'분석 정보/모바일 분석 정보'에 해당되는 글 112건
Facebook 계정 정보를 노리는 안드로이드 악성 앱
최근 Facebook 사용자의 계정 정보에 접근하는 안드로이드 악성 앱이 대량 등장하였다. 지금까지 밝혀진 바로 총 10개의 악성 앱이 발견되었고, 그 중 9개는 Google Play에서 구매 가능하여 수백 만 건 다운로드 되었다고 알려졌다. 해당 악성 앱은 정상 앱을 가장하며, 안드로이드용 Facebook SDK를 악용해 사용자의 로그인 정보를 획득한다. 하단의 이미지와 같이, 해당 앱은 동작하기 위해 사용자에게 Facebook 로그인을 요구한다. 위의 그림과 같이, 해당 악성 앱은 안드로이드용 Facebook SDK를 통해 AccessToken을 획득하고, 정상적으로 Redirection 받아와 사용자 단말기에 Facebook 로그인 화면을 띄운다. Access Token을 통해 권한을 획득하였기에 ..
분석 정보/모바일 분석 정보 | 2021. 7. 20. 11:26
PJobRAT 악성 앱 주의
최근, “WhatsApp” 아이콘을 사칭하는 악성 앱이 발견 되었다. 해당 악성 앱은 설치 시, “WhatsApp” 아이콘으로 보이지만 설치 된 앱 정보에서는 아래와 같이 “TrendbanterNew” 라고 다르게 되어 있다. “TrendbanterNew”는 “Trendbanter” 라는 앱을 위장한것으로 추정되며, “Trendbanter” 앱은 국내 사용자에게는 잘 알려지지 않았지만 인도를 대상으로 하는 소개팅, 결혼 매칭과 관련 된 앱이다. 해당 앱이 실행 되면 먼저, 사용자에게 여러가지 과도한 권한을 요구하며, 사용자가 이를 수락하면 단말기의 주요 데이터들을 탈취하여 원격지로 전송하기 때문에 주의가 요구 된다. Analysis PJobRAT은 사용자 환경의 정보들을 탈취하기 위해 Firebase 원..
분석 정보/모바일 분석 정보 | 2021. 7. 20. 11:12
TeamViewer를 이용하여 원격 조종하는 Hydra
많은 안드로이드 악성 앱은 피해자의 단말기에서 정보를 탈취하고, 관리자 권한을 얻기 위해 노력한다. 이 중 Hydra 는 유명 원격 모니터링 프로그램 TeamViewer 를 악용하여 감염된 단말기를 조종한다. 이번에 발견된 Hydra 앱은 Adobe Flash Player 와 관련된 앱으로 위장하여 사용자의 설치를 유도한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면을 출력한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Hydra 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 사용할 수 있다. 접근성 서비스 권한을 얻은 Hydra 는 단말기 내 사용자 정보를 수집하여 C&C 서버로 송신한다. ..
분석 정보/모바일 분석 정보 | 2021. 7. 2. 10:50
Chrome 사칭 악성 앱 주의
스마트폰의 운영체제와 상관없이 많은 스마트폰의 사용자들은 다양한 정보를 검색하거나 필요한 자료를 얻기 위해 브라우저를 많이 사용한다. 이 브라우저 가운데 가장 많이 사용하는 브라우저로 손꼽히는 Chrome 앱을 사칭하는 악성앱이 등장하여 주의가 필요하다. Analysis Chrome 을 사칭한 악성앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 이는 접근성 서비스기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. Chrome 아이콘을 사칭한 해당 악성앱의 주요 동작은 C&C서버와 통신하며, 명령을 받아 단말기 내 사용자 정보를 탈취하거나 추가 악성 동작을 수행한다. 탈취 대상이 되는 파일은 전화번호 목록, 설치 된 앱 목록, 미디어 파일, 키로거 파일 등이 있으며 ..
분석 정보/모바일 분석 정보 | 2021. 7. 1. 16:58
COVID-19 백신 무료 등록 사칭 악성 앱 주의
최근, 각 국가 별로 코로나 무료 접종이 확대되고 있는 가운데 이를 위장한 악성앱이 발견되어 주의가 필요하다. 해당 앱은 백신 무료 접종에 관한 내용을 이루고 있으나, 백신과 관계없는 앱으로 단말기의 전화번호를 읽어 자기 자신과 같은 파일을 SMS을 통해 전파하거나 광고성 배너를 출력하는 기능만 존재한다. Analysis 코로나로 사칭한 앱은 다음과 같이 단말기에 저장된 연락처에 접근하여 읽거나 SMS를 보내기 위해 권한을 요청한다. 그리고, 획득한 전화번호 중 제일 앞자리에 인도 국가를 나타내는 '91' 이 존재하는지 확인한다. 추가로 인도 지역을 나타내는 번호들을 대상으로 SMS를 전송하는 것을 확인할 수 있다. 인도에서 사용하는 단말기에 한해, 다음의 메시지를 유포한다. 메시지 내용은 아래와 같다...
분석 정보/모바일 분석 정보 | 2021. 6. 18. 13:45
국내 안드로이드 사용자 노린 MoqHao 피싱
최근 국내 안드로이드 단말기 사용자를 노린 피싱 메시지가 발견되었다. 피싱 메시지는 우체국, 택배와 관련된 문자 메시지로 위장하여 사용자가 링크를 클릭하도록 유도한다. 링크와 연결된 사이트는 Chrome 브라우저를 최신으로 업데이트할 것을 요구하며 정보 탈취 기능을 보유한 MoqHao 악성 앱을 다운로드하도록 유도한다. 다운로드된 악성 앱은 Chrome 브라우저로 위장한다. 앱을 실행하면 통화 내역, SMS 문자, 연락처, 등 민감한 정보에 접근할 수 있도록 권한을 요구하며, 자신을 기본 SMS 앱으로 설정하도록 유도한다. 권한을 받은 악성 앱은 단말기 정보를 수집하고 C&C 서버로 송신한다. MoqHao 는 과거에도 개인 정보 유출, 택배 반송과 같이 사용자의 주의를 끄는 내용의 피싱 메시지를 통해 유..
분석 정보/모바일 분석 정보 | 2021. 6. 10. 15:12
운송 회사 앱으로 위장한 FluBot 악성 앱
최근 DHL, FedEx 와 같은 유명 운송 회사의 앱으로 위장한 안드로이드 악성 앱 FluBot 이 기승을 부리고 있다. 유럽 국가를 중심으로 퍼져가는 이 정보 탈취형 악성 앱은 잠잠해지기는커녕, 지속적으로 버전 업하며 지원하는 언어를 추가하고 공격 대상 국가를 늘리고 있다. FluBot 을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, FluBot 은 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 행위에 사용할 수 있다. 이후 접근성 서비스 권한을 악용하여 기본 SMS 앱 설정 화면을 출력하고, 사용자 동의 없이 FluBot 을 기본 SMS 앱으로 설정한다. 이외에도 사용자가 접근성 서비스..
분석 정보/모바일 분석 정보 | 2021. 6. 8. 17:23
이슬람 코인 거래소 사칭 앱
지난 3월 이슬람 금융법을 준수하는 공식 이슬람 블록 체인 거래소 Caizcoin이 출시되었다. 그리고 두 달 만에 Caizcoin 코인 거래소를 사칭한 앱이 유포되어 주의가 필요하다. 해당 악성 앱은 Caizcoin 사칭 사이트에서 유포되었으며, 사용자 정보를 탈취하고 다운로더의 기능을 한다. 하단의 이미지와 같이 정상 Caizcoin 사이트와 유사한 모습으로 가짜 사이트에서 악성 앱을 다운로드할 수 있다. Caizcoin의 정상 사이트에서는 구글 플레이에서 다운로드를 하도록 권장하며, 아래와 같이 구글 플레이에서 판매 중에 있다. 아래의 난독화 해제된 스크립트로 html 파일를 생성하고, 생성된 코드로 Webview를 생성하여 필요한 권한을 가진다. 생성된 Webview는 다음과 같이 사용자 단말기에..
분석 정보/모바일 분석 정보 | 2021. 6. 3. 11:29