잉카인터넷 시큐리티대응센터 블로그

최근 베트남의 은행서비스를 위장한 악성 앱이 유포되었다. 해당 악성 앱은 정상 사이트를 위장한 웹 사이트를 통해 유포되었으며, ‘BestPay VN’이라는 이름으로 설치된다. 설치된 악성코드는 정상적인 은행 서비스 앱으로 보이지만, 스크립트를 통해 입력한 사용자 정보를 탈취한다. 베트남어로 제작된 웹 사이트에서 Google Play 다운로드로 보이는 버튼을 누르면 악성 앱이 다운로드된다. 실제 Google Play 스토어가 아닌 경로에서 앱이 설치된다. 설치된 앱은 아래의 그림과 같이 회원가입을 요구하고, 개인정보 입력을 유도한다. 사용자가 입력한 정보는 아래와 같이 원격지로 전송된다. 그 외에도 단말기로 수신되는 SMS 메시지의 내용과 수신지 정보를 탈취하여 원격지에 전송하는 등의 악성 동작을 수행한다..

인도의 은행 및 금융 서비스 회사인 Axis Bank를 사칭한 악성 앱이 유포되었다. 해당 앱은 Axis Bank의 정상 웹사이트와 유사한 모습의 사이트에서 유포되었으며, 앱을 실행하면, 문자메시지 정보 및 사용자가 입력한 정보를 탈취한다. 좌측 하단의 그림이 정상 웹사이트이며, 우측 하단의 그림이 악성 앱을 유포하는 사칭 웹사이트이다. 아래의 그림과 같이, 악성 웹사이트는 웹브라우저에서 앱을 다운로드한다. 정상적인 앱의 경우, Google Play 나 Appstore과 같은 정식 앱 스토어에서 구매하도록 유도한다. 설치된 악성 앱을 실행하면 다음과 같은 화면이 나오고, 사용자가 해당 정보를 입력하면 입력한 정보를 획득하여 원격지로 전송한다. 해당 악성 앱은 정상 은행 앱을 위장하여, 유포되었으며, 카드..

최근 전쟁 등의 이유로 국가적 대립이 심화되면서, 이와 관련된 악성 앱이 등장하였다. 해당 앱은 `The China Freedom Trap`이라는 책으로 위장하였으며, 이 책은 위구르 회의 회장인 `Dolkun Isa`의 저서로 위구르 정치인으로 일한 경험과 중국에 대한 이야기를 담고 있다. 악성 앱은 아래의 이미지와 같이 해당 책을 소개하는 듯한 내용을 담고 있지만, 녹취 및 정보 탈취, 원격제어 등의 악성 동작을 수행한다. 단말기에 새로운 발신 전화가 발생하면, 음성 통화의 소스를 DB에 저장한다. 그리고 수신 전화가 발생하면, 단말기의 마이크에 수집되는 정보를 저장한다. 원격지와 통신하여 명령을 받으면, SMS 메시지 정보, 단말기 정보 등을 탈취할 수 있다. 그 외에도 카메라에 접근하여 사용자 몰..

최근 Microsoft의 비즈니스 커뮤니케이션 플랫폼인 Teams를 사칭한 악성 앱이 유포되었다. 해당 앱은 Microsoft의 로그인 화면을 띄워 정상적으로 동작하는 것처럼 보이지만, 사용자 몰래 원격지와 통신하여 추가적인 악성 동작을 수행한다. 아래의 그림과 같이 악성 앱과 정상 앱의 아이콘에 차이가 있다. 악성 앱에서 사용된 아이콘은 과거에 사용하던 아이콘으로, 정상 앱을 최신 버전으로 다운로드하면 우측 이미지의 아이콘으로 다운로드가 된다. 사용자를 속이기 위해, 앱을 실행하면 아래와 같이 로그인 화면을 띄우고 정상적인 앱인 척 한다. 또한, 사용자 몰래 아래의 메소드를 백그라운드 모드로 실행한다. 해당 클래스는 원격지와 통신하여 추가 파일을 다운로드하고 로드하는 등의 동작을 수행한다. 해당 악성 ..

암호화폐에 대한 관심이 높아지는 만큼 암호화폐 관련 앱을 위장한 악성 앱이 다양한 방식으로 유포된다. 최근에 암호화폐의 가격 및 뉴스 등을 알려주는 암호화폐 포트폴리오 트래커(Crypto Portfolio Tracker) 앱을 위장한 악성 코드 MaliBot이 등장하였다. 해당 악성코드는 안드로이드 단말기를 대상으로 하여, 웹사이트 및 SMS 등으로 유포되었다. 해당 앱을 실행하면, 단말기에 저장된 각종 정보를 탈취하고 원격제어 등의 악성 동작을 수행한다. MaliBot은 아래 그림과 같이 정상 사이트를 위장하여 안드로이드 단말기에서 접속하면 악성 앱을 다운로드하도록 한다. 웹페이지를 랜더링하는 장치 정보를 확인하여 AndroidOS인 경우 ‘cryptoapp.apk’를 다운로드하고, iOS또는 그 외의..

최근 Google Play에서 악성코드가 다량 유포되었다. 해당 악성코드는 페이스북 계정 정보를 탈취하거나, 유료 앱 구매를 유도하고 사용자 동의 없이 광고를 띄워 수익을 얻는 등의 악성 동작을 수행한다. 작년에도 이와 유사한 동작을 하는 악성 앱이 Google Play를 통해 유포되어 자사 블로그에서 언급한 바 있다. https://isarc.tachyonlab.com/4555 이 악성코드들 중 일부는 판매가 중단되기도 하였으나, 일부 악성 앱도 아직까지 판매 중이다. 아래는 Google Play에서 판매된 악성 앱의 정보이다. 그중 광고 수익을 창출하는 Adware 악성 앱은 아래의 그림과 같이, 유료 앱을 구매하도록 유도하면서 사용자의 동의 없이 광고를 띄워 수익을 창출한다. 악성 앱들은 Googl..

최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다. ERMAC 2.0은 ‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다. 해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다. 단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다. 정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림..

최근 정상 VPN으로 위장한 악성 앱이 유포되었다. 해당 앱은 Hydra VPN SDK 오픈소스를 사용하여 정상적인 VPN의 동작을 수행하여 사용자를 속이고, SMS 메시지와 연락처 등 각종 데이터를 탈취하는 악성 동작을 수행한다. 해당 앱은 아래의 화면과 같이 VPN 서비스 업체의 웹 사이트로 위장하여 악성 앱을 유포한다. 해당 웹 사이트의 주소는 정상 서비스 중인 한 VPN 업체의 주소와 유사하다. 이 앱은 Hydra VPN SDK 오픈 소스를 통해 VPN 서버 URL에 연결한다. 연결된 서버에 위치 정보 및 시그니처 등 기본 정보를 전송한다. 앱이 실행되면 아래의 화면과 같이 'Activation Key'를 입력하도록 요구한다. 이 'Activation Key'는 원격지 서버에 연결하여 토큰 등의 ..

지난 3월 초, Escobar 앱이 등장하였다. 해당 악성 앱은 에뮬레이터를 탐지하고, 저장된 각종 정보를 탈취하며 카메라 사진 촬영 및 녹화 등의 악성 동작을 수행한다. 그 외에도 원격지와 연결하여 명령을 수행하는 Bot 동작 등을 수행한다. 호주 기반의 사이버 보안 회사인 Cyble에 따르면, 해당 앱은 Aberebot의 변종으로 전해지지만 악성 동작 특징 및 코드의 유사점을 찾아보긴 어렵다. 최근 유포된 Escobar는 아래의 이미지와 같이, 특정 보안 앱으로 위장하여 유포된다. 단말기의 시스템 정보를 확인하여, 에뮬레이터를 탐지하고 실 단말기로 판단되면 악성 동작을 수행한다. 각종 권한을 획득하여 다양한 정보를 탈취한다. 아래의 코드는 SMS 메시지 정보를 탈취하는 코드이며, 그 외에도 통화기록,..

최근, 공공기관을 사칭하는 보이스 피싱, 스미싱 문자, 악성 앱이 증가하고 있어 사용자들의 주의가 필요하다. 주로 이렇게 공공기관, 금융, 포털 등을 사칭한 악성 앱 들은 육안상으로는 구별이 어려울 정도로 정상 앱과 유사하게 만들 뿐만 아니라 사용자들의 관심을 유도하기 위해 다양한 형태의 문자 메시지를 이용하고 있는 것으로 보여 진다. 아래의 링크는 공공기관을 사칭한 내용에 대해 게시된 자사 블로그 글이다. ▶2022.02.16 - 교통민원 24(이파인) 으로 위장한 악성 앱 주의 법무부로 사칭한 악성 앱을 설치 후 실행하면 정상 앱과는 다르게 과도한 권한을 요구하는 것을 확인 할 수 있다. 해당 악성 앱은 과도한 권한 뿐만 아니라 접근성 서비스와 함께 백그라운드 동작도 허용해주길 요구한다. 백그라운드 ..