<Fig1. JTBC>


최초 기사 : 오마이뉴스 - 국정원, '무료 앱' 미끼로 일반인 전방위 사찰 의혹

http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002127936&PAGE_CD=ET001&BLCK_NO=1&CMPT_CD=T0016


이후 JTBC 보도 : 무료앱에 숨은 감청SW…국정원, 불특정 다수 위치추적

http://news.jtbc.joins.com/article/article.aspx?news_id=NB10965936



기사 내용 : <오마이뉴스>가 16일 김광진 새정치민주연합 의원실로부터 단독 입수한 자료를 분석한 결과, 이 블로그의 운영자는 '김동현'(DONG-HYEON KIM)이라는 사람이다. 김씨는 이 블로그 계정을 통해 구글 플러스를 이용했다. 그는 구글 플러스로 안드로이드 스마트폰용 TV, 영화, 애니메이션, 일본드라마 앱을 소개하는 사이트를 공유했다. 


오마이뉴스와 JTBC에서 주장하는 논리라면 이 사람도 같은 인물이다.


https://www.virustotal.com/ko/user/devildevil1004/



<Fig2. JTBC>



기사 내용 : 겉보기에는 일반 앱으로 보이지만, 속에는 무서운 기능이 숨어 있다. 김광진 의원실이 컴퓨터 공학 전문가와 함께 이 앱 사이트에 올라온 앱 중 '영화천국'을 다운받아 분석한 결과, 이 앱에는 ▲ GPS 현재위치 좌표 추적 ▲ 오디오 녹음 ▲ 카메라 촬영 ▲ 데이터를 특정한 주소로 송신할 수 있는 스파이웨어가 숨어 있었다.



<Fig3. blog link>



기사 내용 : 익명을 요구한 이 전문가는 <오마이뉴스>와 한 통화에서 "앱을 살펴보니 리버싱(소스코드 분석)을 방어하기 위해서 스파이웨어 코드를 철저하게 위장해놨다"며 "스파이웨어 소스코드를 분석한 결과 이 앱이 설치된 스마트폰은 실시간 위치 정보를 특정한 주소로 전송하게 돼 있었다"고 밝혔다. 


또한 그는 "언제든지 누구나 스파이웨어가 숨어 있는 스마트폰으로 실시간 녹음을 할 수 있고 카메라도 주기적으로 찍어서 특정 서버로 전송하게 돼 있다"고 설명했다.




<Fig4.  trace GPS>




<Fig5.  영화천국 1.5.1>



직접 수집한 샘플


파일 이름 : movie-v1.5.1.apk

파일 크기 : 2,785,810 byte

파일 MD5 : e6463c3e4c53addf7daf77e91fbee9c4


AndroidManifest.xml 내용 (PC로 보세요)




	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
		
			
				
				
				
				
			
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
			
				
				
			
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
		
	


안드로이드 보안 아키텍처상 앱에 권한이 설정되지 않으면 관련 데이터를 가져올 수 없다.


GPS관련 데이터를 사용하려면 ACCESS_FINE_LOCATION 가 필수적으로 선언되어야 한다.


http://developer.android.com/reference/android/Manifest.permission.html



<Fig6.  GPS permission>


주장하는 샘플에는 어딜봐도 해당 권한이 없다.


판단은 알아서

Posted by kkoha :