안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱 공격은 공격자들이 가장 애용하는 모바일 기기 공격 기법일 것입니다. 더불어 코로나19의 창궐로 인한 언택트의 확산으로 급증한 택배 문자가 공격자들에게는 좋은 공격 방법이 되었습니다. 코로나19 사태 초기의 스미싱 공격은 코로나19 관련 이슈가 주를 이루었지만 강력한 사회적 거리 두기의 시행에 따라 택배 문자가 급증하게 되자 공격자들도 이에 편승하여 택배를 사칭하는 스미싱 공격을 시도하고 있습니다. [그림] 악성 앱 설치 및 실행 화면 사용자가 스미싱 공격을 통해 악성 앱을 설치하게 되면 개인 정보가 탈취되고 연락처에 존재하는 지인들에게도 스미싱 공격 문자가 전달되는 피해를 입을 수도 있습니다. 따라서 피해를 입기 전 예방하는 것이 ..

악성코드 분석 리포트 2020. 6. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 N번 방 동영상 이슈를 활용한 스미싱을 통해서 유포되었습니다. 동영상 이슈를 활용하는 만큼 ‘Nplayer’라는 앱 명을 사용합니다. 특히, 처음 실행 시 특정 성인 사이트를 로드하여 팝업함으로써 사용자를 속임과 동시에 기기 및 문자 정보를 탈취합니다. [그림] 앱 특징 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.SmsSpy’ 탐지 명으로 진단..

악성코드 분석 리포트 2020. 5. 19. 09:00

안녕하세요. ESRC입니다. 오늘(4/9) 오전부터 코로나19 바이러스 관련 '긴급재난자금' 상품권을 사칭한 스미싱이 유포되고 있어 주의가 필요합니다. 최근 코로나19 바이러스 감염으로 인한 직.간접적 피해를 입은 국민들의 삶을 지원하고 경기를 활성화 시키기 위한 정부 긴급재난지원금 지급이 논의되고 있으며 이미 인터넷으로는 3/30부터 신청을 접수중인 상태입니다. 또한, 경기도, 제주도, 경상남도, 충청북도, 부산광역시 등 등 많은 지방자치단체들 역시 시도민들의 삶을 돕기 위해 재난기본소득 지급에 대한 내용과 지급 범위에 대해 연이어 발표하고 있습니다. 특히 재난기본소득에 대한 지급을 최초로 결정했던 경기도의 경우 오늘(2020년 4월 9일) 15시부터 재난기본소득 온라인 신청을 오픈할 예정인데요. 공격..

악성코드 분석 리포트 2020. 4. 9. 15:12

개요 코로나19로 인하여 생활의 많은 부분에서 변화가 생겼습니다. 대부분의 국민들은 코로나19 감염을 우려하여 사람이 밀집되는 지역이나 장소를 기피하게 되었으며 오프라인 쇼핑과 외식보다는 온라인 쇼핑과 배달(택배)을 이용하고 있습니다. 스미싱 공격 조직은 이 기회를 최대한 활용하기 위해서 택배 스미싱 공격을 활발하게 진행하고 있으며 탐지 회피를 위해 스미싱 택배 문구도 다변화하는 양상을 보이고 있습니다. 택배 스미싱은 비교적 널리 알려져 있어 쉽게 당하지 않을 것으로 생각하지만 의외로 피해를 입는 경우가 많습니다. 택배 스미싱 문구가 실제 택배 기사님들이나 회사에서 보내는 것으로 보이도록 작성되어 있으며 더러는 피해자의 이름이 명시되어 있는 경우도 있기 때문입니다. 그러나 택배 스미싱 문자를 주의 깊게 ..

악성코드 분석 리포트 2020. 3. 30. 10:35

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 스미싱(Smishing) 공격은 공격&유포 빈도가 몇년 전보다 절대수치가 줄긴 했지만, 여전히 모바일 환경에서는 가장 큰 위협이 되는 공격기법입니다. 특히 한국을 대상으로 하는 스미싱 공격의 경우, 매년 활발하게 이뤄지고 있으며 올 해 역시 마찬가지입니다. 2019년 상반기동안 월별로 수집된 스미싱 악성앱들 중 악성앱별 비율을 확인해보면 다음과 같습니다. [그림 1] 2019년 상반기에 수집된 스미싱 악성앱별 비율 ESRC에서는 2019년 상반기 및 최근까지 국내에서 발견되는 스미싱 공격 악성앱 중 가장 높은 비중을 차지하고 있는 Trojan.Android.SmsSpy에 대해 분석해보았습니다. Trojan.Android.SmsSpy가 유포되는 전..

악성코드 분석 리포트 2019. 8. 8. 15:01

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 곧 다가올 추석에 가족, 친지들에게 선물 보내시느라 택배 서비스를 많이 이용하시고 있을 겁니다. 그런데 꾸준히 유포되고 있는 택배 사칭 스미싱이 명절 연휴를 앞두고 더욱 기승을 부리고 있어 사용자 분들의 주의가 필요합니다. 본 글에서는 택배 사칭 스미싱이 어떻게 전파 되어 설치 되는지 치료는 어떻게 하실 수 있는지 알아보고 이를 통해 택배 사칭 스미싱을 예방 하실 수 있는데 조금이나마 도움이 되기를 바라며 해당 악성앱 “Trojan.Android.SmsSpy”를 분석해 보도록 하겠습니다. 악성코드 분석 [그림 1] 스미싱 프로세스 그림1은 스미싱의 전체 흐름을 보여주고 있습니다. 이 과정을 자세히 살펴보도록 하겠습니다. 1. 스미싱 악성앱 유포 ..

악성코드 분석 리포트 2018. 9. 21. 18:10

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 실제 국내 운송 업체를 사칭한 '배송 스미싱' 문자가 최근에도 지속적으로 많이 퍼지고 있어 이용자들의 주의를 당부드립니다. ▶ 대한통운 사칭 지능 타깃형 스미싱 공격 주의! ▶ 갈수록 위협적인 스미싱, 이제는 당신의 신용카드도 노린다! 최근에 발견되고 있는 배송 스미싱 문자는 주소지 변경, 택배 분실로 인한 보상 안내 내용을 담고 있습니다. 특히나 PC나 스마트폰 등으로 온라인 쇼핑을 주로 하는 이용자들의 경우 자칫 자신의 상품이 중간에 잘못된 것으로 오인할 수 있습니다. [그림 1] 배송 스미싱 문자 - 주소지 변경 [그림 2] 배송 스미싱 문자 - 택배 분실 보상 안내 이용자가 자신의 물품이 잘못된 것으로 착각하여 문제 해결을 위해 스미싱 ..

악성코드 분석 리포트 2018. 3. 13. 18:05

Trojan.Android.SmsSpy 악성코드에 대한 난독화 기술이 날로 진화하고 있습니다. 기존 난독화 기술 중 하나인 APKProtect의 경우, Dex 파일 내부의 바이너리 변조를 통해 코드의 일부를 난독화시켜 디컴파일이 불가능하도록 만드는 수준이었습니다. 그러나 현재는 Dex 파일 자체를 암호화하고 이를 래핑(Wrapping)한 후, 다시 리패키징하여 디컴파일 자체를 무력화시키는 양상까지 보이고 있습니다. ‘Bangcle 앱 실딩 솔루션’은 APK 내부 Dex 파일을 암호화하고 이를 리패키징한 형태의 솔루션입니다. Bangcle은 모바일 앱 보호를 위한 안티 리버스 엔지니어링 및 데이터 도용 방지 목적으로 서비스되는 보안 솔루션이지만, 이 악성 앱은 Bangcle 앱 실딩 기술을 이용하여 Dex..

악성코드 분석 리포트 2016. 8. 9. 13:30