잉카인터넷 시큐리티대응센터 블로그

최근 DHL, FedEx 와 같은 유명 운송 회사의 앱으로 위장한 안드로이드 악성 앱 FluBot 이 기승을 부리고 있다. 유럽 국가를 중심으로 퍼져가는 이 정보 탈취형 악성 앱은 잠잠해지기는커녕, 지속적으로 버전 업하며 지원하는 언어를 추가하고 공격 대상 국가를 늘리고 있다. FluBot 을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, FluBot 은 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 행위에 사용할 수 있다. 이후 접근성 서비스 권한을 악용하여 기본 SMS 앱 설정 화면을 출력하고, 사용자 동의 없이 FluBot 을 기본 SMS 앱으로 설정한다. 이외에도 사용자가 접근성 서비스..

지난 3월 이슬람 금융법을 준수하는 공식 이슬람 블록 체인 거래소 Caizcoin이 출시되었다. 그리고 두 달 만에 Caizcoin 코인 거래소를 사칭한 앱이 유포되어 주의가 필요하다. 해당 악성 앱은 Caizcoin 사칭 사이트에서 유포되었으며, 사용자 정보를 탈취하고 다운로더의 기능을 한다. 하단의 이미지와 같이 정상 Caizcoin 사이트와 유사한 모습으로 가짜 사이트에서 악성 앱을 다운로드할 수 있다. Caizcoin의 정상 사이트에서는 구글 플레이에서 다운로드를 하도록 권장하며, 아래와 같이 구글 플레이에서 판매 중에 있다. 아래의 난독화 해제된 스크립트로 html 파일를 생성하고, 생성된 코드로 Webview를 생성하여 필요한 권한을 가진다. 생성된 Webview는 다음과 같이 사용자 단말기에..

최근, 한국인터넷진흥원(KISA)를 사칭한 악성 앱이 발견되었다. 해당 악성앱은 안드로이드 공식 앱스토어에 업로드 되어 있지 않지만 KISA 아이콘과 화면 UI 등을 위장하여 사용자의 정보를 탈취하기 때문에 각별한 주의가 필요하다. Analysis 해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 사용자로 하여금 필요한 권한을 허용하도록 유도한다. 악성앱은 재부팅 시에도 메인 서비스를 실행하기 위해 아래와 같이 BootCompletedBroadcastReceiver 의 권한을 이용한다. MainService 에서는 onStartCommand 를 재정의하여 비동기 태스크를 생성하고 단말기의 다양한 정보들을 수집하여 원격지로 전송한다. 악성코드들은 주로 공공 및 금융기..

'TeaBot' 또는 'Anatsa' 로 알려진 안드로이드 악성코드가 발견되었다. 해당 악성코드는 'TeaTV', 'VLC MediaPlayer', 'DHL', 'UPS' 와 같은 유명 택배 회사나 스트리밍 서비스 애플리케이션으로 위장하여 다양한 정보를 탈취하기 때문에 주의가 필요하다. 출처 : https://www.cleafy.com/documents/teabot Analysis 해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 사용자에게 접근성 서비스를 활성화 해야한다는 알람을 지속적으로 발생시켜 사용자로 하여금 접근성 서비스를 활성화 하도록 유도한다. 그 후, 해당 단말기의 정보를 확인하여, 각각의 단말기 별로 오버레이 공격을 수행한다. 오버레이 공격 기법은 ..

최근 안드로이드 단말기를 대상으로 하는 악성 어플리케이션이 많이 등장하여, 모바일 백신의 중요성이 커지고 있다. 이에 여러 보안회사에서 백신 프로그램을 배포하고 있는 한편, 이러한 백신 프로그램을 사칭한 악성 앱이 등장하였다. 해당 앱은 "Avast Android Antivirus Email Scanner 2021" 이라는 이름으로 유포되었으며, 단말기에 저장되어있는 사용자의 정보 탈취를 비롯하여 원격제어 동작을 하기에 주의가 필요하다. 해당 앱을 실행하면, 우측 하단 이미지에서 보이는 알림창을 빠르게 띄웠다 사라지며, 사용자가 눈치채지 못하게 백그라운드 모드에서 동작을 수행한다. 가짜 백신 앱은 사용자 단말기에 다양한 정보를 탈취한다. 먼저, 사용자의 화면을 캡처하여 파일로 저장한다. 해당 이미지는 외..

최근, 안드로이드 시스템 업데이트 앱으로 위장한 악성 앱이 발견 되었다. 해당 앱은 사용자의 정보를 원활하게 탈취하기 위해, 과도한 권한을 요구하며 ‘Background’ 로 실행하면 배터리 소모가 줄어들 것이라는 문구를 출력하여 사용자의 동의를 구한다. Analysis 해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 배터리 최적화 기능을 사용하지 않는다. 이는 앱을 사용하지 않는 동안 실행하지 못하거나, 백그라운드에서 실행되는 앱의 성능이 저하되는 것을 방지하기 위한 것으로 보여진다. 해당 악성 앱은 사용자 환경의 정보들을 탈취하기 위하여 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. 원격 제어 명령어들을 확인 해 본 결과, 다양한 ..

화웨이(Huawei) 안드로이드 기기 50만대 이상이 “Joker” 악성코드에 감염된 것으로 확인되었다. “Joker” 악성코드는 2017년부터 활동을 시작하며 알려진 안드로이드 악성코드로 Android의 공식 앱 스토어인 “Google Play”에서 자주 보였으며, 공격자들은 활동 규모를 확장하여 다양한 모바일 스토어에서 유포하였다. 화웨이 안드로이드 기기의 공식 앱 스토어인 “App Gallery”에서 정상 앱으로 위장한 10개의 악성 앱을 확인하였다. 악성 앱들은 온라인 메신저, 키보드, 카메라 등의 형태로 다양하게 분포되어 있으며, 대부분 한 개발사 (Shanxi Kuailaipai Network Technology Co., Ltd.)에 의해 개발된 것으로 알려져 있다. 해당 앱들의 누적 다운로드..

우리나라 성인의 93% 이상이 스마트폰을 사용하고 있는 요즘, 모바일을 대상으로 하는 APT 공격 그룹이 모습을 보이고 있어 주의가 필요하다. 해당 APT 그룹의 이름은 Donot Team으로 APT-C-35 라고도 불린다. 해당 그룹은 2016년부터 활동한 것으로 추정되며, 파키스탄 정부 관리를 비롯하여 카슈미르 비영리 단체 등을 대상을 타겟으로 공격을 수행한다. 지난 2020년 10월 Google Firebase Cloud를 악용하는 Firestarter 악성코드가 등장하였으며, 지난 18일에도 유사한 악성코드로 다량 유포되었다. 이번 캠페인에서는 아래의 이미지와 같이 안드로이드 업데이트 앱을 모방하여 어플리케이션을 디자인하였다. 해당 악성 앱을 실행하면 다음과 같이 악성 동작에 필요한 권한을 요구한..

넷플릭스 사칭 앱 최근 코로나 감염 바이러스로 인해, 집콕 생활이 장기화되면서 넷플릭스와 같은 OTT 미디어 서비스의 이용이 급증하고 있다. 이와 함께 해당 플랫폼을 사칭한 안드로이드 앱이 나타나 큰 주의가 필요하다. 해당 악성 앱은 메신저 어플리케이션 중에서 국내외 사용자가 많은 WhatsApp의 정보를 탈취하기에 주의가 필요하다. 해당 악성 앱은 FilxOnline 이라는 이름으로 Google Play 에서 판매되고 있었으며, 하기의 이미지와 같이 넷플릭스를 사칭하여 정상 앱과 유사한 모습과 이름으로 사용자를 속이고 있다. 해당 앱을 실행하면 다음과 같이 과도한 권한을 요구한다. 먼저, 메인 화면의 ‘Allow’ 버튼을 클릭하면 아래의 그림과 같이 오버레이가 가능하도록 설정을 바꾸기를 유도한다. 이는..

정상 앱 사칭 Clast82 유포 주의 지난 3월 Google Play 에 정상 앱을 위장한 악성 앱이 다량 발견되었다. 해당 악성코드는 Clast82로 Goolge의 Firebase 플랫폼을 C2서버로 이용하여 악성동작을 하는 특징을 가지고 있으며, 최종 페이로드는 안드로이드 악성 앱으로 악명 높은 AlienBot과 MRAT을 다운로드한다. 하기의 표와 같이 Clast82는 VPN을 비롯하여 여러 종류의 정상 앱으로 위장하였다. 위의 목록 중 다수가 Google Play 에서 삭제되었지만 일부는 아직까지 판매 중에 있어 주의가 필요하다. 해당 앱은 아래의 이미지와 같이, 악성 동작에 필요한 여러 권한을 취한다. 해당 앱은 악성 동작을 수행하기 전, ‘GooglePlayService’라는 이름으로 상태바..