안녕하세요? 이스트시큐리티입니다. 지난해 8월 가짜 성인 앱으로 위장해 사용자 다운로드를 유도했던 안드로이드 스파이웨어 Triout이 이번에는 정상 앱에 숨어들었습니다. 1천만 건 이상 다운로드 된 프라이버시툴 “PsiPhon”에 악성 코드가 추가되었습니다. 서비스와 리시버 형태로 사용자 몰래 기기 정보는 물론 문자 탈취, 녹음 등 사생활을 완전히 감시하고 그 정보를 해커의 서버로 전송합니다. 본 분석 보고서에서는 'Spyware.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 악성코드 추가 원본 앱의 구조와 비교해 보면 마지막에 “psp” 클래스가 추가되었습니다. 특히, 매니페스트를 보면 리시버와 서비스들이 다수 추가된 것을 알 수 있고, 관련 권한과 인텐트들은 민감한..

악성코드 분석 리포트 2019. 2. 21. 17:49

BusyGasper spyware remained undetected for two years while spying Russians Kaspersky Lab의 보안 연구원들이 2년 동안이나 발각 되지 않고 숨어있었던 새로운 안드로이드 악성코드를 발견해 BusyGasper라 명명했습니다. BusyGasper 안드로이드 스파이웨어는 2016년 5월부터 활동해왔으며, 스파이웨어에 잘 사용하지 않는 기능을 구현했습니다. 연구원들은 이를 기기 센서 리스너와 같은 눈에 띄는 기능들을 탑재한 독특한 스파이웨어라 설명했습니다. BusyGasper는 모든 기기의 센서들을 스파잉하고 GPS/네트워크 추적을 활성화 할 수 있으며, 특정 문자열이 포함 된 SMS를 수신할 경우 여러 초기 명령어를 실행할 수 있습니다. 이 악..

국내외 보안동향 2018. 9. 3. 15:00

얼마 전, 고도로 진화된 강력한 안드로이드 스파이툴이 발견되었습니다. 공격자가 해당 툴을 이용하면, 취약한 기기를 원격으로 완전히 제어할 수 있습니다. 스카이고프리(Skygofree)라는 이름을 가진 이 스파이웨어는 표적 감시를 위해 제작되었으며, 지난 4년 간 수많은 사용자를 공격한 것으로 추정됩니다. 카스퍼스키랩에 따르면, 2014년부터 스카이고프리는 이전에 볼 수 없었던 새로운 몇 가지 기능을 추가하여 공격을 진화시켰습니다. 이 ‘획기적인 새로운 기능’에는 마이크로폰을 이용한 위치 기반 음성 녹음, 안드로이드 접근 서비스를 이용한 왓츠앱 메시지 탈취, 공격자가 제어하는 악성 와이파이 네트워크에 연결 등이 있습니다. 카스퍼스키 텔레메트리 데이터에 따르면, 공격자들은 모바일 네트워크 운영자로 위장하여 ..

국내외 보안동향 2018. 1. 18. 09:00

ANDROID SPYWARE LINKED TO CHINESE SDK FORCES GOOGLE TO BOOT 500 APPS 최근 구글플레이에서 500개의 앱들이 삭제되었는데, 그 앱들 안에는 사용자 몰래 스파이웨어를 설치할 수 있는 광고 SDK가 내장되 있었습니다. lgexin이라 명명 된 이 광고 SDK는 중국 회사가 개발했으며, 기기에서 로그를 추출할 수 있는 악성코드를 설치하는데 사용되었을 수 있습니다. 보안 연구원들은 지난 월요일 lgexin SDK를 포함한 500개 이상의 안드로이드 앱들이 1억 회 이상 다운로드 되었다고 밝혔습니다. 하지만 이 모든 앱들이 스파이웨어에 감염 된 것은 아니라고 말했습니다. 5천만 ~ 1억회 이상 다운로드 된 앱은 10대들을 위해 개발 된 게임 앱이며, lgexin..

국내외 보안동향 2017. 8. 23. 15:12

Google experts blocked a new targeted malware family, the Lipizzan spyware 구글이 새로운 안드로이드 악성코드인 Lipizzan 스파이웨어를 발견했습니다. 이 악성코드는 강력한 모니터링 툴로 사용될 수 있는 것으로 확인되었습니다. Lipizzan 스파이웨어는 이스라엘의 스타트업인 Equus Technologies가 개발한 프로젝트로, 자신들을 다음과 같이 소개하고 있습니다. “Equus Technologies는 법 집행부, 정보 기관 및 국가 보안 기관을 위한 맞춤형 혁신 솔루션을 개발하는 기업입니다.” 전문가들은 Google Play Protect 기술을 이용해 다른 위협들을 조사하던 중 Lipizzan 스파이웨어 샘플을 발견하였습니다. 구글은 ..

국내외 보안동향 2017. 7. 31. 17:04

수 천대 리눅스 장비를 프록시 서버로 둔갑시키는 새로운 트로이목마 발견돼New Trojan Turns Thousands Of Linux Devices Into Proxy Servers 새로운 트로이목마가 발견되었습니다. 프록시 공격자가 해킹한 시스템에서 사이버 공격을 실행할 때, 리눅스 기반의 장비들을 그들의 신상을 숨기는데 사용하는 서버로 둔갑시키는 것으로 나타났습니다. Linux.Proxy.10로 불리는 이 트로이목마는 러시아 보안 회사인 Dr.Web이 지난해 말 처음 발견했습니다. 이후 그들은 올 1월 말, 손상된 수천대 장비들을 발견했습니다. 해당 공격은 계속 진행되고 있으며, 더욱 많은 리눅스 장비들을 노리고 있는 것으로 밝혀졌습니다. 연구원들에 따르면 이 악성코드 자체에는 리눅스 머신들을 해킹..

국내외 보안동향 2017. 1. 30. 09:00

Spyware. Banker. Dridex 이메일을 통한 공격은 과거부터 성공률이 매우 높은 공격 방법 중 하나입니다. 얼마 전 크게 이슈가 되었던 국가시설의 악성코드를 비롯해, 2013년에 성행했던 카드명세서 위장 악성코드 링크 첨부 메일, 뉴스에 자주 보도되는 한글문서 취약점 악용 메일 등 이메일 공격은 매년 크고 작은 보안 사고에 시발점이 되었습니다. 이메일 공격의 감염 방식은 다양합니다. 하나는 악성코드 실행파일을 메일에 직접 첨부하는 기본적인 방법입니다. 또는 메일 내에 악성코드가 감염될 수 있는 웹링크를 삽입합니다. 첨부되는 파일 또한 다양한데, 사용자 PC 취약점을 통해 악성 실행파일이 설치되는 문서 파일을 보내기도 합니다. 한편, 최근 외국계 은행을 대상으로 여러 악성행위를 할 수 있는 이..

악성코드 분석 리포트 2015. 3. 2. 15:03

Spyware.PWS.KRBanker.M 최근 사이버 공격 동향을 살펴보면 다양한 종류의 공격이 행해지고 있습니다. 국가간의 사이버 전쟁, 산업시설 공격, 온라인게임 계정 탈취, 금융 정보 탈취, 랜섬웨어 등이 그것인데요. 그 중에서도 금전적인 목적을 위하여 사이버 공격을 시도하는 것은 이미 수년 전부터 행해져 왔었으며, 현재도 매우 활발히 진행 중에 있습니다. 대표적으로 운영체제의 호스트 파일을 변조하여, 공격자가 미리 제작해 둔 가짜 사이트로 유도 후 개인정보를 탈취하는 방식, 파밍(Pharming)이라는 수법을 들 수 있겠습니다. 최근에는 이러한 파밍 기법도 진화하고 있습니다. 기본적인 방법은 운영체제의 DNS캐쉬를 초기화 시키고 호스트 파일을 변조하여 공격자가 미리 제작해 둔 사이트로 사용자를 유..

악성코드 분석 리포트 2014. 10. 27. 13:34