분석 정보/모바일 분석 정보 168

오픈소스 안드로이드 악성코드 DogeRat

최근 GitHub에서 새로운 안드로이드 정보탈취 앱이 발견되었다. 해당 앱은 ‘DogeRat’이라는 이름으로 불리며, SMS 메시지 및 통화기록 등의 정보 탈취 동작을 수행한다. DogeRat은 교육 및 내부용으로 제작되었으며, 개발자가 제공하는 여러 가지 서비스를 활용하여 커스터마이징할 수 있다. DogeRat은 몇 번의 업데이트가 있었던 것으로 보여지며, 가장 최신 버전의 경우 ‘YOUTUBE PREMIUM’의 이름으로 제작 및 배포되었다. 실행화면의 우측 하단 ‘Next’ 버튼을 누르면 각종 권한을 요구한다. 그리고 알림창 접근성 권한까지 획득하고 나면 Youtube 창을 띄워 정상 앱인 척 사용자를 속인다. 단말기의 제조사 및 모델 정보와 배터리 상태, SDK 버전 및 밝기 등의 정보를 획득하여 ..

인도 뭄바이 은행을 위장한 정보탈취 앱

최근 인도 뭄바이에 본사를 둔 ICICI 은행을 위장한 악성 앱이 발견되었다. 해당 악성 앱은 정상 앱의 모습과 유사한 형태로 사용자를 속여 개인 정보 입력을 유도한다. 사용자의 전화번호, ATM 비밀번호, ID, PW 및 카드의 Grid 번호 등의 정보를 탈취한다. 지난 해 9월에도 인도의 한 은행을 사칭한 악성 앱이 발견된 적이 있으며, 이에 대한 자세한 내용은 아래의 링크에서 확인 가능하다. https://isarc.tachyonlab.com/5318 아래의 그림에서 파란색 상자가 정상적으로 판매되는 ICICI 은행의 애플리케이션들 중 하나이며, 그 아래 빨간색 상자의 ‘ICICIBank’가 악성 앱이다. 이와 같이 정상 앱과 유사한 모습의 아이콘을 통해 사용자를 속인다. 악성 앱을 실행하면, 아래..

한국 대상의 악성 앱, FakeCalls

한국을 대상으로 하는 악성 앱, FakeCalls 가 다량 발견되었다. 해당 악성코드는 은행 앱으로 위장하였으나, 단말기에 저장된 연락처 및 SMS 등을 탈취하는 등의 악성 동작을 수행한다. 또한, FakeCalls를 기본 전화 앱으로 활성화하여 단말기의 전화 기능을 통제한다. CheckPoint에 따르면, 정상 뱅킹 애플리케이션으로 위장하여 사용자를 속이고 대출 관련 보이스 피싱을 통해 최종적으로 사용자의 카드 정보를 탈취하는 것으로 전해진다. 아래의 그림과 같이 정상 은행 애플리케이션의 아이콘을 보여주면서 사용자를 속인다. 해당 앱을 실행하면 하단 좌측의 그림과 같이, 추가적인 설치를 유도하고 권한을 요구한다. 사용자가 해당 권한을 부여하면 악성 동작을 하는 애플리케이션이 설치 및 실행된다. 위의 앱..

중국에서 유포된 정보탈취형 악성 앱

최근 중국에서 유포된 것으로 보이는 정보탈취 앱이 발견되었다. 이 악성 앱은 중국에서 제작 및 판매되는 한 프레임워크를 사용하여 제작되었으며, 앱의 언어 또한 중국어로 설정되어있다. 해당 악성코드는 쇼핑 앱으로 위장하였으며, 문자메시지를 탈취하고 원격지와 통신하여 추가적인 다운로드 동작을 수행한다. 해당 앱은 아래의 그림과 같이 웹사이트를 통해 유포되었으며, 설치 버튼을 누르면 애플리케이션이 다운로드 된다. 문자메시지 수신 동작이 확인되면, 문자메시지 내용과, 수신지, 날짜, 앱의 버전, 안드로이드 id 등의 정보를 탈취하여 원격지로 전송한다. 그리고 원격지와 연결하여 애플리케이션을 설치한다. 해당 앱은 외부저장소의 ‘/dcloud_ad/apk/[시스템 시간].apk’ 경로에 저장된다. 현 분석 시점에는..

보안 소프트웨어를 위장한 악성 앱

최근 해외의 보안 소프트웨어의 이름으로 유포된 악성 앱이 발견되었다. 해당 앱은 단말기에서 나타나는 알림을 탐지하여, 수신되는 SMS 문자메시지 및 Gmail 등의 정보를 탈취하고, 단말기에 설치된 애플리케이션의 정보를 탈취한다. 그 외에도 특정 번호로 전화를 거는 등의 동작을 수행한다. 하단 좌측 그림과 같이 악성 앱은 ‘AVG Antivirus Securite’ 라는 이름으로 유포되었다. 하지만 해당 앱이 실행되면, 하단 우측 그림의 빨간 상자와 같이 ‘Youtube’로 아이콘과 이름이 변경된다. 다음 코드에서 보이는 것과 같이, 악성 앱은 필요한 권한을 획득하기 위해 접근성 노드 정보에 대해 허용의 버튼을 임의로 클릭한다. 그 외에도 사용자의 눈에 띄지 않기 위해서, 알람과 같은 시스템 알림의 소리..

소스 코드가 공개된 CypherRAT

작년 10월경, SpyNote 또는 SpyMax 로 알려진 정보탈취형 안드로이드 악성 앱의 변종인 CypherRAT 의 소스 코드가 Github 에 공개되었다. 소스 코드가 공개되어 CypherRAT 을 활용한 캠페인이 활발짐에 따라 사용자의 주의가 필요하다. CypherRAT 은 앱을 최초 실행하면 사용자에게 과도한 접근성 서비스 권한을 요청하도록 유도하는 웹뷰를 출력한다. 악성 앱이 요청하는 접근성 서비스 권한에는 행위 모니터링, 제스처 수행, 등이 포함되며 이를 이용하여 정보 탈취, 단말기 조작을 수행할 수 있다. CypherRAT 은 일반적인 안드로이드 악성 앱과 마찬가지로 통화 내역, SMS, 위치 정보, 연락처, 등의 개인 정보를 수집하는 정보 탈취 기능을 가진다. 또한 카메라, 미디어 관련 ..

국내 보안 앱으로 위장한 정보탈취 악성 앱

최근 한 보안프로그램을 위장한 악성 앱이 발견되었다. 해당 앱은 정상적으로 동작하는 척하지만, 특정 버튼을 누르면 내부에 존재하는 파일을 실행하여 악의적인 동작을 수행한다. 백도어와 같이 원격지와 연결하여 명령을 받아 추가적인 동작을 수행하며, 그 외에 문자메시지와 통화 기록과 같은 각종 정보를 탈취한다. 11월 24일 업데이트 버전의 정상 앱은 아래의 좌측 그림과 같고, 발견된 사칭 악성 앱은 우측 그림과 같다. 사칭한 악성 앱은 과거의 UI를 따라한 것으로 추정된다. 해당 앱은 실제로 동작하지 않고, HTML 파일을 통해 동작하는 것처럼 위장하였다. 그리고, 특정 버튼을 누르면 APK 내부에 숨겨진 APK 파일을 로드하여 악성 동작을 실행한다. 아래 좌측 그림과 같이 앱이 설치되었지만, 사용자가 보는..

카드 정보 탈취하는 은행 사칭 앱

최근 은행으로 위장하여 정보 탈취를 시도하는 앱이 다량 발견되었다. 그 중 CITI은행을 사칭한 앱은 정상 앱과 유사한 UI로 사용자를 속여, 각종 개인 정보와 카드 정보를 입력하도록 한다. 그리고 원격지와 통신하여 입력한 정보를 탈취한다. 악성 앱을 실행하면 다음과 같은 화면이 나타난다. 입력 칸에 10자리의 전화번호를 입력하면 해당 정보를 원격지에 전송한다. 정상적으로 원격지와 통신이 되면, 악성 동작이 시작된다. 분석 시점에는 원격지와 통신이 되지않지만, 통신이 된다면 좌측 하단의 화면을 띄운다. Apply Now 버튼을 누르면 사용자의 정보를 입력하는 화면이 나타난다. 해당 화면에서 정보를 입력하고 Proceed 버튼을 누르면 해당 정보는 원격지로 전송된다. 인도의 식별번호인 Aadhar numb..

암호화폐 앱을 사칭한 정보 탈취 앱

암호화폐 앱을 사칭한 정보 탈취 앱 미국의 유명 암호화폐 회사인 Coinbase를 사칭한 악성 앱이 발견되었다. 해당 앱은 ‘CoinbaseUpdate’라는 이름으로 유포되었으며, 정상 Coinbase 앱과 유사한 모습을 하고 있다. 하지만 악성 앱을 실행하면, 단말기의 문자 메시지와 스크린샷 등 각종 정보를 탈취한다. 좌측 하단의 그림은 Google Play에서 정상적으로 판매중인 Coinbase 앱이고, 우측의 그림은 유포된 악성 앱의 정보로 아이콘과 이름이 유사한 것을 볼 수 있다. 악성 앱을 실행하면, 아래와 같이 권한을 요구한다. 사용자가 해당 권한을 부여하면 이후 필요한 권한에 대해서는 악성 앱에서 화면을 제어하여 자체적으로 획득한다. 아래의 그림과 같이 원격지와 연결을 시도한다. ‘Googl..

베트남 은행 위장 악성 앱 유포

최근 베트남의 은행서비스를 위장한 악성 앱이 유포되었다. 해당 악성 앱은 정상 사이트를 위장한 웹 사이트를 통해 유포되었으며, ‘BestPay VN’이라는 이름으로 설치된다. 설치된 악성코드는 정상적인 은행 서비스 앱으로 보이지만, 스크립트를 통해 입력한 사용자 정보를 탈취한다. 베트남어로 제작된 웹 사이트에서 Google Play 다운로드로 보이는 버튼을 누르면 악성 앱이 다운로드된다. 실제 Google Play 스토어가 아닌 경로에서 앱이 설치된다. 설치된 앱은 아래의 그림과 같이 회원가입을 요구하고, 개인정보 입력을 유도한다. 사용자가 입력한 정보는 아래와 같이 원격지로 전송된다. 그 외에도 단말기로 수신되는 SMS 메시지의 내용과 수신지 정보를 탈취하여 원격지에 전송하는 등의 악성 동작을 수행한다..