안녕하세요? 이스트시큐리티입니다. DNS 하이재킹을 이용한 안드로이드 악성 앱이 등장하였습니다. DNS 하이재킹은 라우터를 공격하여 사용자가 정상 사이트 접속 시 악성 사이트로 리다이렉트 되도록 합니다. 이후 페이스북, 크롬 등 유명한 앱으로 위장한 악성 앱을 사용자가 설치하도록 유도합니다. 사용자의 통화 내용을 녹음하고 설치된 은행 앱, 게임 앱 등과 관련된 정보들을 탈취합니다. 특히, C&C서버의 주소를 감추기 위해서 중국 사이트 파싱을 통해 주소를 수신하고 10개 이상의 원격 명령을 통해서 사용자의 기기를 실시간 제어합니다. 본 분석 보고서에서는 “Roaming Mantis”를 상세 분석하고자 합니다. 악성코드 상세 분석 1) 악성 행위 유지를 위한 장치가. 아이콘 숨김지속적인 악성 행위를 위하여 ..

악성코드 분석 리포트 2018. 5. 24. 17:00

RedDrop, a new Android Malware records ambient Audio and exfiltrate user’s data 최근 발견 된 모바일 악성코드인 RedDrop이 감염 된 기기로부터 데이터를 훔치고, 주변의 오디오를 녹음하는 것으로 나타났습니다. 감염 된 기기에서 훔친 모든 데이터는 원격 파일 저장 시스템으로 업로드 됩니다. 이 악성 코드는 이미지 에디터, 계산기, 언어 학습 앱, 우주 탐험 앱 등 무해해 보이는 안드로이드앱들 53개에서 발견 되었습니다. 이 어플리케이션들은 예상한 대로 동작하며, RedDrop 악성코드는 백그라운드에서 실행 됩니다. 일단 감염 된 앱이 설치 되면, 서로 다른 C&C 서버에서 최소 7개의 안드로이드 어플리케이션 패키지(APK)들을 다운로드합니다..

국내외 보안동향 2018. 3. 6. 09:46

모바일 기기 보안의 시작, 기기 잠금 미래창조과학부 통계자료에 의하면, 2016년 12월 초고속 인터넷 가입자수는 약 2천만(20,555,683)명, 이동전화 LTE 가입자는 약 4천 6백만(46,310,262)명이며, 무선데이터 트래픽도 꾸준히 증가하는 추세입니다. 스마트폰과 태블릿 또는 안드로이드와 iOS로 대표되는 모바일 기기들은 휴대성과 다양한 기능을 제공하는 앱을 무기로 이 시대의 생활 필수품으로 자리잡았습니다. 스마트폰으로 날씨를 확인하고, 앱을 이용해서 버스가 도착하는 시간에 맞춰 집을 나서고, 네비게이션 앱이 알려주는 길로 운전을 하고, 음악을 듣고, 동영상을 감상하고, 은행 거래를 하고, 쇼핑을 하고, 소셜네트워크 서비스(SNS)나 카카오톡으로 소통하는 모습은 주변에서 흔히 볼 수 있습니..

전문가 기고 2017. 6. 12. 20:13

Trojan.Android.FakeApp Trojan.Android.FakeApp 악성 앱은 알약 안드로이드와 카카오 사이트를 사칭하는 형태로 유포되고 있었습니다. PC에서 PC 웹 브라우져로 해당 URL을 접속할 경우 정상적인 카카오 사이트로 리다이렉트하지만, 아래 그림과 같이 공격 대상인 모바일을 타깃으로 모바일 웹 브라우져의 User-Agent가 확인된 경우에는 웹 브라우져 오류인 것처럼 사용자를 속여 해당 악성 앱 설치를 유도합니다. [그림 1] 사용자에게 악성 앱 설치 유도를 위한 경고 창 본 악성 앱은 실행 시 앱의 아이콘을 숨기고 서비스 형태로 악의적인 행위를 수행하며, 감염된 기기의 사용자 개인정보, 기기정보들을 탈취하는 행위를 합니다. 이번 분석 보고서는 알약 안드로이드 사칭 앱에 대한 ..

악성코드 분석 리포트 2017. 1. 20. 10:13

안드로이드 기반 스마트 티비들, 악성 앱을 통한 백도어에 공격 받아Android-based Smart TVs Hit By Backdoor Spread Via Malicious App 최근 많은 소비자들이 집에 스마트 장비들을 가지고 있습니다.이 중 가장 인기 있는 IoT 장비는 스마트 TV일 것입니다.이 TV들은 단순한 수동적 디스플레이 장치가 아니라, 일부는 안드로이드 앱을 실행할 수도 있습니다.해당 기능들은 유용하게 사용될 수도 있지만, 위험도 함께 따릅니다. 이런 앱 들은 다른 나라의 채널을 시청할 수 있게 하는 등 매우 유용하지만,일부 앱들은 유저들을 위험에 빠트릴 수도 있습니다.이러한 앱들은 롤리팝 5.0 이전의 안드로이드 버전에 존재하는 오래된 취약점인CVE-2015-7911을 악용하는 백도어..

국내외 보안동향 2016. 1. 9. 09:00

점점 진화하고 있는 파밍수법에 대처하는 방법 지난 포스팅을 통해, 금융감독원을 사칭한 파밍수법에 대해 소개해드린 적이 있습니다. (지난 포스팅 참고 ▶ http://blog.alyac.co.kr/285) 파밍이란?주소창의 url은 정상이지만 공격자가 만들어 놓은 가짜 사이트로 연결되는 악성기법입니다. 이러한 파밍에는 다양한 수법이 있으며, 점차 교묘하게 진화하고 있습니다. 이에 대처하기 위해 최근 가장 빈번하게 발생하고 있는 파밍 수법을 알약 블로그를 통해 소개해 드립니다. 파밍수법 상세 분석 1. 파밍 사례 1) 금융감독원 팝업창을 띄워 사용자들의 금융정보 입력 유도 2) 보안이 취약한 무선 공유기를 사용하여 인터넷 접속 시, 크롬이나 플래시 플레이어 등의 앱 업데이트를 위장한 악성 앱 다운로드 정식 ..

전문가 기고 2015. 5. 18. 13:17

Spyware. Android. PowerOffHijack Poweroffhijack은 중국에서 발견된 악성 앱으로 중국 안드로이드폰 사용자를 대상으로 동작하는 악성앱입니다. 이 악성앱의 특징은 사용자가 스마트폰의 전원을 차단해도 악성앱이 동작하여 지속적으로 사용자의 정보를 수집하는 행위를 한다는 것입니다. 최초로 발견된 것은 2014년 11월경으로, 중국에서 발견되었습니다. Power-offhijack 악성앱은 기기의 power 상태 변화를 감시합니다. reboot이나 shutdown등의 요청 시 화면만 검은색으로 바꾸어 기기의 전원이 off 상태인 것처럼 위장하여 사용자를 속이는 행위를 합니다. 이후 사용자의 개인 정보를 지속적으로 탈취합니다. 초기의 Poweroffhijack은 몇 가지 제약이 있어..

악성코드 분석 리포트 2015. 5. 11. 11:17