

이름 SMSSpyPro
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

SMS Spy Pro는 Android 장비를 대상으로 하는 비상업적 스파이웨어로서, SMS 메시지를 캡처하고 의심하지 않는 사용자의 통신을 염탐하기 위한 수단으로 미리 구성된 이메일 주소로 이 메시지를 자동으로 보냅니다. SMS Spy Pro는 "Tip Calculator"로 가장하는데, 공식 Android Market에서 발견되었습니다.

SMS Spy Pro는 "Tip Calculator"로 가장하여 자기 자신과 그 의도를 숨기려고 적극적으로 시도하기 때문에, 권한 없는 사용자가 의심하지 않는 사용자의 통신을 염탐할 기회를 제공합니다. 그래서 비상업적 스파이웨어로 분류됩니다.

SkypwnedPOC

이름 SkypwnedPOC
범주
릴리스 날짜 2011/04/15
업데이트 번호 1

Skypwned는 Android용 Skype의 취약점을 악용하는 기능을 설명하기 위해 특별히 개발된 개념 증명(POC) 애플리케이션입니다. Skypwned POC는 분명 악성은 아니지만, 그래도 탐지되면 장비에서 제거해야 합니다.

SndApps

이름 SndApps
범주
릴리스 날짜 2011/07/18
업데이트 번호 1

SndApps는 Android 장비용 게임으로 보이는 애플리케이션으로 나오는 Android 악성 코드입니다. SndApps는 다양한 유형의 장비 식별 정보를 평가하여 원격 서버로 전달합니다. 다음 정보를 평가하여 전송합니다.

- 통신사/서비스 프로바이더
- 국가 코드
- 장비 ID/IMEI 번호
- 장비와 연결된 이메일 주소
- 전화 번호

SndApps에 감염된 애플리케이션은 정당한 개발자가 다시 패키지한 것으로 보이지 않습니다. 이 경우에는 애플리케이션을 처음 만든 같은 개발자가 나중에 다시 애플리케이션 후속 버전에 악성 코드를 포함한 것으로 나타납니다. 이런 애플리케이션은 처음에는 공식 Android Market에서 검색되었지만 이후로는 제거되었습니다.

SpyEye

이름 SpyEye
범주
릴리스 날짜 2011/09/28
업데이트 번호 39

SPITMO/SpyEye는 PC가 PC 악성 코드 SpyEye에 감염된 사용자에게 영향을 주는 Android 악성 코드입니다. 감염된 PC의 사용자가 온라인 뱅킹 사이트를 검색할 때, SpyEye는 은행의 웹 페이지에 컨텐츠를 주입하여 사용자가 해당 은행에서 mTan 메시지를 사용하여 대역 외 인증을 원활하게 수행하기 위해 사용자의 모바일 장비 전화 번호를 묻는 것이라고 믿게끔 속일 수 있습니다. mTan 메시지는 온라인 은행 웹 사이트에 로그인할 때 인증에 사용할 수 있도록 은행에서 모바일 사용자의 장비로 전송되는 일회용 코드입니다.

SpyEye는 사용자의 모바일 장비 번호를 일단 검색하고 나면 주입된 컨텐츠를 통해 사용자에게 “인증서”를 다운로드해야 mTan 인증을 장비에서 올바로 확인할 수 있다고 기만합니다. 실제로, 사용자는 SpyEye에 모바일 장비의 전화 번호를 제공했으며 모니터링하다가 금융기관에서 전송되는 mTan 번호를 캡처하는 SpyEye 모바일 스파이웨어 애플리케이션을 설치하도록 속게 됩니다.

SpyEye는 SMS를 통해 장비로 전송된 이런 mTan 번호를 결정할 수 있도록 구성되어 있고, 공격자가 피해자의 온라인 은행 웹 사이트에 대한 액세스 권한을 얻기 위해 사용하는 타사 서버로 mTan 번호를 전송합니다.

TapSnake-GPSSpy

이름 TapSnake-GPSSpy
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

GPS Spy는 스파이웨어 기능이 올바로 작동하도록 두 개의 별개 개체로 나옵니다. 공격자는 Android Market에서 또는 장비로 ADB 푸시를 통해 “Tap Snake” 게임을 피해자의 장비에 다운로드하여 설치합니다. 설치 후, “Tap Snake” 게임을 처음 실행하면 15분마다 오프사이트 웹 서버로 전송되는 GPS 위치 데이터에 액세스하기 위해 사용되는 적절한 자격 증명을 설정하는 데 필요한 구성 인터페이스가 공격자에게 제공됩니다. 이후에 “Tap Snake” 애플리케이션을 실행할 때마다 이 애플리케이션이 15분마다 현재 위치 정보를 수집하여 전송한다는 사실을 모르는 채, 사용자가 플레이하는 스네이크 게임과 똑같은 모양과 느낌을 줍니다. “Tap Snake” 게임의 세부 정보는 여기서 확인할 수 있습니다.

공격자는 자신의 장비에 간단히 “GPS Spy” 애플리케이션을 다운로드하여 설치하기만 하면 됩니다. 설치 후, “GPS Spy” 애플리케이션을 실행하고 해당 자격 증명을 입력하면 GPS Spy 애플리케이션이 위치 서버와 동기화할 수 있고, 공격자는 이 서버를 통해 24시간 주기로 피해자의 핸드셋 이동을 추적할 수 있습니다. 이 스파이웨어에서 GPS Spy 애플리케이션 가격은 4.99달러입니다. “GPS Spy” 애플리케이션의 세부 정보는 여기서 확인할 수 있습니다.

Trojan-SMS.AndroidOS.FakeInst.a1

이름 Trojan-SMS.AndroidOS.FakeInst.a1
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

Android.FakeInst는 할증 요금 전화 번호로 SMS 메시지를 보내는 SMS 트로이 목마입니다. 장비 정보를 수집하여 원격 서버로 전달하기도 합니다. 이 트로이 목마는 타사 애플리케이션 스토어에 호스트되는 것으로 밝혀졌습니다. 사용자에게 애플리케이션을 다운로드하려면 할증 요금 문자 메시지 3건을 보내야 한다고 알려주는데, 대부분의 경우 공식 Android Market이나 다른 애플리케이션 스토어에서 무료로 사용할 수 있습니다.

Trojan-SMS.AndroidOS.Opfake-1

이름 Trojan-SMS.AndroidOS.Opfake-1
범주
릴리스 날짜 2012/01/25
업데이트 번호 47

Trojan-SMS.AndroidOS.Opfake는 Android 장비에 영향을 주는 SMS 트로이 목마 애플리케이션입니다. 이 애플리케이션은 할증 요금 번호로 SMS 메시지를 보냅니다. 또한, 장비 식별 정보를 수집하여 원격 서버로 보냅니다.

트로이 목마가 설치되면 사용자에게 제품의 정품 인증을 위해 SMS 메시지를 보내야 한다고 알리는 메시지 상자를 표시합니다. "동의"를 클릭하면 "5537"이란 번호로 SMS 메시지를 보냅니다.

그러면 이 트로이 목마가 다음 정보를 수집하여 전송합니다.

- 장비 IMEI
- 패키지 이름
- 전화 번호
- 전화 모델

Weatherfist

이름 Weatherfist
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

Weatherfist는 2010 RSA Security 컨퍼런스에서 MOBOTS 프레젠테이션의 일부로 개발된 개념 증명 애플리케이션이었습니다. 연구자들은 봇넷에 감염된 장비의 일반적인 “폰 홈” 특성이 Android 및 iPhone 플랫폼에서 작동할 수 있는지 확인하려 했습니다. 이를 위해, 연구자들은 위치에 우편 번호를 사용하는 대신 “weather” 서버로 장비의 GPS 위치를 되돌려 보내는 “weather” 애플리케이션을 개발했습니다. 이를 통해 사용자가 그렇게 하도록 권한을 허용하거나 애플리케이션 스토어 리뷰 프로세스로 코드를 통과시킬 수 있다고 가정할 때, Android 및 iPhone 플랫폼의 애플리케이션이 타사 서버와 확실히 통신할 수 있음을 보여주었습니다. 이 개념 증명을 통해, 이 애플리케이션은 거의 700대의 개별 Android 장비와 7,700대의 개별 iPhone 장비로 다운로드되었다는 사실이 드러났습니다. 공개적으로 배포된 이 개념 증명 애플리케이션은 어떤 유형의 개인 데이터도 수집하지 않았고, 봇넷 가운데서 일반적인 어떤 유형의 원격 액세스 또는 명령 및 컨트롤 기능도 허용하지 않았습니다. 하지만 연구팀에서는 공개적으로 출시되지 않았고 일반 봇넷과 동일한 명령 및 컨트롤 기능을 포함한 “WeatherFistBadMonkey”라는 애플리케이션을 추가로 개발했습니다. 다시 강조하지만, 이 버전의 개념 증명 애플리케이션은 결코 공개 릴리스되지 않았습니다. WeatherFist는 어떤 면에서도 트로이 목마 또는 백도어 애플리케이션이 아니었으며, 정상적인 방법으로 장비에서 쉽사리 삭제할 수 있었습니다.

YZHCSMS

이름 YZHCSMS
범주
릴리스 날짜 2011/06/06
업데이트 번호 1

YZHCSMS는 개발사 ‘Gengine‘에서 ‘com.ppxiu’를 패키지 이름으로 하여 나오는 Android 트로이 목마 애플리케이션입니다. 이 애플리케이션을 더 이상 Android Market에서 구할 수 없는 것으로 보이지만, 여전히 아시아의 타사 스토어를 통해 제공되고 있습니다. 아시아 시장만 대상으로 하는 것으로 보이는 ‘YZHCSMS’라는 악성 코드는 할증 요금 번호(American Idol에서 투표할 때와 같이, SMS 메시지를 보내는 짧은 코드 번호)의 목록을 가져와서 모두 ‘YZHC’로 시작하는 SMS 메시지 전송을 시작하기 위해 오프라인 웹 사이트에 연결함으로써 작동을 시작합니다.

’YZHCSMS’는 웹 서버에서 검색되는 할증 요금 번호를 하드코드된 번호의 목록과 결합하여 50분마다 대상으로 SMS/텍스트 메시지를 보내는데, 사용자에게 부과되는 비용은 요금 제도에 따라 메시지당 요금이 달라집니다. SMS 트로이 목마는 장비가 부팅될 때나 감염된 애플리케이션 실행 시 시작되는 백그라운드 스레드로 실행됩니다.

백그라운드 스레드로 작동하는 능력 외에도, YZHCSMS SMS 트로이 목마는 전송한 SMS 메시지를 삭제할 뿐 아니라, 방금 할증 요금 메시지를 보낸 결과로서 수신될 수 있는 SMS 과금 메시지의 삭제를 시도함으로써 자신의 정체를 더욱 모호하게 숨기려고 합니다.

SMS 트로이 목마의 일부 변종은 악성 코드에 하드코드된 번호와 관련되어 있는 메시지를 제거할 수만 있는 반면, 다른 변종은 오프라인 서버에서 검색되는 번호와 관련된 메시지를 제거하려고 합니다.

하나 이상의 변종에 대한 분석 결과, ‘YZHCSMS’의 다양한 변종에 다음 번호가 하드코드된 것으로 나타났습니다.

1000
10000
10086
100086
123456
617915
19000101
19860102
19861119
91316005
91316007
101011101
12345678911
1065800885566
052714034192100013309
1240000089393100527140341001

다음 번호는 ‘mmssender’ 클래스에 있습니다.

052714034192100013309
10086
1240000089393100527140341001

하나 이상의 변종이 ‘SMSObserver’ 클래스를 통해 다음과 같이 하드코드된 번호와 관련된 메시지를 가로채는 것으로 나타납니다.

10086
1065800885566
이때, 이런 할증 요금 번호가 아시아 시장 외부에서 작동할지는 분명하지 않습니다. Android Market 데이터에 따르면 이 애플리케이션이 약 500회만 다운로드된 것으로 나옵니다.

ZSoneSMSTrojan-1

이름 ZSoneSMSTrojan-1
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

ZSone SMS 트로이 목마는 Android 장비에 영향을 주는 일련의 불법 복제, 트로이 목마 애플리케이션입니다. “Zsone”이라는 이름의 개발자가 이런 애플리케이션 13가지를 게시했는데, 그 중 일부는 SMS 통신을 활용하여 중국에서 의심하지 않는 사용자의 장비를 프리미엄 서비스에 부정하게 등록합니다.

분석된 애플리케이션 13개 중 11개는 장비를 등록하기 위해 다양한 할증 요금 번호를 사용하여 이런 식으로 작동하는 것으로 알려져 있습니다. 이런 악성 애플리케이션의 영향을 받는 중국 사용자는 이런 프리미엄 서비스에 자신의 장비가 등록되기 때문에 자신의 모바일 계정에 원치 않는 요금이 부과되는 문제를 겪을 수 있습니다.

개발자인 “Zsone”이 식별한 이런 악성 애플리케이션은 다음과 같습니다.

LoveBaby
iBook
iCartoon
Sea Ball
iCalendar
3D Cube horror terriblei
ShakeBanger
iMatch 对对碰
Shake Break
iSMS
iMine

위에서 언급한 애플리케이션은 중국 모바일 네트워크 내에서만 작동할 다음 할증 요금 번호와 통신하는 것으로 알려져 있습니다.

10086
1066185829
10000
10010
1066133
10655133
10621900
10626213
106691819
10665123085
10621900

많은 경우에, 프리미엄 서비스에 장비를 등록하기 위해 전송되는 SMS 메시지에는 다음과 같이 서비스에 장비를 쉽게 등록할 수 있도록 메시지 본문에 특수 코드가 포함됩니다.

M6307AHD
aAHD
95pAHD
58#28AHD
YXX1
921X1

앞서 설명한 바와 같이, 이런 악성 애플리케이션이 모바일 계정을 등록하려는 프리미엄 서비스는 중국 모바일 네트워크 내에서만 유효합니다. 중국 네트워크 외부의 사용자는 감염된 장비가 전송을 시도할 수 있는 메시지로 인한 계정의 요금에는 영향을 받지 않습니다.

Zitmo_Android

이름 Zitmo_Android
범주
릴리스 날짜 2011/07/08
업데이트 번호 1

SPITMO/SpyEye는 PC가 PC 악성 코드 SpyEye에 감염된 사용자에게 영향을 주는 Android 악성 코드입니다. 감염된 PC의 사용자가 온라인 뱅킹 사이트를 검색할 때, SpyEye는 은행의 웹 페이지에 컨텐츠를 주입하여 사용자가 해당 은행에서 mTan 메시지를 사용하여 대역 외 인증을 원활하게 수행하기 위해 사용자의 모바일 장비 전화 번호를 묻는 것이라고 믿게끔 속일 수 있습니다. mTan 메시지는 온라인 은행 웹 사이트에 로그인할 때 인증에 사용할 수 있도록 은행에서 모바일 사용자의 장비로 전송되는 일회용 코드입니다.

SpyEye는 사용자의 모바일 장비 번호를 일단 검색하고 나면 주입된 컨텐츠를 통해 사용자에게 “인증서”를 다운로드해야 mTan 인증을 장비에서 올바로 확인할 수 있다고 기만합니다. 실제로, 사용자는 SpyEye에 모바일 장비의 전화 번호를 제공했으며 모니터링하다가 금융기관에서 전송되는 mTan 번호를 캡처하는 SpyEye 모바일 스파이웨어 애플리케이션을 설치하도록 속게 됩니다.

SpyEye는 SMS를 통해 장비로 전송된 이런 mTan 번호를 결정할 수 있도록 구성되어 있고, 공격자가 피해자의 온라인 은행 웹 사이트에 대한 액세스 권한을 얻기 위해 사용하는 타사 서버로 mTan 번호를 전송합니다.

com.blitzforce.massada

이름 com.blitzforce.massada
범주
릴리스 날짜 2011/04/01
업데이트 번호 1

"com.blitzforce.massada"는 중국전자과학기술대학교 Blitz Force Massada 그룹의 Android 장비 대상 개념 증명(POC) 악성 코드로 보이는 패키지의 이름입니다. com.blitzforce.massada는 손해를 일으킬 목적으로 만들어진 것이 아니라, POC로서 잠재적 악성 코드의 발생 가능성과 파괴력을 보여줄 목적인 것으로 보입니다.

com.blitzforce.massada는 여러 가지 공격을 활용하여 다음과 같은 능력을 예증합니다.

- 사용자 개입 없이 수신 전화 허용
- 사용자 개입 없이 전화 통화를 종료시킴
- 수신/발신 전화를 차단하기 위해 장비의 무선 기능을 끔
- 중요한 장비 정보를 수집하여 원격 서버로 보냄

BLACKBERRY

B.Flexyspy.BB

이름 B.Flexyspy.BB
범주
릴리스 날짜 2009/04/23
업데이트 번호 1

Flexispy는 소매 스파이웨어 프로그램입니다. Flexispy는 장비에 실제로 액세스할 수 있는 사람이 설치합니다. Flexispy는 설치 후 허위의 설치된 애플리케이션 이름을 사용하고 애플리케이션 메뉴에는 나타나지 않음으로써 스스로를 숨기려 합니다.
스파이가 검사할 수 있는 서버로 SMS 메시지, 통화 정보 및 기타 중요한 정보를 누설할 수 있습니다.
일부 버전은 비밀 대화 내용을 스파이에게 누설할 수 있습니다.

J2ME

J.Etisalat.A.un

이름 J.Etisalat.A.un
범주
릴리스 날짜 2009/07/15
업데이트 번호 1

Etisalat.A[MA]는 사용자들이 이전 몇 주간에 걸쳐 경험한 네트워크 문제의 해결책으로 설명된 승인 성능 패치로서 아랍에미리트(UAE) Etisalat 네트워크의 BlackBerry 가입자에게 WAP로 푸시된 스파이웨어 애플리케이션입니다. 스파이웨어의 진짜 본질은 BlackBerry 사용자의 이메일 메시지를 가로채 Etisalat 네트워크 내부의 모니터링 에이전트로 전달하는 것입니다. 패치는 .jar 및 .cod 형식으로 모두 전달되었습니다. .jar 파일에는 다음 클래스가 포함됩니다.

 

META-INF/
META-INF/MANIFEST.MF
Registration.cod
Registration.csl
Registration.cso
com/
com/ss8/
com/ss8/interceptor
com/ss8/interceptor/app/
com/ss8/interceptor/app/Commands.class
com/ss8/interceptor/app/Constants.class
com/ss8/interceptor/app/Log.class
com/ss8/interceptor/app/Main$1.class
com/ss8/interceptor/app/Main.class
com/ss8/interceptor/app/MsgOut.class
com/ss8/interceptor/app/Recv.class
com/ss8/interceptor/app/Send.class
com/ss8/interceptor/app/StatusChange.class<
com/ss8/interceptor/app/Transmit.class
com/ss8/interceptor/tcp/
com/ss8/interceptor/tcp/HTTPDeliver.class
com/ss8/interceptor/tcp/smtp/
com/ss8/interceptor/tcp/smtp/SMTPHeader.class
com/ss8/interceptor/tcp/SocketBase.class
Interceptor.class

이 애플리케이션은 다음과 같이 포함된 클래스를 통해 폴더 업데이트, 메시지 저장소, 아웃바운드 메시지 및 무선 이벤트로 끌어들일 수 있습니다.
-Recv.class를 사용하여 net.rim.blackberry.api.mail.event.FolderListener와 net.rim.blackberry.api.mail.event.StoreListener를 구현하여 인바운드 메시지가 있는지 모니터링할 수 있습니다.

-Send.class는 net.rim.blackberry.api.mail.event.FolderListener와 net.rim.blackberry.api.mail.SendListener를 구현하여 이후에 메시지를 전달하는 데만 사용되지만, 이 클래스를 사용하여 아웃바운드 메시지를 모니터링할 수 있습니다.

- StatusChange.class를 사용하여 네트워크 변경과 같은 무선 이벤트를 모니터링할 수 있습니다. 특정 네트워크 변경 발생 시 Recv 수신기를 제거하고 다시 등록합니다.

 

버전:4.91
저작권 메시지
시간 및 날짜
Pin 번호
전화 번호
IMEI
IMSI
일련 번호:
장비 이름:
장비 제조업체
플랫폼 버전
이유: "서비스 변경" 또는 "네트워크가 시작됨"이 이유가 될 수 있음
상태: 장비가 작동 중인지, 중지된 상태인지

이런 명령은 MsgOut 생성자를 호출하고 MsgOut.java로 메시지를 전달하는 Commands.java에서 사용할 수 있습니다. 추가 메시지는 다음 정보와 함께 등록 서버로 전송됩니다.

버전:4.91
시간 및 날짜

등록된 후 애플리케이션은 제어 에이전트로부터 "start" 명령이 수신될 때까지 비활성으로 남습니다. 이 명령 이메일은 즉시 삭제됩니다. 가능한 명령은 4가지가 있으며(version, bCkp, start, stop), 이들은 암호화됩니다.

애플리케이션은 활성화된 후 이메일 메시지를 수신 대기합니다. 메시지가 수신되면 Recv 클래스가 메시지를 검사하여 4가지로 가능한 형태의 포함된 명령 중 한 가지가 메시지에 포함되어 있는지 확인합니다. 포함되어 있지 않으면 UTF-8로 메시지를 인코드하고, GZIP으로 압축하고, "EtisalatIsAProviderForBlackBerry"의 정적 키를 사용하여 메시지를 AES 암호화한 다음, 전체 메시지를 Base64로 인코드합니다. 그런 다음, 메시지는 HTTP Post를 통해 http://10.116.3.99:7095/bbupgr로 전달됩니다. 제어 에이전트로 전송되는 메시지에 다음 정보가 포함됩니다.

메시지 제목
메시지 본문
발신 주소
수신 주소

수신 HTTP 서버가 이메일을 생성하고 수신된 정보를 다음 이메일 주소로 전달하는 것으로 가정됩니다.
regbb@etisalat.ae
etisalat_upgr@etisalat.ae

 

 

SYMB-3

S.Album.a

이름 S.Album.a
범주
릴리스 날짜 2010/07/20
업데이트 번호 1

Album은 SMS 메시지에 포함된 링크로 도착하며, 이 링크를 클릭하면 악성 코드 SISX 파일이 다운로드되어 더 많은 SMS가 전송되는 결과를 빚습니다. 이 패밀리의 변형이 Symbian Signed이고 Shenzhen ZhongXunTianCheng Technology로 서명 인증서가 발행되었습니다.

이 악성 코드는 장비에서 전화 번호를 수집합니다. 이런 전화 번호를 사용하여 더 많은 스팸 SMS 메시지를 발송하고 이런 과정을 계속 복제합니다. 유사한 Yxes 트로이 목마와 달리, Album은 타사 라이브러리를 사용하여 SMS 메시지를 전송합니다. 그 결과, SMS 메시지가 사용자의 보낸 메시지에는 나타나지 않습니다. 이런 메시지는 배터리 수명을 줄이고 SMS 요금을 발생시킬 수 있습니다.

또한, 장비 정보를 수집하고 원격 서버로 보냅니다.

Album은 제거되지 않도록 하려고 특정 장비 프로그램을 비활성화하며, 그 중 가장 중요한 것으로 Application Manager 프로그램이 있습니다.

사용자들은 감염된 SISX를 다시 설치하기 시작하면 실행 중인 프로세스가 중지되고(그래서 애플리케이션을 덮어쓰게 될 수 있음), 올바른 시점에 재설치가 종료된 경우 Application Manager에 다시 액세스할 수 있다는 점을 발견했습니다.

S.EicarSymb

이름 S.EicarSymb
범주
릴리스 날짜 2011/11/01
업데이트 번호 37

EICAR 바이러스 백신 테스트 애플리케이션
이 애플리케이션은 유해하지 않습니다. 장비에 어떤 손상도 주지 않습니다.

이 애플리케이션은 악성이 아니므로 사용자의 데이터를 읽거나, 인터넷에 액세스하거나, 파일을 만들지 않습니다. 백그라운드에서 실행되거나 자동으로 시작되지도 않고, 메시지를 표시하는 것 외에는 전혀 아무런 일도 하지 않습니다.

하지만 이 애플리케이션에는 모든 바이러스 백신 제품이 안전하게 바이러스로 탐지할 수 있도록 EICAR(European Institute for Computer Antivirus Research)에서 고안한 텍스트가 포함되어 있으므로, 실제 바이러스나 다른 악성 코드로 장비를 실제로 감염시킬 필요 없이 바이러스 백신 애플리케이션이 올바로 작동하는지 테스트할 수 있습니다.

다시 분명히 설명하자면, 이 애플리케이션은 완벽히 무해한 애플리케이션이지만 바이러스로 탐지되어야 합니다. 이것이 바로 이 애플리케이션의 전적인 목적입니다. 스마트폰에서 바이러스 백신 애플리케이션이 실행 중인 경우 이 애플리케이션을 설치할 때 바이러스로 탐지되어야 합니다.

자세한 내용은 위키피디아에서 "EICAR test file(EICAR 테스트 파일)"을 검색하거나 EICAR 웹 사이트(eicar.org)를 참고하십시오.

S.FlexiSpy.gen4

이름 S.FlexiSpy.gen4
범주
릴리스 날짜 2011/01/07
업데이트 번호 1

FlexiSpy는 전화 통화와 SMS 메시지를 기록하고 원격 서버로 보내는 Symbian OS 기반의 트로이 목마입니다. 실제 이런 목적으로 설계된 애플리케이션인 것으로 여겨지는데, 그 목적을 드러내지 않고 은밀하게 실행되므로 트로이 목마로 분류됩니다. FlexiSpy는 지원되는 에스컬레이션 기능 집합과 함께 여러 가지 다양한 패키지 형태로 되어 있습니다.

전체 기능 집합은 다음과 같습니다.

원격 청취
SMS에 의한 전화 제어
SMS 및 이메일 로깅
통화 기록 로깅
위치 추적
통화 인터셉션
GPS 추적
실드
블랙 리스트
화이트 리스트
웹 지원
보안 로그인
보고서 보기
고급 검색
보고서 다운로드
특수 기능
SIM 변경 알림
필요한 GPRS 기능
녹음된 대화 청취

S.Lopsoy.e

이름 S.Lopsoy.e
범주
릴리스 날짜 2010/08/09
업데이트 번호 1

Lopsoy는 할증 요금 SMS 번호로 SMS 메시지를 보내는 기능을 가진 SMS 트로이 목마로서, 장비의 모바일 계정으로부터 부당한 금전적 이득을 챙깁니다. Lopsoy는 종종 PremiumSMSTroy.exe라는 파일과 함께 나타나며, 다음과 같은 Symbian 패키지로 나오는 것으로 알려졌습니다.

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

Lopsoy SMS 트로이 목마의 여러 가지 변종이 존재하는 것으로 알려져 있습니다. 변종 a, b, c는 엄격히 말해 3번째 에디션의 Symbian 관련 위협이고, 변종 d는 2번째 에디션입니다. 모든 변종은 S.lopsoy.gen(drs) 서명에 의해 검색됩니다.

S.Lopsoy.f

이름 S.Lopsoy.f
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Lopsoy는 할증 요금 SMS 번호로 SMS 메시지를 보내는 기능을 가진 SMS 트로이 목마로서, 장비의 모바일 계정으로부터 부당한 금전적 이득을 챙깁니다. Lopsoy는 종종 PremiumSMSTroy.exe라는 파일과 함께 나타나며, 다음과 같은 Symbian 패키지로 나오는 것으로 알려졌습니다.

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

Lopsoy SMS 트로이 목마의 여러 가지 변종이 존재하는 것으로 알려져 있습니다. 변종 a, b, c는 엄격히 말해 3번째 에디션의 Symbian 관련 위협이고, 변종 d는 2번째 에디션입니다. 모든 변종은 S.lopsoy.gen(drs) 서명에 의해 검색됩니다.

S.NeoCall.gen

이름 S.NeoCall.gen
범주
릴리스 날짜 2011/01/07
업데이트 번호 1

NeoCall의 기원은 의심하지 않는 사용자에 대해 다음과 같은 스파이 활동을 수행하는 능력을 공격자에게 부여하는 Symbian 스파이웨어 애플리케이션이었습니다.

- Neo-Control: 사용자가 NeoCall 소프트웨어로 전화를 제어
- Neo-Setup: 실용적인 메뉴 도구를 사용하여 대상 전화 구성
- Neo-Suite 2k8: Symbian 9 전화용으로 설정된 프로그램으로서, 단일 소프트웨어에 주요 애플리케이션들을 병합
- Neo-Phone: 주변의 모든 소리와 대화를 도청 – Nokia 6600, 6670, 7610
- Neo-Phone2: 주변의 모든 소리와 대화를 도청 – 휴대폰 Symbian 7/8 및 9
- Neo-Interceptor: 수신 및 발신 통화를 모두 청취
- Neo-Sms: SMS 전달
- Neo-Log & Email: 전화 메모리에 정보 기록 및 Bluetooth 또는 이메일로 정보 전송
- Neo-List: 전화 통화 목록
- Neo-Trax: BTS 셀에 의한 지역화
- Neo-GPS: GPS 좌표에 의한 지역화
- Neo-Brand: 개인 맞춤형 설치
- Neo-Contact: 연락처 관리
- Neo-Virtual SMS: 개인 설정된 발신자를 통해 SMS 전달
- Neo-Sim: SIM 데이터
- Neo-Record: 대화 녹음
- Neo-SMSInstall: SMS에 의한 설치

공격자는 요청된 데이터를 검색하기 위해 SMS 명령을 대상 핸드셋으로 보내어 대상 장비에서 작동하는 NeoCall 인스턴스를 제어합니다.

NeoCall은 핸드셋에 실제로 액세스할 수 있는 권한을 얻은 공격자가 대상 장비에만 설치할 수 있습니다.

S.Photoview.a

이름 S.Photoview.a
범주
릴리스 날짜 2010/09/28
업데이트 번호 1

Cell Phone Recon 스파이웨어는 iPhone을 제외한 모든 주요 스마트폰 플랫폼에서 작동하는 상업용 스파이웨어 애플리케이션입니다. Cell Phone Recon은 사용자에게 애플리케이션 아이콘을 표시하지 않는 방법으로 영향을 받는 각 플랫폼에서 스스로를 숨깁니다. 하지만 Cell Phone Recon은 애플리케이션 목록에는 “PhotoViewer”로 표시됩니다. Cell Phone Recon은 다음과 같은 스파이 기능을 제공합니다.

- 모든 수신/발신 SMS 메시지 모니터링
- 송수신 이메일의 내용 보기
- 모든 수신/발신/부재 중 통화 로그 기록
- 휴대폰 위치 모니터링 및 추적
- 포함된 이미지를 포함한 HTML 이메일 내용 보기

공격자가 특정 장비의 위치와 통신을 모니터링할 수 있도록, Cell Phone Recon은 모니터링을 수월하게 하기 위한 관리 웹 사이트를 제공합니다. Cell Phone Recon에 대한 세부 지침과 정보는 여기서 확인할 수 있습니다.

S.Spitmo.a

이름 S.Spitmo.a
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

SPITMO/SpyEye는 PC가 PC 악성 코드 SpyEye에 감염된 사용자에게 영향을 줍니다. 감염된 PC의 사용자가 온라인 뱅킹 사이트를 검색할 때, SpyEye는 은행의 웹 페이지에 컨텐츠를 주입하여 사용자가 해당 은행에서 mTan 메시지를 사용하여 대역 외 인증을 원활하게 수행하기 위해 사용자의 모바일 장비 전화 번호를 묻는 것이라고 믿게끔 속일 수 있습니다. mTan 메시지는 온라인 은행 웹 사이트에 로그인할 때 인증에 사용할 수 있도록 은행에서 모바일 사용자의 장비로 전송되는 일회용 코드입니다.

SpyEye는 사용자의 모바일 장비 번호를 일단 검색하고 나면 주입된 컨텐츠를 통해 사용자에게 “인증서”를 다운로드해야 mTan 인증을 장비에서 올바로 확인할 수 있다고 기만합니다. 실제로, 사용자는 SpyEye에 모바일 장비의 전화 번호를 제공했으며 모니터링하다가 금융기관에서 전송되는 mTan 번호를 캡처하는 SpyEye 모바일 스파이웨어 애플리케이션을 설치하도록 속게 됩니다.

SpyEye는 SMS를 통해 장비로 전송된 이런 mTan 번호를 결정할 수 있도록 구성되어 있고, 공격자가 피해자의 온라인 은행 웹 사이트에 대한 액세스 권한을 얻기 위해 사용하는 타사 서버로 mTan 번호를 전송합니다.

S.Upadapter.gen

이름 S.Upadapter.gen
범주
릴리스 날짜 2010/12/06
업데이트 번호 1

S.Upadapter.o(drs)는 Symbian 장비에 영향을 주는 트로이 목마의 AVK.Dumx.A 패밀리 멤버로 나타납니다. 이 특정 샘플은 중국을 통해 파급되어 100만 대 이상의 장비를 감염시킨 것으로 보고되었습니다. 일단 감염되고 나면, Upadapter는 장비의 연락처 목록에 있는 모든 번호로 패키지를 다운로드하도록 URL을 포함한 SMS 메시지를 보내려고 매우 기승을 부리고 마스터 서버에 다시 연결하여 감염된 장비에 대한 정보를 보냅니다. 이 정보는 향후에 SMS를 통해 감염된 장비로 명령을 보내는 데 사용될 것으로 보입니다.

할증 요금 번호로 SMS 메시지를 보내고 무단으로 전화를 걸어 소유자의 모바일 계정에서 돈이 빠져나가도록 하는 것 외에도, Upadapter는 핸드셋에서 실행 중인 바이러스 백신 애플리케이션을 비활성화하려고 시도한다는 점에서 더욱 발전된 PC 악성 코드 중 일부와 유사합니다.

Upadapter 제거는 매우 신중을 요하는 문제인데, 장비를 자주 하드 리셋해야 하므로 출고 시 기본 설정으로 되돌아올 때 사용자가 모든 개인 데이터를 잃게 됩니다.

S.Yxes.i

이름 S.Yxes.i
범주
릴리스 날짜 2010/08/09
업데이트 번호 1

Yxe는 SMS 메시지에 포함된 링크로 도착하며, 이 링크를 클릭하면 악성 코드가 다운로드되어 더 많은 SMS가 전송되는 결과를 빚습니다. 이 패밀리의 변형이 Third Edition 장비에서 작동할 수 있는 Symbian Signed입니다. 서명 인증서는 XiaMen Jinlonghuatian 또는 ShenZhen ChenGuangWuXian에 발행되었습니다.

SMS 스팸 메시지는 다음 중 하나로 연결되는 링크를 포함한 채로 도착합니다.

http://www.wwqx-mot.com/game
http://www.wwqx-sun.com/game
http://www.wwqx-cyw.com/game

이 모든 주소는 현재 사용되지 않습니다. 이런 메시지는 게임이 대신에 다운로드될 수 있도록 조장하며, 다음과 같이 서명된 SISX 파일 중 하나가 다운로드됩니다.

sexy.sisx(boothelper.exe를 설치함)
beauty.sisx(EConServer.exe를 설치함)
beauty_new.sisx(다른 EConServer.exe를 설치함)

S60 Third Edition 장비에서만 작동 가능한 이 악성 코드는 장비에서 전화 번호를 수집합니다. 이런 전화 번호를 사용하여 더 많은 스팸 SMS 메시지를 발송하고 이런 과정을 계속 복제합니다. 보낸 메시지가 사서함에서 삭제됩니다. 이런 메시지는 배터리 수명을 줄이고 SMS 요금을 발생시킬 수 있습니다.

또한, 장비 정보를 수집하고 원격 서버로 보냅니다.

Album은 제거되지 않도록 하려고 특정 장비 프로그램을 비활성화하며, 그 중 가장 중요한 것으로 Application Manager 프로그램이 있습니다.

사용자들은 감염된 SISX를 다시 설치하기 시작하면 실행 중인 프로세스가 중지되고(그래서 애플리케이션을 덮어쓰게 될 수 있음), 올바른 시점에 재설치가 종료된 경우 Application Manager에 다시 액세스할 수 있다는 점을 발견했습니다.

S.Zitmo.a

이름 S.Zitmo.a
범주
릴리스 날짜 2010/09/28
업데이트 번호 1

Zitmo는 Windows 트로이 목마 ZeuS가 온라인 뱅킹 자격 증명을 훔치도록 돕기 위해 Symbian 및 BlackBerry 장비에 영향을 미치는 트로이 목마 애플리케이션입니다.
Zitmo는 피해자의 온라인 뱅킹 웹 사이트를 위한 로그인 자격 증명을 훔치는 데 능한 Windows 트로이 목마인 ZeuS와 함께 작동하는 최초의 모바일 트로이 목마 애플리케이션입니다. 공격의 Zitmo 부분은 피해자의 거래 은행으로부터 오는 SMS 인증 메시지를 가로채기 위해 감염된 장비의 SMS 통신 모니터링을 시도합니다.
수많은 금융기관들이 고객을 사기와 신분 도용으로부터 보호하기 위한 수단으로서 대역 외 인증 방법을 구현하기 시작했습니다. 구현된 방법 중 하나는 은행에서 고객이 금융 거래 및 관련 업무 수행을 위해 온라인 뱅킹 웹 사이트에 올바로 로그인하는 데 필요한 정보가 담긴 SMS 메시지를 고객의 모바일 장비로 보내는 것입니다.
Zitmo는 사용자가 자신의 전화 번호 및/또는 장비 모델을 누설하도록 속이기 위해 고안되었을 수 있는 소셜 엔지니어링 공격이 이루어진 후 대상 모바일 장비에 나타날 가능성이 있습니다. 그 최종 목표는 ZeuS가 사용자를 속여 은행과의 통신에 대한 유효성 검사를 위해 "보안 인증서" 또는 다른 수단으로 표현될 수 있는 애플리케이션을 장비에 설치하도록 하는 것입니다. Zitmo가 설치되고 나면, 트로이 목마가 이런 mTAN(모바일 거래 인증 번호)이 캡처된 SMS 메시지에 포함되어 있을 것이라 여기고 장비로 전송되는 모든 SMS 메시지를 캡처할 수 있습니다.
현재, mTAN은 대부분의 유럽 국가에서 인증을 위해 사용되므로, 지리적 영역을 기준으로 기술이 분리되어 있어 이 공격이 무위로 돌아가도록 할 수 있습니다.

WINCE

W.1Eicar Test Signature

이름 W.1Eicar Test Signature
범주
릴리스 날짜 2008/03/11
업데이트 번호 1

EICAR 바이러스 백신 테스트 애플리케이션. 이 애플리케이션은 유해하지 않습니다. 장비에 어떤 손상도 주지 않습니다. 이 애플리케이션은 단순히 이와 비슷한 메시지를 표시할 뿐, 그 이상은 아무런 역할도 하지 않습니다. 이 애플리케이션을 설치하는 데 아무런 권한도 필요하지 않습니다. 이 애플리케이션은 사용자의 데이터를 읽거나, 인터넷에 액세스하거나, 파일을 만들지 않습니다. 백그라운드에서 실행되거나 자동으로 시작되지도 않고, 메시지를 표시하는 것 외에는 전혀 아무런 일도 하지 않습니다. 하지만 이 애플리케이션에는 모든 바이러스 백신 제품이 안전하게 바이러스로 탐지할 수 있도록 EICAR(European Institute for Computer Antivirus Research)에서 고안한 텍스트가 포함되어 있으므로, 실제 바이러스나 다른 악성 코드로 장비를 실제로 감염시킬 필요 없이 바이러스 백신 애플리케이션이 올바로 작동하는지 테스트할 수 있습니다. 다시 분명히 설명하자면, 이 애플리케이션은 완벽히 무해한 애플리케이션이지만 바이러스로 탐지되어야 합니다. 이것이 바로 이 애플리케이션의 전적인 목적입니다. 스마트폰에서 바이러스 백신 애플리케이션이 실행 중인 경우 이 애플리케이션을 설치할 때 바이러스로 탐지되어야 합니다. 자세한 내용은 위키피디아에서 "EICAR test file(EICAR 테스트 파일)"을 검색하거나 EICAR 웹 사이트(eicar.org)를 참고하십시오.

W.Abcmag.a

이름 W.Abcmag.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

Cake Mania Celebrity Chef 및 The Simpsons Arcade와 같은 다양한 애플리케이션인 것처럼 가장하지만, 실제로는 사용자로부터 요금을 이체할 목적으로 프리미엄 SMS 메시지를 보내는 SMS 트로이 목마입니다.

W.AutoR.gen

이름 W.AutoR.gen
범주
릴리스 날짜 2010/03/24
업데이트 번호 1

이동식 드라이브, 보통은 플래시 드라이브의 루트 폴더에 있는 악성 Autorun.inf 파일입니다. Windows 컴퓨터에 드라이브를 넣으면 실제로는 악성 프로그램을 실행하지만 드라이브를 폴더로 여는 것처럼 보이는 메뉴가 표시됩니다.

W.Autorun.gen2

이름 W.Autorun.gen2
범주
릴리스 날짜 2010/06/04
업데이트 번호 1

이동식 드라이브, 보통은 플래시 드라이브의 루트 폴더에 있는 악성 Autorun.inf 파일입니다. Windows 컴퓨터에 드라이브를 넣으면 실제로는 악성 프로그램을 실행하지만 드라이브를 폴더로 여는 것처럼 보이는 메뉴가 표시됩니다.

W.BopSmiley.gen

이름 W.BopSmiley.gen
범주
릴리스 날짜 2009/10/02
업데이트 번호 1

MobileSpy는 SMS 메시지를 통해 SMS 메시지와 통화 정보를 다른 전화로 누설하는 소매 스파이웨어 프로그램입니다.

세부 정보: BopSmiley는 MobileSpy로 명명된 CAB 파일로서 장비에 나타납니다. BopSmiley는 일단 설치되고 실행되고 나면 여러 파일을 삭제하고 장비의 레지스트리를 변경시키는 것으로 알려져 있습니다.
\Program Files\Smartphone\Smartphone.exe
\Program Files\Smartphone\OpenNETCF.Net.dll
\Program Files\Smartphone\OpenNETCF.dll
\Program Files\Smartphone\hsmsutil.dll
다음 레지스트리 키도 생성합니다.
HKEY_CURRENT_USER\Software\RetinaxStudios
RememberUser="0"
AutoLogin="0"
Username""
Password=""
ReportTime="0"
공격자는 smartphone.exe를 실행하기 위해 실제로 액세스해야 하고 전화 통화와 SMS 메시지를 가로챌 수 있도록 하기 위해 스파이웨어를 구성해야 합니다.

W.Brador.A

이름 W.Brador.A
범주
릴리스 날짜 2008/03/11
업데이트 번호 1

Brador.A는 Windows CE(Pocket PC 버전 2000,2002 및 2003) 운영 체제가 설치된 PDA 장비에만 영향을 미치는 백도어입니다. Brador.A는 열린 포트를 통해 감염된 PDA에 액세스할 수 있음을 알리기 위해 포트를 하나 열고 백도어를 만든 이에게 이메일 메시지를 보냅니다.
Brador는 스스로를 Startup 폴더로 복사합니다. 그런 다음, 백도어를 만든 이에게 PDA의 IP 주소를 메일로 보내고 TCP 포트에서 명령 수신 대기를 시작합니다. 해커는 TCP 포트를 통해 PDA에 연결하고 백도어를 통해 PDA를 제어할 수 있습니다.

W.Creeper.gen

이름 W.Creeper.gen
범주
릴리스 날짜 2010/10/15
업데이트 번호 1

이것은 전화 도청 패키지입니다.
감염원 역할을 하는 파일을 심은 SD 카드를 삽입하기만 하면 자동으로 설치 가능합니다.
이 프로그램은 설치 프로그램 또는 실행 중인 프로그램 목록에 나타나지 않고 다양한 기능을 고려하여 제작되었습니다. 이 소프트웨어가 실행 중인 전화를 SMS 텍스트 메시지로 원격 제어할 수 있습니다. 모든 명령은 사용자 몰래 자동으로 수신되고 즉시 삭제되며 결과는 SMS를 통해 발신자에게 반환됩니다.

W.Cyppy.gen

이름 W.Cyppy.gen
범주
릴리스 날짜 2009/08/06
업데이트 번호 1

8055로 프리미엄 SMS 메시지를 100건 보내어 사용자 계좌에서 요금을 이체하려고 시도하는 SMS 트로이 목마입니다. 이 SMS 주소는 많은 국가에서 유효하지 않습니다.

W.Duts.A

이름 W.Duts.A
범주
릴리스 날짜 2008/03/11
업데이트 번호 1

Duts는 Pocket PC용 개념 증명 바이러스입니다.

Duts.A는 Windows Mobile 운영 체제가 설치된 플랫폼에서 EXE 확장자를 가진 실행 파일만 감염시키는 바이러스입니다. 이런 파일만 감염시키기 위해, Duts.A는 EXE 파일의 마지막 섹션에서 코드 복사본을 만든 다음 진입점을 그 코드로 리디렉션합니다.
Duts.A는 시스템에서 특정 길이를 넘는 모든 실행 파일을 감염시키고 이런 실행 파일이 사용될 때 바이러스 코드가 실행되도록 진입점을 패치합니다.

W.FlxSpy

이름 W.FlxSpy
범주
릴리스 날짜 2008/04/29
업데이트 번호 1

Flexispy는 소매 스파이웨어 프로그램입니다. Flexispy는 장비에 실제로 액세스할 수 있는 사람이 설치합니다. Flexispy는 설치 후 허위의 설치된 애플리케이션 이름을 사용하고 애플리케이션 메뉴에는 나타나지 않음으로써 스스로를 숨기려 합니다.
스파이가 검사할 수 있는 서버로 SMS 메시지, 통화 정보 및 기타 중요한 정보를 누설할 수 있습니다.
일부 버전은 비밀 대화 내용을 스파이에게 누설할 수 있습니다.

W.FxSpFp

이름 W.FxSpFp
범주
릴리스 날짜 2008/04/29
업데이트 번호 1

Flexispy는 소매 스파이웨어 프로그램입니다. Flexispy는 장비에 실제로 액세스할 수 있는 사람이 설치합니다. Flexispy는 설치 후 허위의 설치된 애플리케이션 이름을 사용하고 애플리케이션 메뉴에는 나타나지 않음으로써 스스로를 숨기려 합니다.
스파이가 검사할 수 있는 서버로 SMS 메시지, 통화 정보 및 기타 중요한 정보를 누설할 수 있습니다.
일부 버전은 비밀 대화 내용을 스파이에게 누설할 수 있습니다.

W.FxSpVp

이름 W.FxSpVp
범주
릴리스 날짜 2008/04/29
업데이트 번호 1

Flexispy는 소매 스파이웨어 프로그램입니다. Flexispy는 장비에 실제로 액세스할 수 있는 사람이 설치합니다. Flexispy는 설치 후 허위의 설치된 애플리케이션 이름을 사용하고 애플리케이션 메뉴에는 나타나지 않음으로써 스스로를 숨기려 합니다.
스파이가 검사할 수 있는 서버로 SMS 메시지, 통화 정보 및 기타 중요한 정보를 누설할 수 있습니다.
일부 버전은 비밀 대화 내용을 스파이에게 누설할 수 있습니다.

W.Infojack.A

이름 W.Infojack.A
범주
릴리스 날짜 2008/04/21
업데이트 번호 1

어떤 웹 사이트로 중요한 정보를 누설합니다. 중국어 화자를 대상으로 "Little Games" 패키지를 통해 제공됩니다.
악성 구성 요소가 감염된 SD 카드를 통해 전파될 수 있습니다.

세부 정보: Windows CE 트로이 목마가 보안 설정 등급을 낮추고 추가 구성 요소를 다운로드합니다. 장비에서 서버로 정보를 누설합니다.
Infojack은 mobi.xiaomeiti.com의 운영자에 의해 또는 이 운영자를 위해 만들어졌을 가능성이 있는데, 중국 정부는 이 사이트를 폐쇄했습니다. Infojack의 목적은 중국어 Pocket PC 장비에서 장비 정보를 수집하는 것부터 시작하는 것으로 보였지만, 새 다운로드로 스스로 자동으로 업그레이드하는 기능을 포함했습니다. Infojack은 스스로를 백업 파일에서 복원하여 바이러스 검사에서도 스스로를 보존하려 시도합니다. 메모리 카드를 통해 스스로 전파되고 장비 웹 브라우저의 홈 페이지를 변경하기도 합니다. 감염 파일은 중국어 버전 Google 지도, 주식 거래 프로그램, (가장 흔히) 10가지 작은 게임 패키지와 같은 정당한 프로그램과 함께 설치됩니다.

W.LBooter.a

이름 W.LBooter.a
범주
릴리스 날짜 2010/08/16
업데이트 번호 1

장비가 올바로 다시 부팅되지 못하게 하는 HeRET Linux 부터의 한 버전입니다. 트로이 목마를 통해 설치됩니다.

W.Levar.a

이름 W.Levar.a
범주
릴리스 날짜 2011/05/19
업데이트 번호 1

AV 프로그램을 가장하지만, 실제로는 SMS 트로이 목마입니다.

W.Luanch.a

이름 W.Luanch.a
범주
릴리스 날짜 2010/08/16
업데이트 번호 1

전원 관리자, 시작 관리자 또는 다른 애플리케이션인 것처럼 가장하지만, 실제로는 SMS 트로이 목마로서 프리미엄 SMS 메시지를 보내어 사용자 계좌에서 해당 요금을 빼냅니다.

W.MobUn.a

이름 W.MobUn.a
범주
릴리스 날짜 2011/09/07
업데이트 번호 7

스스로 설치하여 시작할 때마다 실행되도록 합니다. 할증 요금이 붙는 번호로 SMS 메시지를 보내어 사용자 계좌에서 요금을 빼냅니다. 그 자신의 최신 버전을 다운로드하고 설치하려고 시도합니다.

W.PMCrypt.gen

이름 W.PMCrypt.gen
범주
릴리스 날짜 2010/08/20
업데이트 번호 1

서비스 거부 및 요금 사기

세부 정보: WinCE.PMCryptic.a는 Windows Mobile 장비에 영향을 주는 모바일 장비 웜입니다. 이 웜은 메모리 카드를 통해 전파되고 여러 가지 다양한 형태로 나타났는데, 이를 통해 본질적으로 다형성 웜일 수 있다는 생각을 심어줍니다. 이 웜은 사용자가 실행해도 무해하리라 믿도록 속이기 위해 폴더 아이콘으로 가장한 실행 파일로 나옵니다. 이 웜은 일단 실행되면 파일을 장비 디렉토리 구조의 루트로 드롭한 다음, 드롭된 파일 중 하나를 실행합니다. 드롭된 파일이 실행되면 다음 기능을 수행하는 5가지 다른 스레드를 시작합니다.
- 사용자 계좌로 대금이 청구될 할증 요금 번호로 전화 통화를 시작합니다.
- 실행 중인 애플리케이션에 대한 모든 입력을 비활성화하여 전화가 응답하지 못하게 합니다.
- 2초마다 시스템의 색상표를 바꾸어 결국 검은색 배경에 검은색을 사용하는 색상표로 설정하여 장비를 사용할 수 없게 합니다.
-장비의 이동식 미디어 카드를 검색합니다. 미디어 카드가 하나 발견되면 자신의 복사본을 미디어 카드 상에 자동 실행 파일로 드롭하여 미디어 카드를 다른 장비에 삽입할 때 실행되도록 합니다.
-장비에서 디렉토리 구조의 폴더를 검색합니다. 그런 다음, 폴더의 이름을 복사하고 폴더 속성을 "숨겨짐"으로 설정합니다. 폴더가 숨겨지고 난 후, 스스로를 해당 디렉토리로 해당 폴더 이름으로 복사하여 사용자가 그 "폴더"를 실행하도록 다시 속입니다.

 

W.Photoview.a

이름 W.Photoview.a
범주
릴리스 날짜 2010/09/28
업데이트 번호 1

Cell Phone Recon은 다중 플랫폼 스파이웨어 애플리케이션입니다.

Cell Phone Recon 스파이웨어는 iPhone을 제외한 모든 주요 스마트폰 플랫폼에서 작동하는 상업용 스파이웨어 애플리케이션입니다. Cell Phone Recon은 사용자에게 애플리케이션 아이콘을 표시하지 않는 방법으로 영향을 받는 각 플랫폼에서 스스로를 숨깁니다. 하지만 Cell Phone Recon은 애플리케이션 목록에는 "PhotoViewer"로 표시됩니다. Cell Phone Recon은 다음과 같은 스파이 기능을 제공합니다.

모든 수신/발신 SMS 메시지 모니터링
송수신 이메일의 내용 보기
모든 수신/발신/부재 중 통화 로그 기록
휴대폰 위치 모니터링 및 추적
포함된 이미지를 포함한 HTML 이메일 내용 보기


공격자가 특정 장비의 위치와 통신을 모니터링할 수 있도록, Cell Phone Recon은 모니터링을 수월하게 하기 위한 관리 웹 사이트를 제공합니다.

W.Redoc.gen

이름 W.Redoc.gen
범주
릴리스 날짜 2009/05/22
업데이트 번호 1

Redoc은 SMS 트로이 목마임

이 트로이 목마의 작동을 막는 다른 유효한 애플리케이션과 함께 번들로 제공될 수 있습니다. 그러나 Redoc은 SMS 메시지를 할증 요금 번호로 무단으로 보냅니다.

W.Sejweek.b

이름 W.Sejweek.b
범주
릴리스 날짜 2010/01/13
업데이트 번호 1

Sejweek는 인터넷에 액세스하고 SMS 메시지를 정기적으로 할증 요금 번호로 보내는 SMS 트로이 목마입니다.

WinCE/Sejweek.B는 “sejweek.bin”으로 명명된 Microsoft Cabinet 아카이브 파일로 배포됩니다. 다음 악성 구성 요소가 아카이브 파일에 포함됩니다.
sendservice.exe
setupdll.dll
“setupdll.dll”은 Windows Mobile 설치 프로세스에 의해 호출되는 동적 링크 라이브러리입니다. 이 악성 코드를 만든 이는 “sendservice.exe”를 “\temp\”에서 “\windows\”로 복사하기 위해 이 구성 요소를 만들었습니다. 그런 다음, 이 구성 요소는 설치 시 WinCE/Sejweek.B를 실행하는 프로세스를 만듭니다. “setupdll.dll”은 장비에 설치되지 않습니다.
“sendservice.exe”는 Microsoft .NET 실행 파일입니다. Microsoft .NET Compact Framework 2.0 이상을 장비에 설치해야 합니다.
WinCE/Sejweek.B는 레지스트리 키 HKLM\Init\Launch96을 만들고 실행 파일 이름을 부팅 시 실행하기 위한 값으로 추가합니다.
WinCE/Sejweek.B는 5분마다 현재 시간을 확인합니다. 현재 시간이 마지막 SMS가 전송된 시간보다 크고 현재 시간의 시가 11과 같거나 큰 경우 URL http://[removed].com/[removed]/get.php에 연결하여 XML 형식의 구성 파일을 가져옵니다. 이 파일에는 전화 번호, 메시지 본문, SMS 메시지를 보낼 간격이 포함되어 있습니다.
전화 번호와 간격은 구성 파일에 인코드된 형식으로 저장됩니다. 구성 값을 디코드한 후, WinCE/Sejweek.B는 자신과 같은 디렉토리에 “servicedata.dat” 파일을 만들고 전화 번호, 메시지 텍스트 및 간격을 이 파일에 저장합니다.
서버가 “전화” 요소(예: 잘못 인코드된 데이터)에 있는 잘못된 데이터를 보내는 경우 예외가 발생하여 WinCE/Sejweek.B가 종료될 수 있습니다.

W.Spybub.a

이름 W.Spybub.a
범주
릴리스 날짜 2010/02/24
업데이트 번호 1

Spy Bubble은 스텔스 GPS 추적 소프트웨어입니다. Spy Bubble은 (Mobile Spy와 같이) "스텔스" GPS 추적 및 다양한 모니터링/스파이 기능을 제공하는 시중의 다른 Android 추적 애플리케이션과 매우 유사합니다.

Spy Bubble은 다음 활동을 추적할 수 있습니다.

GPS 위치
장비에서 송/수신하는 SMS 메시지
호출 로그 보기

W.Terdial.gen

이름 W.Terdial.gen
범주
릴리스 날짜 2010/07/09
업데이트 번호 1

Terdial은 Windows Mobile 장비 쪽으로 향하는 트로이 목마 애플리케이션입니다.

세부 정보: Terdial은 두 가지 다른 형태로 나오는 트로이 목마 애플리케이션입니다. 첫 번째 형태는 "3D Anti-terrorist action"이라는 제목의 게임으로 가장합니다. 같은 트로이 목마의 다른 버전은 "Codec Pack for Windows Mobile 1.0"이라는 제목으로 나옵니다. 두 애플리케이션의 페이로드는 정기적으로 할증 요금 전화 번호로 몰래 전화를 겁니다.

Terdial은 다음 패키지로 나옵니다.

antiterrorist3d.cab
codecpack.cab

두 패키지 모두 장비에서 'smart32.exe'로 명명된 시스템 디렉토리에 추가 파일을 복사합니다.

장비가 감염되면 Terdial이 통화 간에 50초의 간격을 두고서 6가지 다른 할증 요금 번호로 전화를 겁니다. 이 트로이 목마의 새 버전에서는 이 통화 간격을 500초로 늘렸습니다. 다음은 식별된 번호입니다.

+8823460777
+17675033611
+88213213214
+25240221601
+2392283261
+881842011123
Terdial은 다음 알고리즘으로 설정되는 시간 간격을 사용하여 악성 코드가 할증 요금 전화를 거는 시간을 결정합니다.
시간 = (최초 실행일 + 3) 및 (최초 실행 시간 - [0-6 사이의 임의의 정수])
예를 들어 트로이 목마가 2010년 4월 13일 화요일 1415시에 처음 실행되고 임의의 정수가 4인 경우, 시간 폭탄은 2010년 4월 16일 금요일 1015시에 설정됩니다.
이 시간 폭탄이 사라지기 전에 애플리케이션이 다시 실행되는 경우 두 번째 시간 폭탄이 다음 달에 같은 시간으로 설정됩니다.
이후 실행을 위해 설정된 새 시간 폭탄 = (실행되는 달 + 1)
예를 들어 2010년 4월 13일 화요일 1422시에 두 번째 실행이 트리거된 경우 새 폭탄은 다음 달인 2010년 5월 13일 화요일 1422시로 설정됩니다.

 

W.Zitmo.b

이름 W.Zitmo.b
범주
릴리스 날짜 2011/03/09
업데이트 번호 1

Zitmo는 Windows 트로이 목마 ZeuS가 온라인 뱅킹 자격 증명을 훔치도록 돕기 위해 장비에 영향을 미치는 트로이 목마 애플리케이션입니다.
Zitmo는 피해자의 온라인 뱅킹 웹 사이트를 위한 로그인 자격 증명을 훔치는 데 능한 Windows 트로이 목마인 ZeuS와 함께 작동하는 최초의 모바일 트로이 목마 애플리케이션입니다. 공격의 Zitmo 부분은 피해자의 거래 은행으로부터 오는 SMS 인증 메시지를 가로채기 위해 감염된 장비의 SMS 통신 모니터링을 시도합니다.
수많은 금융기관들이 고객을 사기와 신분 도용으로부터 보호하기 위한 수단으로서 대역 외 인증 방법을 구현하기 시작했습니다. 구현된 방법 중 하나는 은행에서 고객이 금융 거래 및 관련 업무 수행을 위해 온라인 뱅킹 웹 사이트에 올바로 로그인하는 데 필요한 정보가 담긴 SMS 메시지를 고객의 모바일 장비로 보내는 것입니다.
Zitmo는 사용자가 자신의 전화 번호 및/또는 장비 모델을 누설하도록 속이기 위해 고안되었을 수 있는 소셜 엔지니어링 공격이 이루어진 후 대상 모바일 장비에 나타날 가능성이 있습니다. 그 최종 목표는 ZeuS가 사용자를 속여 은행과의 통신에 대한 유효성 검사를 위해 "보안 인증서" 또는 다른 수단으로 표현될 수 있는 애플리케이션을 장비에 설치하도록 하는 것입니다. Zitmo가 설치되고 나면, 트로이 목마가 이런 mTAN(모바일 거래 인증 번호)이 캡처된 SMS 메시지에 포함되어 있을 것이라 여기고 장비로 전송되는 모든 SMS 메시지를 캡처할 수 있습니다.
현재, mTAN은 대부분의 유럽 국가에서 인증을 위해 사용되므로, 지리적 영역을 기준으로 기술이 분리되어 있어 이 공격이 무위로 돌아가도록 할 수 있습니다.

W.jxSMSSpy

이름 W.jxSMSSpy
범주
릴리스 날짜 2010/10/15
업데이트 번호 1

사용자를 염탐하기 위해 악의적으로 사용할 수 있는 소매용 도난 방지 프로그램입니다. 장비에 실제로 액세스하는 누군가에 의해 설치됩니다.
"어떤 전화든 사용하여 설치된 소프트웨어를 모니터링할 수 있습니다. 또한, 도난 방지 추적 관리 사이트에 업로드된 정보를 모니터링할 수 있습니다."
위치, SMS 메시지 및 통화 정보를 웹 사이트로 누설합니다.
애플리케이션 메뉴에 나타나지 않습니다.
숨겨진 SMS 메시지를 통해 제어됩니다.