안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 일반 사용자들의 스마트폰을 장악해 문자, 녹음, 갤러리 등등 사생활을 몰래 감시하고 정보를 탈취하는 악성 앱은 꾸준하게 발견되고 있습니다. 최근 분석을 어렵게 하기 위해 다양한 방법을 사용한 앱을 발견하였으며, 해당 앱 설치 시 개인정보 유출 및 원격제어가 가능합니다. 여기서 유출된 계정과 기타 정보들은 판매되거나 또 다른 피해를 발생시킬 수 있습니다. 기존 크롬 브라우저 아이콘으로 위장했던 악성 앱은 현재 한국의 우체국과 라인 앱 등으로 위장하고 있습니다. 또한 앱 실행 시 별다른 화면이 나타나지 않고 앱 목록에서 숨김 처리가 이루어집니다. 위의 분석에서 앱 실행 시 화면이 나타나지 않았지만, 이 또한 웹 사이트에 있는 텍스트를 참고하여..

악성코드 분석 리포트 2021. 10. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 안드로이드의 웹 뷰 기능을 통해서 특정 성인 사이트를 로드합니다. 기기의 전화번호 정보를 수집하며 주소록, 통화목록, 문자 관련 개인 정보를 xml 파일로 저장하고 압축 후 C&C 서버로 탈취합니다. [그림] C&C로 탈취되는 정보 해당 악성 앱은 성인 앱으로 속이며 개인 및 기기와 관련된 다양한 정보를 탈취합니다. 따라서 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 악성 앱을 ..

악성코드 분석 리포트 2020. 1. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 한국에 몸캠 피싱앱이 등장하기 시작한 2013년부터 최근까지 몸캠 피싱앱은 은밀하고 꾸준하게 유포되고 있습니다. 몸캠 피싱은 스마트폰 채팅 어플(랜덤채팅)을 통해 피해자를 찾으며 음란 화상 채팅을 유도하여 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성앱 설치를 유도하여 지인의 연락처를 탈취한 후 음란행위 영상을 지인에게 유포하겠다는 협박을 통해 금전을 갈취 합니다. 이런 공격 과정은 체계적인 프로세스를 따르는 것으로 파악 되며 공격을 원할 하게 수행할 수 있도록 조직을 체계적으로 구성하여 역할에 따라 공격을 수행하고 있습니다. 공격자들이 조직까지 구성하며 꾸준하게 몸캠 피싱을 시도하는 이유는 결국 돈이 되기 때문일 것입..

악성코드 분석 리포트 2019. 10. 22. 09:00

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어의 취약한 보안으로 인하여 플레이스토어를 통한 악성앱 유포가 빈번하게 발생하고 있습니다. 안드로이드를 사용하는 유저수가 많다는 것을 고려하면 매우 위험한 상황입니다. 이렇게 유포되는 악성앱의 목적은 정보 탈취, 스파이 행위, 금전 갈취 등으로 다양합니다. Trojan.Android.InfoStealer는 피해자의 스마트폰을 통한 암호화폐 탈취가 목적이며 탈취한 암호화폐를 금전으로 환전합니다. 2017년부터 세계적으로 암호화폐 열풍이 불어 많은 사람들이 암호화폐 거래를 시작하는 계기가 되었습니다. 이와 함께 해커들은 암호화폐를 노리는 공격을 시도하거나 랜섬웨어를 유포 후 피해자의 파일을 암호화하고 암호 해제 대가로 암호화폐를 요구하고 있습니다. 해커들이 암..

악성코드 분석 리포트 2019. 3. 25. 08:30

First Android Clipboard Hijacking Crypto Malware Found On Google Play Store 한 보안 연구원이 공식 구글 플레이 스토어에서 사용자들로부터 은밀히 비트코인 및 가상 화폐를 훔치도록 설계 된 크립토 악성코드를 발견했습니다. “Clipper”라 명명 된 이 악성코드는 합법적인 가상화폐 앱으로 위장하고, 안드로이드 클립 보드에 복사 된 가상화폐 지갑 주소를 공격자의 것으로 바꿔치기 하는 방식으로 동작합니다. 가상화폐 지갑 주소는 보안상의 이유로 긴 문자열의 형태로 만들어지기 때문에, 사용자들은 직접 타이핑하기 보다 클립보드를 이용해 복사/붙여넣기를 선호합니다. 이 악성코드는 사용자의 이러한 동작을 악용합니다. 공격을 위해, 먼저 공격자들은 사용자들이 정..

국내외 보안동향 2019. 2. 12. 11:33

안녕하세요? 이스트시큐리티입니다. 몸캠 피싱을 이용한 안드로이드 악성 앱이 다시 기승을 부리고 있습니다. 몸캠 피싱은 음란한 화상 채팅을 빌미로 악성 앱 설치를 유도합니다. 해당 악성 앱은 몸캠을 진행하는데 필요한 필수 앱으로 사용자를 속이고 사용자의 기기에 저장된 전화번호부를 탈취, 이를 통하여 ‘사용자의 몸캠 이용 사실’을 지인들에게 알리겠다고 협박하여 금전을 갈취합니다.본 분석 보고서에서는 ‘Trojan.Android.InfoStealer’를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 유명 앱 사칭사용자를 속이기 위해서 ‘카카오스토리’ 아이콘을 사용하고, 앱 명으로 ‘Support’를 사용합니다. [그림 1] 유명 앱 사칭 2. 권한 요구사용자 기기의 SDK 버전을 확인하고, 그 버전이 23..

악성코드 분석 리포트 2018. 6. 21. 11:41

Dangerous Mobile Banking Trojan Gets 'Keylogger' to Steal Everything 최근 보안연구원들이 키로거 기능이 추가된 안드로이드 뱅킹 악성코드를 발견했습니다. 연구원들은 지난 달 중순 Svpeng라는 안드로이드 뱅킹 악성코드의 변종을 발견했으며, 여기에는 Accessibility Service를 악용하는 새로운 키로거 기능이 포함되어 있는 것을 확인하였습니다. 안드로이드 악성코드, 키로깅 기능 추가를 위해 ‘Accessibility 서비스’ 악용해 Svpeng의 새로운 버전에서는 키로거 추가를 위해 안드로이드의 Accessibility 서비스를 악용하였습니다 이는 사용자들에 스마트폰 기기와 상호작용 할 수 있는 대체 방법을 제공해주는 안드로이드의 기능입니다...

국내외 보안동향 2017. 8. 2. 16:10

SMSVova 스파이웨어를 숨긴 가짜 앱, 구글 플레이 스토어에서 수년 동안 탐지되지 않아Fake app hiding a SMSVova spyware went undetected for years in the Google Play Stores 최근 보안 전문가들은 정식 앱으로 가장한 가짜앱 "System Update"를 발견했습니다. 해당 앱은 최신 안드로이드 소프트웨어 릴리즈를 제공한다며 사용자들을 현혹하고 있습니다. SMSVova 가짜앱은 지난 2014년 구글 플레이 스토어에 업로드되었으며, 지금까지 1백만~5백만회의 다운로드 수를 기록했습니다. 보안 전문가들은 해당 앱을 구글에 제보했으며, 구글은 즉시 구글 스토어에서 이를 삭제했습니다. SMSVova 스파이웨어는 사용자의 물리적 위치를 추적하기 위..

국내외 보안동향 2017. 4. 24. 14:31