분석 정보/모바일 분석 정보171 책으로 위장한 악성 앱 유포 최근 전쟁 등의 이유로 국가적 대립이 심화되면서, 이와 관련된 악성 앱이 등장하였다. 해당 앱은 `The China Freedom Trap`이라는 책으로 위장하였으며, 이 책은 위구르 회의 회장인 `Dolkun Isa`의 저서로 위구르 정치인으로 일한 경험과 중국에 대한 이야기를 담고 있다. 악성 앱은 아래의 이미지와 같이 해당 책을 소개하는 듯한 내용을 담고 있지만, 녹취 및 정보 탈취, 원격제어 등의 악성 동작을 수행한다. 단말기에 새로운 발신 전화가 발생하면, 음성 통화의 소스를 DB에 저장한다. 그리고 수신 전화가 발생하면, 단말기의 마이크에 수집되는 정보를 저장한다. 원격지와 통신하여 명령을 받으면, SMS 메시지 정보, 단말기 정보 등을 탈취할 수 있다. 그 외에도 카메라에 접근하여 사용자 몰.. 2022. 9. 6. 업무용 메신저 사칭 앱 유포 최근 Microsoft의 비즈니스 커뮤니케이션 플랫폼인 Teams를 사칭한 악성 앱이 유포되었다. 해당 앱은 Microsoft의 로그인 화면을 띄워 정상적으로 동작하는 것처럼 보이지만, 사용자 몰래 원격지와 통신하여 추가적인 악성 동작을 수행한다. 아래의 그림과 같이 악성 앱과 정상 앱의 아이콘에 차이가 있다. 악성 앱에서 사용된 아이콘은 과거에 사용하던 아이콘으로, 정상 앱을 최신 버전으로 다운로드하면 우측 이미지의 아이콘으로 다운로드가 된다. 사용자를 속이기 위해, 앱을 실행하면 아래와 같이 로그인 화면을 띄우고 정상적인 앱인 척 한다. 또한, 사용자 몰래 아래의 메소드를 백그라운드 모드로 실행한다. 해당 클래스는 원격지와 통신하여 추가 파일을 다운로드하고 로드하는 등의 동작을 수행한다. 해당 악성 .. 2022. 7. 11. 암호화폐 트래커 사칭 앱, MaliBot 암호화폐에 대한 관심이 높아지는 만큼 암호화폐 관련 앱을 위장한 악성 앱이 다양한 방식으로 유포된다. 최근에 암호화폐의 가격 및 뉴스 등을 알려주는 암호화폐 포트폴리오 트래커(Crypto Portfolio Tracker) 앱을 위장한 악성 코드 MaliBot이 등장하였다. 해당 악성코드는 안드로이드 단말기를 대상으로 하여, 웹사이트 및 SMS 등으로 유포되었다. 해당 앱을 실행하면, 단말기에 저장된 각종 정보를 탈취하고 원격제어 등의 악성 동작을 수행한다. MaliBot은 아래 그림과 같이 정상 사이트를 위장하여 안드로이드 단말기에서 접속하면 악성 앱을 다운로드하도록 한다. 웹페이지를 랜더링하는 장치 정보를 확인하여 AndroidOS인 경우 ‘cryptoapp.apk’를 다운로드하고, iOS또는 그 외의.. 2022. 6. 22. Google Play에서 판매중인 악성 앱 최근 Google Play에서 악성코드가 다량 유포되었다. 해당 악성코드는 페이스북 계정 정보를 탈취하거나, 유료 앱 구매를 유도하고 사용자 동의 없이 광고를 띄워 수익을 얻는 등의 악성 동작을 수행한다. 작년에도 이와 유사한 동작을 하는 악성 앱이 Google Play를 통해 유포되어 자사 블로그에서 언급한 바 있다. https://isarc.tachyonlab.com/4555 이 악성코드들 중 일부는 판매가 중단되기도 하였으나, 일부 악성 앱도 아직까지 판매 중이다. 아래는 Google Play에서 판매된 악성 앱의 정보이다. 그중 광고 수익을 창출하는 Adware 악성 앱은 아래의 그림과 같이, 유료 앱을 구매하도록 유도하면서 사용자의 동의 없이 광고를 띄워 수익을 창출한다. 악성 앱들은 Googl.. 2022. 6. 17. 배달 앱 위장한 ERMAC 2.0 최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다. ERMAC 2.0은 ‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다. 해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다. 단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다. 정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림.. 2022. 6. 2. VPN으로 위장하여 유포된 악성 앱 최근 정상 VPN으로 위장한 악성 앱이 유포되었다. 해당 앱은 Hydra VPN SDK 오픈소스를 사용하여 정상적인 VPN의 동작을 수행하여 사용자를 속이고, SMS 메시지와 연락처 등 각종 데이터를 탈취하는 악성 동작을 수행한다. 해당 앱은 아래의 화면과 같이 VPN 서비스 업체의 웹 사이트로 위장하여 악성 앱을 유포한다. 해당 웹 사이트의 주소는 정상 서비스 중인 한 VPN 업체의 주소와 유사하다. 이 앱은 Hydra VPN SDK 오픈 소스를 통해 VPN 서버 URL에 연결한다. 연결된 서버에 위치 정보 및 시그니처 등 기본 정보를 전송한다. 앱이 실행되면 아래의 화면과 같이 'Activation Key'를 입력하도록 요구한다. 이 'Activation Key'는 원격지 서버에 연결하여 토큰 등의 .. 2022. 3. 28. 이전 1 2 3 4 5 6 7 8 ··· 29 다음
