잉카인터넷 시큐리티대응센터 블로그

지난 1월 말 국내 온라인 쇼핑몰을 사칭한 악성 앱이 등장하였다. 해당 앱은 보이스피싱 악성 앱으로 발신 전화를 가로채고, 수신 전화의 번호를 변경하여 사용자에게 표시하는 등의 악성 동작을 수행한다. 이와 같은 보이스피싱 악성 앱은 지난 2017년부터 유포되어, 악성 기능이 발전되는 등 지속적인 변화를 보여주는 것으로 알려진다. 금융보안원은 작년 3분기동안 유포된 보이스피싱 악성 앱을 특징에 따라 3가지로 분류하였다. 그 중 SecretVoice는 6월부터 활발하게 유포되었으며, 최근 발견된 악성 앱 또한 이와 유사한 형태로 보여진다. 최근 발견된 SecretVoice는 하단 좌측 이미지와 같은 화면을 띄워 'pay 쇼핑'을 사칭한다. 앱을 실행하면, 아래의 코드에서 보이는 각종 보안 프로그램을 탐지하여..

최근, 글로벌 물류 업체인 "DHL" 아이콘으로 위장한 "Aberebot" 악성 앱이 발견되었다. 해당 악성 앱은 실행 시 "DHL"앱인 것처럼 화면을 출력하지만 아무런 기능이 존재하지 않는다. 하지만, 백그라운드 동작 방식으로 사용자 단말기의 민감한 정보들을 수집하고 텔레그램을 이용하여 데이터를 전송하기 때문에 사용자들의 주의가 필요하다. 과거 자사 블로그에서는 "Aberebot" 에 대하여 다룬 적이 있다. 해당 내용은 아래에서 확인해 볼 수 있다. ▶ Aberebot 악성 앱 주의 과거 악성 앱과 비교하였을 때 이번에는 기존의 금융 앱들 뿐만 아니라, 사용자들이 자주 이용하는 SNS (Facebook, Instagram) 들이 오버레이 공격 목록에 추가되었다는 점과 알림 메시지의 내용을 수집하여 전..

최근, 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 이 앱은 알림 화면 등에서 한국어를 사용하여 한국인을 대상으로 공격을 시도하는 것으로 추정되며, 단말기에 저장된 문자메시지를 비롯하여 연락처, 이미지 정보를 탈취한다. 해당 앱은 앱스토어와 같이 일반적인 설치 경로가 아닌, 웹 페이지를 통해 유포된 것으로 전해진다. 아래의 이미지와 같이 다운로드 서버에 연결하면 악성 앱이 다운로드된다. 현 시점에는 해당 서버에 연결되지 않는다. 앱을 실행하면, 아래의 그림과 같이 악성 동작에 필요한 각종 권한을 요구한다. 권한을 획득한 다음, 앱에서 서버 점검중이라는 화면을 띄우지만, 정보탈취 동작을 수행한다. 연락처 정보 중에서 고유 ID, 연락처 이름, 전화번호, 별명 정보를 획득하여 원격지에 전송하..

2021년 6월 말, .Cleafy 대응팀은 "BRATA" 라는 악성 앱을 처음 발견하였다. 이 악성 앱은 "Sicurezza Dispositivo" 또는 "AntiSPAM" 등의 아이콘으로 위장하여 이탈리아 은행 앱을 사용하는 고객들을 대상으로 공격하였다고 알려졌다. 사용자가 정상 앱으로 인지하여 악서 앱을 실행하였을 경우 접근성 서비스를 허용하도록 유도하고 사용자가 이를 허용하면 단말기 내 주요 정보들을 수집하여 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 제일 먼저 사용자에게 접근성 서비스 권한을 요청한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송하거나, 특정 번호에서 문자 메시지가 수신되면 차단한다. 또한, 사용자..

최근 메신저 앱을 위장하여, 사용자의 개인적인 정보를 탈취하는 악성 앱이 등장하였다. 해당 악성 앱은 사용자 단말기에 나타나는 알림메시지의 정보를 획득하고, 타 메신저 애플리케이션에 접근하여 사용자의 채팅 내용을 탈취한다. 국내외 사용자가 많은 Whatsapp 과 Signal 메신저 앱을 대상으로 악성 동작을 수행한다. 해당 앱은 아래의 이미지와 같이 'Crazy Talk'라는 이름의 메신저 앱으로 유포되었다. 앱을 실행하면, 아래의 그림과 같이 전화번호 인증을 요구한다. 사용자가 입력한 번호가 정상적인 번호인지 OTP번호를 통해 확인한다. 단말기에 연락처가 저장되어 있는지 확인하고, 연락처의 이름과 전화번호를 탈취한다. 그리고 Whatsapp 의 기본 앱과 Business 용 앱에 대해 각종 정보를 탈..

최근 300개 이상의 금융 앱을 표적으로 하는 공격이 Anubis 악성코드가 발견되었다. 해당 악성 앱은 안드로이드 단말기를 대상으로 Orange SA 앱을 위장하여 유포되었다. 2016년부터 활동한 것으로 알려진 Anubis 악성코드는 2020년, 쇼핑 및 은행 앱을 대상으로 하는 대규모 캠페인을 통해 발견된 바 있다. 해당 캠페인에서는 로그인 자격증명을 탈취하는 등의 악성 동작을 수행하였으나, 최근 공격에서는 녹음, 키로깅, DB 정보 탈취 등으로 악성 동작이 확대되었다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.15) - Anubis Android malware returns to target 394 financial apps https:..

집콕 생활이 연장되면서 스마트폰 사용이 계속해서 증가되는 가운데, 최근 안드로이드 단말기를 대상으로 하는 ScreenLocker 악성코드가 다량 유포되었다. ScreenLocker 악성코드는 화면에 암호 창을 띄워 피해자 단말기의 사용을 방해하고, 금전적인 요구를 한다. 최근 다량 발견된 이 악성 앱은 정상 앱으로 위장하고, 빨간 색의 알림 창을 띄우는 것이 특징이다. ScreenLocker은 아래의 이미지와 같이 Netflix, Instagram, Whatsapp등 많이 사용되는 앱을 위장하여 유포되었다. 앱을 실행하면, 하단 좌측 이미지와 같이 파일 암호를 입력하거나 비트코인을 요구한다. 암호를 입력하면 악성코드는 종료된다. 그 외의 악성 동작은 없으나, 암호를 입력하기 전까지 재부팅하거나 화면을 껐..

최근, 북한을 배후로 추정되는 ScarCraft APT그룹의 악성 공격이 발견되었다. 해당 공격에서는 악성 문서, 실행파일, 어플리케이션이 사용되었으며, 그 중 안드로이드 단말기를 대상으로 하는 악성 앱은 Chinotto 스파이웨어라고 불린다. 이 앱은 원격지와 통신하여 단말기의 정보 및 사용자의 문자메시지, 연락처 정보 탈취 등의 동작을 수행한다. Chinotto 스파이웨어를 실행하면 하단 좌측의 이미지에서 보는 것과 같이, 악성 동작을 하기 위해 각종 권한을 획득한다. 그리고 백그라운드 모드에서 원격제어 동작을 수행한다. 먼저, 원격지와 연결하여 명령을 받아와 악성 동작을 이어간다. 원격제어 동작은 아래의 표와 같다. 이때, 'UploadInfo' 명령을 받을 때 다음의 정보를 탈취하고, 탈취한 정보..

최근, "Video Player.apk"라는 이름으로 악성 원격제어 앱이 발견되었다. 해당 앱은 원격지와 연결하여 파일을 다운로드하거나 단말기의 정보 및 등을 탈취한다. 그리고 추가적인 원격제어 동작 여부를 설정하고 원격지에서 받아온 데이터를 통해 특정 번호로 문자메시지를 전송하거나, 전화를 할 수도 있다. 해당 앱은 스토어에서 판매되지는 않지만, 웹 페이지 등 그 외의 경로로 배포된 것으로 추정된다. ExpndBot 은 하단 좌측 이미지와 같이 영상 재생 앱을 위장하고 있으며, 실행하면 앱 활성화를 유도한다. 앱이 처음 실행될 때, 해당 앱이 백그라운드 모드에서 악성동작하는 것을 사용자가 눈치채지 못하도록 모든 소리를 음소거하고 화면을 잠근다. 원격지와 연결되면 아래의 명령을 수행한다. 만약 원격지와 ..

2021년 10월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. 악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 ..