안녕하세요. 이스트시큐리티입니다.
최근 ‘최신영화 TV 다시보기’로 위장한 악성앱이 국내 포털 사이트의 블로그 서비스를 통해 유포되는 정황이 포착되어 이용자들의 주의를 당부 드립니다.
[그림 1] 블로그 서비스를 통해 유포되는 악성앱
‘무료TV.apk’는 ‘무료TV’라는 이름으로 설치가 이루어지며, ‘문자 메시지 수정 및 읽기, SMS 메시지 보내기’ 등의 TV 시청과 무관한 설치권한(Permission)을 요구하고 있습니다.
[그림 2] 무료TV 설치 화면
이용자가 ‘무료TV’에 현혹되어 설치 및 실행을 하면 ‘TV다시 보기 사이트’를 웹뷰(Web-View)로 보여줍니다. 하지만 이는 이용자들을 안심시키기 위한 속임수이며, 실제로는 공격자 서버(C&C)로 감염 기기 내 저장된 수신된 메시지 정보 등을 전송하는 기능을 수행되고, 그 결과 개인 정보가 유출될 수 있습니다.
[그림 3] 이용자를 안심시키기 위한 웹뷰 화면
[그림 4] 수신 메시지 정보 전송 코드
한편 공격자를 추적하던 도중, 상기 사례와 동일하게 최신영화 및 드라마를 다시 볼 수 있는 사이트로 위장된 도메인에서 악성앱을 유포하고 있는 점을 포착하였습니다.
[그림 5] 다시보기 사이트로 위장된 사이트
또한 SNS에서 ‘대출 홍보’를 미끼로 악성앱을 유포하는 정황도 확인되었습니다.
[그림 6] 대출로 위장된 사이트의 이미지
발견된 앱들 모두 실제로 구글 플레이에 등록되어 있으며, 공격자는 ‘최신영화 및 드라마 다시보기’나 ‘대출’같이 이용자들이 관심 많은 주제를 노린 것으로 보입니다. 이렇듯 공격자는 국내외 사회 및 대중 트렌드를 잘 파악하고 있으며, 이와 유사한 공격을 추가적으로 할 수 있기에 주의가 필요합니다.
따라서 이용자들은 아래의 모바일 보안 수칙을 지킬 수 있도록 당부 드립니다.
※ 알약 안드로이드와 같이 신뢰할 수 있는 모바일 백신 애플리케이션을 설치하고, 정기적으로 검사하기
※ 출처가 불분명한 경로를 통해 APK 앱 설치하지 않기
※ 관련 글 :
- 스마트폰에도 백신이 필요한가요? 모바일 보안, 우리가 꼭 지켜야 할 몇 가지 (▶바로가기)
현재 스마트폰 보안 앱 ‘알약 안드로이드’ 제품에서는 관련 악성앱들을 ‘Trojan.Android.HiddenApp’로 진단 및 치료하고 있습니다.
Trojan.Ransom.Sage 악성코드 분석 보고서 (0) | 2017.07.24 |
---|---|
라자루스 위협조직, 비트코인 관련 내용으로 진행 중인 APT 공격 주의 (2) | 2017.07.03 |
이력서 검색기로 위장한 악성코드, 토렌트를 통해 유포중! (0) | 2017.06.13 |
Erebus 랜섬웨어 초동분석 보고서 (0) | 2017.06.13 |
국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 (0) | 2017.06.12 |
댓글 영역