안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 스미싱을 통해서 꾸준히 유포되는 종류 중 하나로 기존 악성 앱은 암호화를 통해서 덱스 파일을 숨겼다면, 해당 악성 앱은 kiwi패커를 이용하여 덱스 파일을 숨겼습니다. 언팩된 덱스 파일의 악성 행위는 이전 버전과 비슷하지만, 코드가 조금 더 정교해졌고 수집한 정보는 웹 소켓을 이용하여 탈취합니다. 택배 앱을 사칭하며 다수의 기기 정보와 녹음, 주소록, 문자 등의 개인정보를 탈취하고 원격으로 기기를 조종하여 문자 메시지를 전송합니다. [그림] 메시지 앱 변경 요구 팝업 해당 악성 앱은 전형적인 택배 스미싱으로 유포됐으며 C2와의 통신을 이용하여 기기 정보와 녹음, 주소록, 문자 정보 등을 탈취하고 탈취한 개인정보를 이용하여 ..

악성코드 분석 리포트 2020. 7. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 연초에 발생한 코로나19로 아직까지 많은 사람들이 힘들어하고 있습니다. 개인들은 원하지 않는 사회적 거리 두기와 함께 산채, 영화 관람, 외식 같은 평범한 일상에도 많은 제약이 가해지고 있기 때문입니다. 이렇게 모두가 힘들게 역경을 이겨내고 있는 가운데 스미싱 공격은 더욱 활개를 치며 코로나19로 힘든 사람들을 더욱 힘들게 하고 있습니다. 모바일 청첩장 사칭 스미싱은 코로나19의 영향으로 한동안 유포가 거의 없었으나 최근 조금씩 유포되고 있는 것이 발견되었습니다. [그림] 악성 앱 설치 화면 스미싱의 피해 예방은 매우 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 ..

악성코드 분석 리포트 2020. 4. 17. 09:00

안녕하세요? 이스트시큐리티입니다. 기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다. 특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 특징백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연..

악성코드 분석 리포트 2018. 12. 14. 08:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 청첩장으로 위장한 스미싱 문자가 최근에도 발견이 되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 스미싱 문자는 '[Web발신] 예식시간:2018.3.24 오전 11시 안내확인 '로 되어 있습니다. 만일 이용자가 지인의 결혼식 혹은 호기심에 의해 악성 URL 주소를 클릭할 경우 'iwedding.10883.v1.0.1.apk'이 다운로드 됩니다. [그림 1] 청첩장 위장 스미싱 문자 다운로드 된 악성앱 'iwedding.10883.v1.0.1.apk'은 '모바일웨딩청첩장'이라는 이름으로 위장되어 있으며, 설치가 완료되어 실행하면 감염이 진행됩니다. [그림 2] 청첩장 설치 화면의 일부 설치되어 실행되는 악성앱 '모바일웨딩청첩장'은 삭제를..

악성코드 분석 리포트 2018. 3. 20. 10:20