잉카인터넷 시큐리티대응센터 블로그

최근 한 보안프로그램을 위장한 악성 앱이 발견되었다. 해당 앱은 정상적으로 동작하는 척하지만, 특정 버튼을 누르면 내부에 존재하는 파일을 실행하여 악의적인 동작을 수행한다. 백도어와 같이 원격지와 연결하여 명령을 받아 추가적인 동작을 수행하며, 그 외에 문자메시지와 통화 기록과 같은 각종 정보를 탈취한다. 11월 24일 업데이트 버전의 정상 앱은 아래의 좌측 그림과 같고, 발견된 사칭 악성 앱은 우측 그림과 같다. 사칭한 악성 앱은 과거의 UI를 따라한 것으로 추정된다. 해당 앱은 실제로 동작하지 않고, HTML 파일을 통해 동작하는 것처럼 위장하였다. 그리고, 특정 버튼을 누르면 APK 내부에 숨겨진 APK 파일을 로드하여 악성 동작을 실행한다. 아래 좌측 그림과 같이 앱이 설치되었지만, 사용자가 보는..

최근 은행으로 위장하여 정보 탈취를 시도하는 앱이 다량 발견되었다. 그 중 CITI은행을 사칭한 앱은 정상 앱과 유사한 UI로 사용자를 속여, 각종 개인 정보와 카드 정보를 입력하도록 한다. 그리고 원격지와 통신하여 입력한 정보를 탈취한다. 악성 앱을 실행하면 다음과 같은 화면이 나타난다. 입력 칸에 10자리의 전화번호를 입력하면 해당 정보를 원격지에 전송한다. 정상적으로 원격지와 통신이 되면, 악성 동작이 시작된다. 분석 시점에는 원격지와 통신이 되지않지만, 통신이 된다면 좌측 하단의 화면을 띄운다. Apply Now 버튼을 누르면 사용자의 정보를 입력하는 화면이 나타난다. 해당 화면에서 정보를 입력하고 Proceed 버튼을 누르면 해당 정보는 원격지로 전송된다. 인도의 식별번호인 Aadhar numb..

암호화폐 앱을 사칭한 정보 탈취 앱 미국의 유명 암호화폐 회사인 Coinbase를 사칭한 악성 앱이 발견되었다. 해당 앱은 ‘CoinbaseUpdate’라는 이름으로 유포되었으며, 정상 Coinbase 앱과 유사한 모습을 하고 있다. 하지만 악성 앱을 실행하면, 단말기의 문자 메시지와 스크린샷 등 각종 정보를 탈취한다. 좌측 하단의 그림은 Google Play에서 정상적으로 판매중인 Coinbase 앱이고, 우측의 그림은 유포된 악성 앱의 정보로 아이콘과 이름이 유사한 것을 볼 수 있다. 악성 앱을 실행하면, 아래와 같이 권한을 요구한다. 사용자가 해당 권한을 부여하면 이후 필요한 권한에 대해서는 악성 앱에서 화면을 제어하여 자체적으로 획득한다. 아래의 그림과 같이 원격지와 연결을 시도한다. ‘Googl..

최근 베트남의 은행서비스를 위장한 악성 앱이 유포되었다. 해당 악성 앱은 정상 사이트를 위장한 웹 사이트를 통해 유포되었으며, ‘BestPay VN’이라는 이름으로 설치된다. 설치된 악성코드는 정상적인 은행 서비스 앱으로 보이지만, 스크립트를 통해 입력한 사용자 정보를 탈취한다. 베트남어로 제작된 웹 사이트에서 Google Play 다운로드로 보이는 버튼을 누르면 악성 앱이 다운로드된다. 실제 Google Play 스토어가 아닌 경로에서 앱이 설치된다. 설치된 앱은 아래의 그림과 같이 회원가입을 요구하고, 개인정보 입력을 유도한다. 사용자가 입력한 정보는 아래와 같이 원격지로 전송된다. 그 외에도 단말기로 수신되는 SMS 메시지의 내용과 수신지 정보를 탈취하여 원격지에 전송하는 등의 악성 동작을 수행한다..

인도의 은행 및 금융 서비스 회사인 Axis Bank를 사칭한 악성 앱이 유포되었다. 해당 앱은 Axis Bank의 정상 웹사이트와 유사한 모습의 사이트에서 유포되었으며, 앱을 실행하면, 문자메시지 정보 및 사용자가 입력한 정보를 탈취한다. 좌측 하단의 그림이 정상 웹사이트이며, 우측 하단의 그림이 악성 앱을 유포하는 사칭 웹사이트이다. 아래의 그림과 같이, 악성 웹사이트는 웹브라우저에서 앱을 다운로드한다. 정상적인 앱의 경우, Google Play 나 Appstore과 같은 정식 앱 스토어에서 구매하도록 유도한다. 설치된 악성 앱을 실행하면 다음과 같은 화면이 나오고, 사용자가 해당 정보를 입력하면 입력한 정보를 획득하여 원격지로 전송한다. 해당 악성 앱은 정상 은행 앱을 위장하여, 유포되었으며, 카드..

최근 전쟁 등의 이유로 국가적 대립이 심화되면서, 이와 관련된 악성 앱이 등장하였다. 해당 앱은 `The China Freedom Trap`이라는 책으로 위장하였으며, 이 책은 위구르 회의 회장인 `Dolkun Isa`의 저서로 위구르 정치인으로 일한 경험과 중국에 대한 이야기를 담고 있다. 악성 앱은 아래의 이미지와 같이 해당 책을 소개하는 듯한 내용을 담고 있지만, 녹취 및 정보 탈취, 원격제어 등의 악성 동작을 수행한다. 단말기에 새로운 발신 전화가 발생하면, 음성 통화의 소스를 DB에 저장한다. 그리고 수신 전화가 발생하면, 단말기의 마이크에 수집되는 정보를 저장한다. 원격지와 통신하여 명령을 받으면, SMS 메시지 정보, 단말기 정보 등을 탈취할 수 있다. 그 외에도 카메라에 접근하여 사용자 몰..

최근 Microsoft의 비즈니스 커뮤니케이션 플랫폼인 Teams를 사칭한 악성 앱이 유포되었다. 해당 앱은 Microsoft의 로그인 화면을 띄워 정상적으로 동작하는 것처럼 보이지만, 사용자 몰래 원격지와 통신하여 추가적인 악성 동작을 수행한다. 아래의 그림과 같이 악성 앱과 정상 앱의 아이콘에 차이가 있다. 악성 앱에서 사용된 아이콘은 과거에 사용하던 아이콘으로, 정상 앱을 최신 버전으로 다운로드하면 우측 이미지의 아이콘으로 다운로드가 된다. 사용자를 속이기 위해, 앱을 실행하면 아래와 같이 로그인 화면을 띄우고 정상적인 앱인 척 한다. 또한, 사용자 몰래 아래의 메소드를 백그라운드 모드로 실행한다. 해당 클래스는 원격지와 통신하여 추가 파일을 다운로드하고 로드하는 등의 동작을 수행한다. 해당 악성 ..

암호화폐에 대한 관심이 높아지는 만큼 암호화폐 관련 앱을 위장한 악성 앱이 다양한 방식으로 유포된다. 최근에 암호화폐의 가격 및 뉴스 등을 알려주는 암호화폐 포트폴리오 트래커(Crypto Portfolio Tracker) 앱을 위장한 악성 코드 MaliBot이 등장하였다. 해당 악성코드는 안드로이드 단말기를 대상으로 하여, 웹사이트 및 SMS 등으로 유포되었다. 해당 앱을 실행하면, 단말기에 저장된 각종 정보를 탈취하고 원격제어 등의 악성 동작을 수행한다. MaliBot은 아래 그림과 같이 정상 사이트를 위장하여 안드로이드 단말기에서 접속하면 악성 앱을 다운로드하도록 한다. 웹페이지를 랜더링하는 장치 정보를 확인하여 AndroidOS인 경우 ‘cryptoapp.apk’를 다운로드하고, iOS또는 그 외의..

최근 Google Play에서 악성코드가 다량 유포되었다. 해당 악성코드는 페이스북 계정 정보를 탈취하거나, 유료 앱 구매를 유도하고 사용자 동의 없이 광고를 띄워 수익을 얻는 등의 악성 동작을 수행한다. 작년에도 이와 유사한 동작을 하는 악성 앱이 Google Play를 통해 유포되어 자사 블로그에서 언급한 바 있다. https://isarc.tachyonlab.com/4555 이 악성코드들 중 일부는 판매가 중단되기도 하였으나, 일부 악성 앱도 아직까지 판매 중이다. 아래는 Google Play에서 판매된 악성 앱의 정보이다. 그중 광고 수익을 창출하는 Adware 악성 앱은 아래의 그림과 같이, 유료 앱을 구매하도록 유도하면서 사용자의 동의 없이 광고를 띄워 수익을 창출한다. 악성 앱들은 Googl..

최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다. ERMAC 2.0은 ‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다. 해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다. 단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다. 정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림..