잉카인터넷 시큐리티대응센터 블로그

최근 메신저 앱을 위장하여, 사용자의 개인적인 정보를 탈취하는 악성 앱이 등장하였다. 해당 악성 앱은 사용자 단말기에 나타나는 알림메시지의 정보를 획득하고, 타 메신저 애플리케이션에 접근하여 사용자의 채팅 내용을 탈취한다. 국내외 사용자가 많은 Whatsapp 과 Signal 메신저 앱을 대상으로 악성 동작을 수행한다. 해당 앱은 아래의 이미지와 같이 'Crazy Talk'라는 이름의 메신저 앱으로 유포되었다. 앱을 실행하면, 아래의 그림과 같이 전화번호 인증을 요구한다. 사용자가 입력한 번호가 정상적인 번호인지 OTP번호를 통해 확인한다. 단말기에 연락처가 저장되어 있는지 확인하고, 연락처의 이름과 전화번호를 탈취한다. 그리고 Whatsapp 의 기본 앱과 Business 용 앱에 대해 각종 정보를 탈..

집콕 생활이 연장되면서 스마트폰 사용이 계속해서 증가되는 가운데, 최근 안드로이드 단말기를 대상으로 하는 ScreenLocker 악성코드가 다량 유포되었다. ScreenLocker 악성코드는 화면에 암호 창을 띄워 피해자 단말기의 사용을 방해하고, 금전적인 요구를 한다. 최근 다량 발견된 이 악성 앱은 정상 앱으로 위장하고, 빨간 색의 알림 창을 띄우는 것이 특징이다. ScreenLocker은 아래의 이미지와 같이 Netflix, Instagram, Whatsapp등 많이 사용되는 앱을 위장하여 유포되었다. 앱을 실행하면, 하단 좌측 이미지와 같이 파일 암호를 입력하거나 비트코인을 요구한다. 암호를 입력하면 악성코드는 종료된다. 그 외의 악성 동작은 없으나, 암호를 입력하기 전까지 재부팅하거나 화면을 껐..

최근, 북한을 배후로 추정되는 ScarCraft APT그룹의 악성 공격이 발견되었다. 해당 공격에서는 악성 문서, 실행파일, 어플리케이션이 사용되었으며, 그 중 안드로이드 단말기를 대상으로 하는 악성 앱은 Chinotto 스파이웨어라고 불린다. 이 앱은 원격지와 통신하여 단말기의 정보 및 사용자의 문자메시지, 연락처 정보 탈취 등의 동작을 수행한다. Chinotto 스파이웨어를 실행하면 하단 좌측의 이미지에서 보는 것과 같이, 악성 동작을 하기 위해 각종 권한을 획득한다. 그리고 백그라운드 모드에서 원격제어 동작을 수행한다. 먼저, 원격지와 연결하여 명령을 받아와 악성 동작을 이어간다. 원격제어 동작은 아래의 표와 같다. 이때, 'UploadInfo' 명령을 받을 때 다음의 정보를 탈취하고, 탈취한 정보..

최근, "Video Player.apk"라는 이름으로 악성 원격제어 앱이 발견되었다. 해당 앱은 원격지와 연결하여 파일을 다운로드하거나 단말기의 정보 및 등을 탈취한다. 그리고 추가적인 원격제어 동작 여부를 설정하고 원격지에서 받아온 데이터를 통해 특정 번호로 문자메시지를 전송하거나, 전화를 할 수도 있다. 해당 앱은 스토어에서 판매되지는 않지만, 웹 페이지 등 그 외의 경로로 배포된 것으로 추정된다. ExpndBot 은 하단 좌측 이미지와 같이 영상 재생 앱을 위장하고 있으며, 실행하면 앱 활성화를 유도한다. 앱이 처음 실행될 때, 해당 앱이 백그라운드 모드에서 악성동작하는 것을 사용자가 눈치채지 못하도록 모든 소리를 음소거하고 화면을 잠근다. 원격지와 연결되면 아래의 명령을 수행한다. 만약 원격지와 ..

2021년 10월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. 악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 ..

최근 PhoneSpy 원격제어 악성 앱이 새롭게 등장하였다. 해당 앱은 요가 교육 앱, 사진 정리 앱과 같이 라이프스타일 앱을 사칭하였으며, 소셜 네트워크나 악성 웹 사이트 리디렉션 등의 방식으로 유포된 것으로 추정된다. 만일 사용자가 정상 앱으로 착각하여 PhoneSpy 앱을 실행하면, 수신 및 발신되는 연락처, 문자 메시지 등 각종 정보가 탈취된다. 그리고 원격지에서 명령을 받아와 카메라 사진 및 동영상 촬영의 동작도 수행할 수 있다. 다음은 "Daily Yoga" 이름으로 유포된 PhoneSpy 앱으로 실행하면 각종 권한을 요구한다. 단말기에서 최초로 실행할 때, 아이콘을 숨김 모드로 설정을 한다. 이는 홈 화면에서 해당 앱이 보이지 않기 때문에 사용자가 눈치채지 못한 상태에서 지속성을 유지할 수 ..

최근, "Cyble Research Labs" 은 일본을 대상으로 정보 탈취 동작을 수행하는 "FakeCop" 이라는 악성 앱을 발견 하였다. "FakeCop" 은 일본의 통신회사에서 제공하는 백신 앱으로 위장해 사용자 단말기 내 주요 정보들을 수집하여 외부 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 기본 SMS 앱을 악성 앱으로 변경하도록 유도한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송한다. 아래는 악성 앱이 정보 탈취에 사용하는 프록시 서버로, 프록시 서버에 접근하면 원격지 주소를 확인할 수 있다. "FakeCop" 은 원활한 악성 동작을 수행하기 위해, 단말기 내에 보안 앱이 설치되어 있는지 확인하..

Donot Team은 APT-C-35라고도 불리며, 2020년 처음 등장한 이래로 특정 국가를 대상으로 지속적인 공격을 수행하였다. 주로 모바일 단말기를 대상으로 Firestarter 악성코드를 사용하여 APT 공격을 수행하였는데, 최근에 변종이 등장하였다. 이번에 등장한 변종은 지난 캠페인의 악성 동작과 유사하지만, 코드를 난독화 하거나 추가적인 악성동작을 수행하는 등 더욱 치밀하게 제작되었다. 지난 4월의 APT 공격은 자사 블로그에서도 언급한 바가 있어 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/3919 앱을 실행하면 아래의 이미지와 같이, 각종 권한을 획득한 다음 아무런 화면도 띄우지 않지만, 각종 악성 동작이 수행된다. 해당 악성코드는 단말기의 유심 정..

공격자는 언제나 사람들을 유혹하기 위해 유행하는 콘텐츠를 활용한다. 최근 넷플릭스의 오징어 게임이 세계적인 인기를 끌면서 이와 관련된 안드로이드 악성 앱이 우후죽순으로 늘고 있다. 이번에 발견된 안드로이드 앱은 겉으로는 바탕화면을 오징어 게임과 관련된 이미지로 바꾸는 기능을 가졌지만, 백그라운드에서 Joker 라는 이름으로 알려진 악성 앱을 다운로드하고 실행한다. 악성 앱을 실행하면 서버로부터 so 확장자의 추가 악성 파일을 다운로드하고 로딩한다. so 확장자 파일은 또 다른 서버로부터 암호화된 Joker 악성 앱을 다운로드하며, 복호화 후 실행하여 본격적인 악성 행위를 준비한다. 다운로드된 Joker 는 사용자 몰래 유료 구독 서비스를 결제하는 기능을 수행한다. C&C 서버로부터 이와 관련된 작업 데이..

최근 다양한 경로로 안드로이드 악성 앱이 유포되어 문제가 되고 있는 와중에, Google Play에서 정상 앱을 위장한 악성 앱이 발견되어 큰 주의가 필요하다. 이 악성 앱은 “GoGo VPN”이라는 이름으로 유포되었으며, Facebook 로그인을 유도하여 입력된 사용자 정보를 웹사이트의 쿠키를 통해 탈취한다. 지난 8월에 발견된 FlyTrap 악성코드와 유사한 동작으로 해당 정보는 아래의 링크를 통해 확인할 수 있다. https://isarc.tachyonlab.com/4389 해당 앱은 현 분석시점에도 Play에서 판매중인 것으로 확인된다. 앱을 실행하면 하단 좌측 화면과 같이 연결을 요구하여, 해당 버튼을 누르면 Facebook 로그인을 요구한다. 이래의 그림과 같이 획득한 토큰은 Base64로 인..