분석 정보877 암호화폐 트래커 사칭 앱, MaliBot 암호화폐에 대한 관심이 높아지는 만큼 암호화폐 관련 앱을 위장한 악성 앱이 다양한 방식으로 유포된다. 최근에 암호화폐의 가격 및 뉴스 등을 알려주는 암호화폐 포트폴리오 트래커(Crypto Portfolio Tracker) 앱을 위장한 악성 코드 MaliBot이 등장하였다. 해당 악성코드는 안드로이드 단말기를 대상으로 하여, 웹사이트 및 SMS 등으로 유포되었다. 해당 앱을 실행하면, 단말기에 저장된 각종 정보를 탈취하고 원격제어 등의 악성 동작을 수행한다. MaliBot은 아래 그림과 같이 정상 사이트를 위장하여 안드로이드 단말기에서 접속하면 악성 앱을 다운로드하도록 한다. 웹페이지를 랜더링하는 장치 정보를 확인하여 AndroidOS인 경우 ‘cryptoapp.apk’를 다운로드하고, iOS또는 그 외의.. 2022. 6. 22. Google Play에서 판매중인 악성 앱 최근 Google Play에서 악성코드가 다량 유포되었다. 해당 악성코드는 페이스북 계정 정보를 탈취하거나, 유료 앱 구매를 유도하고 사용자 동의 없이 광고를 띄워 수익을 얻는 등의 악성 동작을 수행한다. 작년에도 이와 유사한 동작을 하는 악성 앱이 Google Play를 통해 유포되어 자사 블로그에서 언급한 바 있다. https://isarc.tachyonlab.com/4555 이 악성코드들 중 일부는 판매가 중단되기도 하였으나, 일부 악성 앱도 아직까지 판매 중이다. 아래는 Google Play에서 판매된 악성 앱의 정보이다. 그중 광고 수익을 창출하는 Adware 악성 앱은 아래의 그림과 같이, 유료 앱을 구매하도록 유도하면서 사용자의 동의 없이 광고를 띄워 수익을 창출한다. 악성 앱들은 Googl.. 2022. 6. 17. 디스코드를 악용하는 SaintStealer 악성코드 최근 사용자 PC에서 정보를 탈취하는 “SaintStealer” 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다. “SaintStealer” 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게 전송되며, [그림 1]은 직접 디스코드 서버를 구축한 후 웹훅(Webhook)을 사용해 정보를 획득한 결과이다. 분석 및 중복 실행 방지 “SainStealer” 악성코드는 중복 실행 방지를 목적으로 프로세스 목록을 확인해 동일한 프로세스가 실행 중이면 실행한 악성코드를 종료한다. 또한, 샌드박스 기반 프로그램인 “.. 2022. 6. 15. 배달 앱 위장한 ERMAC 2.0 최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다. ERMAC 2.0은 ‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다. 해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다. 단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다. 정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림.. 2022. 6. 2. 소셜 미디어 사용자의 정보를 탈취하는 FFDroider Stealer 악성코드 최근 소셜 미디어 사용자의 정보를 탈취하는 "FFDroider" Stealer 악성코드가 발견됐다. 보안 업체 Zscaler에 따르면 "FFDroider" 악성코드는 소프트웨어 크랙 및 토렌트 사이트에서 다운로드한 파일 등을 통해 유포된 것으로 알려졌다. 사용자가 해당 악성코드를 실행하면 먼저, 웹 브라우저에 저장된 쿠키 및 자격 증명 정보를 수집한다. 이후, 수집한 정보 중 페이스북 등의 소셜 미디어와 관련된 쿠키 정보를 사용해 인증을 시도하며, 정상적으로 인증되면 사용자의 소셜 미디어 정보가 유출될 수 있다. 브라우저 및 웹사이트 정보 탈취 “FFDroider” 악성코드는 크롬, 마이크로소프트 엣지 등 [표 1]에 작성된 웹 브라우저를 대상으로 쿠키 및 자격 증명 정보를 수집한다. 그 후, 수집한 정.. 2022. 5. 13. BazaLoader 및 IcedID를 배포하던 그룹의 새로운 Bumblebee 악성코드 최근 “BazaLoader” 및 “IcedID”를 배포하던 사이버 해킹 그룹이 “Bumblebee” 라는 새로운 악성코드를 유포하기 시작했다. 해당 악성코드를 배포하기 위해 공격자는 대상에게 바로 가기 파일과 DLL 파일이 포함된 ISO 파일을 첨부하여 메일을 전송하는 것으로 알려졌다. “Bumblebee” 악성코드는 ISO 파일 내부에 있는 LNK(바로 가기) 파일을 실행하면 정상 프로세스인 “rundll32.exe”를 통해 DLL 파일을 로드하여 실행한다. 실행된 DLL 파일은 감염된 시스템의 권한을 획득하여 사용자의 PC를 원격으로 제어하며 추가 악성코드를 다운로드하고, APC(비동기 프로시저 호출) 인젝션을 통해 실행한다. Analysis “Bumblebee” 악성코드는 ISO 파일로 유포되며 내.. 2022. 5. 10. 이전 1 ··· 13 14 15 16 17 18 19 ··· 147 다음
