안녕하세요? 이스트시큐리티입니다. 몸캠 피싱을 이용한 안드로이드 악성 앱이 다시 기승을 부리고 있습니다. 몸캠 피싱은 음란한 화상 채팅을 빌미로 악성 앱 설치를 유도합니다. 해당 악성 앱은 몸캠을 진행하는데 필요한 필수 앱으로 사용자를 속이고 사용자의 기기에 저장된 전화번호부를 탈취, 이를 통하여 ‘사용자의 몸캠 이용 사실’을 지인들에게 알리겠다고 협박하여 금전을 갈취합니다.본 분석 보고서에서는 ‘Trojan.Android.InfoStealer’를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 유명 앱 사칭사용자를 속이기 위해서 ‘카카오스토리’ 아이콘을 사용하고, 앱 명으로 ‘Support’를 사용합니다. [그림 1] 유명 앱 사칭 2. 권한 요구사용자 기기의 SDK 버전을 확인하고, 그 버전이 23..

악성코드 분석 리포트 2018. 6. 21. 11:41

Pre-installed malware found in 141 low-cost Android devices in over 90 countries 연구원들이 90개국 이상의 저가형 안드로이드 기기 141대에서 선 탑재 된 악성코드를 발견했습니다. 이는 지난 2016년 12월 한 범죄 조직이 이동 통신사의 공급망을 손상시켜 모바일 기기들을 악성코드에 감염 시킨 것과 관련이 있는 것으로 나타났습니다. 전문가들은 이와 동일한 범죄 조직이 여전히 활동 중이며 Cosiloon이라 명명 된 악성코드를 다른 기기들에 주입하고 있다고 추측했습니다. 연구원들은 90개국 이상에서 감염 된 기기를 발견했으며, 이들 모두는 Mediatek 칩셋을 사용중이었습니다. 하지만 MediaTek은 이 감염 사건의 주요 원인이 아닙니다...

국내외 보안동향 2018. 5. 28. 15:35

금융기관 앱을 사칭하여 기기정보 및 뱅킹 관련 정보들을 탈취하는 악성앱 변종이 지속적으로 확인되고 있습니다. 2013년 이후 그 수량이 감소하였지만 여전히 꾸준히 발견되고 있으며, 그 수법 또한 점점 정교해 지고 있습니다. 일단 이러한 악성앱에 감염되면 중요 금융정보들을 탈취당하여 큰 피해를 입을 수 있는 만큼 사용자들의 각별한 주의가 필요합니다. 기존 악성 뱅킹앱들은 은행들을 사칭하여 기기정보 및 뱅킹 관련 정보들을 사용자가 직접 기입하도록 유도하여 탈취 했습니다. 하지만 최근의 악성 뱅킹앱들은 사용자의 직접적인 행동 없이도 주소록, 문자 메세지를 몰래 탈취하고, 특정 대부업체로 전화를 걸면 이를 자동으로 가로채게 하여 공격자가 원하는 번호로 변경하는 행위를 하기 때문에 사용자가 알아차리기 어려워졌습니..

악성코드 분석 리포트 2018. 3. 21. 11:43

Pre-Installed Malware Found On 5 Million Popular Android Phones 보안 연구원들이 이미 전 세계 5백만대에 가까운 모바일 기기들을 감염 시킨 대규모 악성코드 캠페인을 발견했습니다. RottenSys라 명명 된 이 악성앱는 ‘System Wi-Fi Service’앱으로 위장하고 있으며 Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung, GIONE에서 생산 된 새 스마트폰 수 백만 대에 공급 망 어딘가에서 선 탑재 되어 출고되고 있었습니다. 이에 영향을 받은 모든 기기들이 중국 항저우의 모바일 기기 배포업체인 Tian Pai를 통해 배송 되었지만, 연구원들은 이 회사가 직접적으로 이 캠페인에 참여했는지 여부는 정확히 알 수 없었다고 ..

국내외 보안동향 2018. 3. 16. 16:37

Sophos는 최근 마이닝 스크립트가 포함된 19개의 앱들을 구글플레이에서 발견하였습니다. 이 앱들은 사용자 모르게 Coinhive 스크립트를 로드합니다. 해당 앱들 분석한 결과, App제작자들은(동일인물 혹은 동일 조직) Coinhive JavaScript 마이닝 스크립트를 app의 /assets 폴더 내 HTML 안에 숨겨놓았습니다. 사용자들이 해당 app을 실행한 후 WebView브라우저를 열면 해당 악성스크립트가 함께 실행됩니다. 만약 브라우저의 실행여부가 app에서 인증되지 않은 경우, WebView모듈은 숨겨져 보여지지 않으며, 이때 악성스크립트는 백그라운드에서 실행되게 됩니다. 만약 app이 신문리더기 혹은 교육일정 확인 기능을 한다면, Coinhive 브라우저 JavaScript 마이닝 코..

국내외 보안동향 2018. 2. 19. 13:28

최근 구글플레이에서 Swift Cleaner이라는 앱을 위장한 안드로이드 악성코드가 발견되었습니다. 이 악성코드는 Kotlin언어로 제작된 최초의 안드로이드 악성앱입니다. 이 악성앱은 사용자 디바이스를 감염시킨 후 끊임없이 광고를 띄울 뿐만 아니라, 원격명령을 실행하고 정보탈취 등 각종 악성행위를 합니다. 여기에서 주의해야할 점은, 이 악성앱이 SMS서버 중 CAPTCHA를 우회하는 기술을 포함하고 있다는 점입니다. 지금까지 발견된 안드로이드 악성코드들은 모두 Java로 제작되었습니다. 하지만 Kotlin은 안드로이드의 두번째 개발 공식언어가 된 만큼, 안드로이드 악성코드가 Kotlin언어로 제작된 것이 그렇게 신기한 것은 아닙니다. 많은 사람들이 몇년 후에는 안드로이드 앱들이 Kotlin으로 개발될 것..

국내외 보안동향 2018. 1. 17. 16:39

2017년 12월 초, 구글 플레이에서 사용자가 의도하지 않은 작업을 실행하는 36개의 악성앱이 발견되었습니다. 이 앱들은 Security Defender, Security Keeper, Smart Security, Advanced Boost 등 스캐닝, 정크 클리닝, 배터리 절약, CPU 쿨링, 앱 잠금, 메시지 보안, WiFi 보안 등 여러 기능이 포함된 휴대폰 관리 앱으로 위장하여 유포되었습니다. 앱들은 실제로 이러한 기능을 수행하는 동시에 사용자 정보, 사용자 위치 정보 등을 비밀리에 수집하여 다량의 광고를 띄웠습니다. 공격분석 악성앱 설치 후 기기를 실행하면, 처음에는 목록에도, 바탕 화면에도 해당 앱이 보이지 않습니다. 앱이 숨겨져 있기 때문에, 사용자는 앱에서 전송하는 알림만 볼 수 있는 것..

국내외 보안동향 2018. 1. 4. 17:57

최근 카스퍼스키가 모바일 백신과 성인 앱을 위장하고 있는 새로운 안드로이드 악성코드를 발견하였습니다. 해당 악성앱의 주요 악성행위는 가상화폐 채굴 및 DDoS 공격입니다. 이번에 발견된 악성앱은 Loapi라 명명되었으며, 짧은시간 내 수많은 디바이스들을 감염시켰으며, 해당 악성앱에 감염된 휴대폰들은 2일 내 베터리가 부풀어오르는 증상이 발생할 수 있습니다. Loapi는 모듈과 구조를 띄고 있으며, 이를 통해 가상화폐 채줄, DDoS 공격, 웹 방문 트래픽 리다이렉션 등 다양한 악성행위를 할 수 있습니다. 이는 2015년에 발견된 Podec과 유사하다고 밝혔습니다. 당시 악성코드 제작자들은 Podec 악성코드를 이용하여 AoC와 CAPTCHA를 우회하여 사용자들 몰래 유료정보구독을 신청하여 금전적인 피해를..

국내외 보안동향 2017. 12. 22. 10:05