잉카인터넷 시큐리티대응센터 블로그

최근 구글 크롬 앱으로 위장해 유포되는 악성 안드로이드 앱 “TrickMo”가 발견됐다. 해당 악성 앱은 잘못 구성된APK 파일, Dynamic Dex Loading 및 APK 드롭 등을 이용해 분석을 방해하고 탐지를 회피할 수 있도록 설계됐다. 특히, Dynamic Dex Loading은 Dex 파일을 동적으로 로딩하는 기법으로 디컴파일 도구에서 원본 데이터에 접근할 수 없도록 한다. 또한, 앱의 리소스에서 실질적인 악성 동작을 수행할 “TrickMo”의 APK 데이터를 읽어와 설치하는 방식을 사용하며 최종 설치된 “TrickMo”는 공격자가 운영하는 C&C 서버에서 명령어를 수신 및 실행해 데이터 수집과 원격 제어 등의 동작을 수행한다. 1. 분석 방지 및 탐지 회피1.1. 잘못 구성된 APK 파일“..

1. 국내 인터넷 뱅킹 이용자를 노린 보안위협 증대잉카인터넷 대응팀은 2012년 중순 경부터 본격적으로 전자금융사기용 악성파일(KRBanker) 경계경보령을 발령한 상태이다. 국내 시중은행의 인터넷 뱅킹 이용자를 겨냥한 악성파일들이 무차별적으로 연일 유포되고 있기 때문이다. 특히, 지난 달에는 일정기간 잠복기를 가지며, 시스템 파일 삭제기능을 탑재한 파괴형까지 등장하면서 연일 전자금융서비스 이용자들의 안전에 적신호가 켜진 상태이다. 국내 금융정보 탈취기반의 악성파일(KRBanker) 제작자들은 이미 전문화된 국제 사이버 범죄조직으로 운영되고 있으며, 정교하게 제작된 악성파일과 피싱(파밍)사이트를 통해서 호시탐탐 국내 인터넷 뱅킹 이용자들의 예금인출을 노리고 있는 형국이다. 공격자들은 국내 유수의 웹 사이..