잉카인터넷 시큐리티대응센터 블로그

사이버 보안 회사 ESET 에서 최근 유행하는 오디오 채팅 앱 클럽하우스로 위장한 정보 탈취형 악성 앱 BlackRock 이 발견된 사실을 게재했다. 클럽하우스는 유명인사의 실시간 대화를 들을 수 있어 인기를 끌었으나, iOS 기기만을 지원한다는 점 때문에 사용자의 불만이 있었다. 공격자는 이를 이용하여 악성 앱을 공식 안드로이드 버전 클럽하우스 앱으로 위장하고 사용자를 유인했다. 출처 : https://blog.eset.ie/2021/03/19/beware-android-trojan-posing-as-clubhouse-app/ [그림 2] 는 정상 클럽하우스 웹 사이트와 악성 앱을 배포하는 가짜 웹 사이트의 차이를 보여준다. 정상 웹 사이트는 "joinclubhouse.com" 도메인을 사용하며 iOS..

최근 국정원 사이버안보센터에서 국내 금융기관을 사칭한 악성 앱으로 인해 약 4만 대의 기기가 해킹된 사건을 발표했다. 보도된 악성 앱은 피해자의 스마트폰 정보를 탈취하고 통화, 문자 내역을 가로채는 등의 동작을 보였다. 해당 보도 이후에도 이와 유사하게 국내 금융기관 케이뱅크를 사칭한 안드로이드 기반 악성 앱이 발견되어 주의가 필요하다. 악성 동작 먼저 악성 앱은 현재 실행 환경의 통신 사업자 정보를 읽고 특정 문자열과 비교하여 가상 환경 여부를 확인한다. 가상 환경이면 악성 행위 없이 종료하여 동적 분석을 방해한다. 실행 시 가장 먼저 보이는 화면은 [그림 1] 과 같이 케이뱅크를 사칭한 이미지이다. 이미지 하단의 신용 대출 목록을 클릭하면 [그림 3] 과 같은 사용자 정보 입력 화면이 출력된다. 사용..

Covid-19 바이러스 확산으로 인한 사회적 거리 두기가 장기화 되면서 소개팅도 비대면으로 진행되는 시대가 왔다. 이에 온라인 데이팅 앱과 사용자가 크게 증가하였는데, 최근 국내의 한 언론사에서 “위피, 정오의 데이트, 아만다, 너랑나랑 소개팅, 돛단배, 빠른톡 등 국내 유명 데이팅 앱들이 이용자에게 제대로 알리지 않고 대화 내용을 수집해 왔다”고 알렸다. (관련기사 : http://news.kmib.co.kr/article/view.asp?arcid=0015606305&code=61121111&cp=nv) 대부분의 데이팅 앱은 알맞은 대화 상대를 매칭하기 위해 사용자의 다양한 개인 정보를 수집하게 되는데, 일부 앱에서 이때 수집되는 정보에 대해 명확하게 고지하지 않거나 필요 이상의 정보를 수집하는 것..

개요 보안 회사 Trend Micro 社 에서 10억 회 이상 다운로드된 인기 모바일 애플리케이션 SHAREit 에 대한 보안 취약점을 발표했다. 공격자는 해당 취약점을 악용하여 민감한 정보를 탈취하거나 임의 코드를 실행할 수 있다. 취약점 정보 SHAREit 은 특정 인텐트를 받아 액티비티를 실행하는 브로드캐스트 리시버가 존재한다. 공격자가 해당 브로드캐스트 리시버를 악용하면 SHAREit 을 통해 타 애플리케이션의 임의의 액티비티를 실행할 수 있다. SHAREit 은 http/https 프로토콜을 사용하고, 도메인이 "*.wshareit.com" 또는 "gshare.cdn.shareitgames.com" 인 딥 링크 URL 을 통해 파일 다운로드가 가능하다. 또한 ".sapk" 확장자 파일에 대한 설..

1. 웹 접속만으로 무조건 악성파일에 감염된다? 그건 아니다! 2005년 경부터 보안이 허술한 국내 웹 사이트가 변조되어 각종 악성파일이 끊임없이 유포시도 되고 있다. 보통 Drive by download 방식이라고 말하는 이 기법은 대표적인 3대 취약점(Microsoft, Adobe, Oracle)들이 주로 이용되고 있다. 따라서 이용자들은 마이크로 소프트사의 운영체제와 응용프로그램, 어도브사의 플래시 플레이어와 PDF 리더, 오라클사의 자바 프로그램 등을 항시 최신버전으로 업데이트하여 시스템을 유지하고, 개인용 보안솔루션을 함께 활용하면 악성파일 감염 빈도를 충분히 낮출 수 있다. 이용자 컴퓨터에 원격코드 실행가능한 보안취약점이 존재하지 않는 경우 악의적인(Exploit) 코드가 삽입된 웹 사이트에 ..

1. 신용카드 정보유출로 현혹 중인 스미싱 발견 잉카인터넷 대응팀은 2014년 01월 23일 오후 1시 26분 경 스미싱 원천 차단솔루션인 [뭐야 이 문자] 앱 이용자를 통해서 신용카드 정보유출 정보 확인내용으로 가장한 신종 스미싱 정보를 신고받았다. 관심사가 높은 사회적인 이슈를 사이버 범죄자들이 매우 적극적으로 활용하고 있기 때문에 안드로이드 스마트폰 이용자들의 각별한 주의가 요구된다. 더불어 안드로이드 스마트폰 이용자들은 악성앱 설치용 스미싱 공격에 직접적인 겨냥이 되고 있다는 점을 명심하고, 의심스러운 문자메시지를 무심코 클릭하거나 접속해 보지 않도록 하여야 한다. 또한, 잉카인터넷에서 무료로 배포 중인 [뭐야 이 문자] 앱을 설치해 두면 다양한 형태의 스미싱을 사전에 탐지하여 차단할 수 있다. ..

1. 이제는 모바일 메신저까지 노린다. 잉카인터넷 대응팀은 기존의 스마트뱅킹 악성앱 설치용 스미싱 범죄자들이 네이트온 메신저의 특정 계정을 해킹하여 모바일로 로그인되어 있는 상대방에게 안드로이드 악성앱(APK)을 유포시키는 실제 사례를 처음으로 발견하였다. 기존의 안드로이드 기반 악성앱이 문자메시지(SMS)를 통해서 다량 전파되고 있는 가운데 유명 모바일 메신저로 확대 시도되고 있다는 것이 공식 확인된 것이다. 공격자는 네이트온 메신저의 특정 이용자 계정을 도용해서 PC기반에서 로그인하였고, 로그인되어 있던 모바일 상대방들에게 악성앱을 전파시켰다. 실제 네이트온 메신저는 컴퓨터용에서 로그인을 하면 상대방이 모바일로 연결되어 있는지 PC로 로그인되어 있는지 구분할 수 있기 때문에 맞춤형 공격이 가능한 상태..

1. 비아그라 판매 내용으로 유혹하는 음란 스미싱 등장 잉카인터넷 대응팀은 안드로이드용 악성앱 관제 중에 새로운 유형으로 악성앱 설치를 유도하는 스미싱 기법을 최초탐지했다. 과거에도 성인사이트 앱처럼 위장하여 개인정보 탈취 등을 시도한 사례가 있기는 했었지만, 자주 발견되는 종류는 아니었다. 문자메시지(SMS)를 통한 다양한 형태의 스미싱이 창궐하고 있는 가운데, 이용자들의 감염율을 높이기 위해서 다양한 기법이 동원되고 있는 추세이다. 해당 스미싱 내용은 보안협력이 체결되어 있는 이동통신사 SKT 보안팀에 전달하여 조속히 차단될 수 있도록 협력 중이며, 유관기관 등에도 공유한 상태이다. 특히, 이번에 발견된 사례처럼 음란하고 자극적인 이미지를 포함한 경우, 표적공격용으로 활용이 가능하고, 호기심 유발로 ..

1. VOD 영화관의 무료영화감상 내용으로 둔갑한 문자사기 잉카인터넷 대응팀은 안드로이드 기반 스마트폰 이용자를 겨냥한 새로운 내용의 스미싱(Smishing)을 발견했다. 물론 스미싱용 문자메시지(SMS)가 갈수록 다변화되고 있기 때문에 이용자들은 URL 이나 IP주소 등의 인터넷 주소가 포함된 경우 가급적 접근을 자제하고 의심해 보는 노력이 필요하다. 이번에 확인된 유형은 국내에서 실제 서비스 중인 특정 영화감상 웹 사이트의 화면을 무단도용하였다. 문자메시지(SMS) 내용에는 마치 10주년 기념 이벤트처럼 이용자의 심리를 교묘하게 파고들었고, 무료로 영화를 감상할 수 있는 인터넷 바로가기 주소처럼 위장한 후 이용자를 현혹시켰다. 그런 다음에 문자메시지에 포함된 인터넷주소(URL)를 클릭하도록 유도한 후..

[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입 ☞ http://erteam.nprotect.com/449 [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 ☞ http://erteam.nprotect.com/448 [정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황 ☞ http://erteam.nprotect.com/445 [주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장 ☞ http://erteam.nprotect.com/442 [주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경 ☞ http://erteam.nprotect.com/431 [긴급]카카오톡 위장 악성앱 신종공격 기법 등장 ☞ http://erteam.nprotect.com/428 [주의]스..