안드로이드 78

국내 쇼핑몰을 사칭한 보이스피싱 앱

지난 1월 말 국내 온라인 쇼핑몰을 사칭한 악성 앱이 등장하였다. 해당 앱은 보이스피싱 악성 앱으로 발신 전화를 가로채고, 수신 전화의 번호를 변경하여 사용자에게 표시하는 등의 악성 동작을 수행한다. 이와 같은 보이스피싱 악성 앱은 지난 2017년부터 유포되어, 악성 기능이 발전되는 등 지속적인 변화를 보여주는 것으로 알려진다. 금융보안원은 작년 3분기동안 유포된 보이스피싱 악성 앱을 특징에 따라 3가지로 분류하였다. 그 중 SecretVoice는 6월부터 활발하게 유포되었으며, 최근 발견된 악성 앱 또한 이와 유사한 형태로 보여진다. 최근 발견된 SecretVoice는 하단 좌측 이미지와 같은 화면을 띄워 'pay 쇼핑'을 사칭한다. 앱을 실행하면, 아래의 코드에서 보이는 각종 보안 프로그램을 탐지하여..

Aberebot 악성 앱 주의

최근, 글로벌 물류 업체인 "DHL" 아이콘으로 위장한 "Aberebot" 악성 앱이 발견되었다. 해당 악성 앱은 실행 시 "DHL"앱인 것처럼 화면을 출력하지만 아무런 기능이 존재하지 않는다. 하지만, 백그라운드 동작 방식으로 사용자 단말기의 민감한 정보들을 수집하고 텔레그램을 이용하여 데이터를 전송하기 때문에 사용자들의 주의가 필요하다. 과거 자사 블로그에서는 "Aberebot" 에 대하여 다룬 적이 있다. 해당 내용은 아래에서 확인해 볼 수 있다. ▶ Aberebot 악성 앱 주의 과거 악성 앱과 비교하였을 때 이번에는 기존의 금융 앱들 뿐만 아니라, 사용자들이 자주 이용하는 SNS (Facebook, Instagram) 들이 오버레이 공격 목록에 추가되었다는 점과 알림 메시지의 내용을 수집하여 전..

한국 대상으로 정보탈취 앱 유포

최근, 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 이 앱은 알림 화면 등에서 한국어를 사용하여 한국인을 대상으로 공격을 시도하는 것으로 추정되며, 단말기에 저장된 문자메시지를 비롯하여 연락처, 이미지 정보를 탈취한다. 해당 앱은 앱스토어와 같이 일반적인 설치 경로가 아닌, 웹 페이지를 통해 유포된 것으로 전해진다. 아래의 이미지와 같이 다운로드 서버에 연결하면 악성 앱이 다운로드된다. 현 시점에는 해당 서버에 연결되지 않는다. 앱을 실행하면, 아래의 그림과 같이 악성 동작에 필요한 각종 권한을 요구한다. 권한을 획득한 다음, 앱에서 서버 점검중이라는 화면을 띄우지만, 정보탈취 동작을 수행한다. 연락처 정보 중에서 고유 ID, 연락처 이름, 전화번호, 별명 정보를 획득하여 원격지에 전송하..

BRATA 악성 앱 주의

2021년 6월 말, .Cleafy 대응팀은 "BRATA" 라는 악성 앱을 처음 발견하였다. 이 악성 앱은 "Sicurezza Dispositivo" 또는 "AntiSPAM" 등의 아이콘으로 위장하여 이탈리아 은행 앱을 사용하는 고객들을 대상으로 공격하였다고 알려졌다. 사용자가 정상 앱으로 인지하여 악서 앱을 실행하였을 경우 접근성 서비스를 허용하도록 유도하고 사용자가 이를 허용하면 단말기 내 주요 정보들을 수집하여 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 제일 먼저 사용자에게 접근성 서비스 권한을 요청한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송하거나, 특정 번호에서 문자 메시지가 수신되면 차단한다. 또한, 사용자..

안드로이드 대상 Anubis 악성코드

최근 300개 이상의 금융 앱을 표적으로 하는 공격이 Anubis 악성코드가 발견되었다. 해당 악성 앱은 안드로이드 단말기를 대상으로 Orange SA 앱을 위장하여 유포되었다. 2016년부터 활동한 것으로 알려진 Anubis 악성코드는 2020년, 쇼핑 및 은행 앱을 대상으로 하는 대규모 캠페인을 통해 발견된 바 있다. 해당 캠페인에서는 로그인 자격증명을 탈취하는 등의 악성 동작을 수행하였으나, 최근 공격에서는 녹음, 키로깅, DB 정보 탈취 등으로 악성 동작이 확대되었다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.15) - Anubis Android malware returns to target 394 financial apps https:..

원격제어 악성 앱, ExpndBot

최근, "Video Player.apk"라는 이름으로 악성 원격제어 앱이 발견되었다. 해당 앱은 원격지와 연결하여 파일을 다운로드하거나 단말기의 정보 및 등을 탈취한다. 그리고 추가적인 원격제어 동작 여부를 설정하고 원격지에서 받아온 데이터를 통해 특정 번호로 문자메시지를 전송하거나, 전화를 할 수도 있다. 해당 앱은 스토어에서 판매되지는 않지만, 웹 페이지 등 그 외의 경로로 배포된 것으로 추정된다. ExpndBot 은 하단 좌측 이미지와 같이 영상 재생 앱을 위장하고 있으며, 실행하면 앱 활성화를 유도한다. 앱이 처음 실행될 때, 해당 앱이 백그라운드 모드에서 악성동작하는 것을 사용자가 눈치채지 못하도록 모든 소리를 음소거하고 화면을 잠근다. 원격지와 연결되면 아래의 명령을 수행한다. 만약 원격지와 ..

SharkBot 악성 앱 주의

2021년 10월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. 악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 ..

FakeCop 악성 앱 주의

최근, "Cyble Research Labs" 은 일본을 대상으로 정보 탈취 동작을 수행하는 "FakeCop" 이라는 악성 앱을 발견 하였다. "FakeCop" 은 일본의 통신회사에서 제공하는 백신 앱으로 위장해 사용자 단말기 내 주요 정보들을 수집하여 외부 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 기본 SMS 앱을 악성 앱으로 변경하도록 유도한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송한다. 아래는 악성 앱이 정보 탈취에 사용하는 프록시 서버로, 프록시 서버에 접근하면 원격지 주소를 확인할 수 있다. "FakeCop" 은 원활한 악성 동작을 수행하기 위해, 단말기 내에 보안 앱이 설치되어 있는지 확인하..

Android 제품 보안 업데이트 권고

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위독함 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android TV v2021-11-06 및 이후 버전 - Android AOSP v9, v10, v11, v12 및 이후 버전 - Qualcomm 칩셋 v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2021-11-01#android-tv https://source.android.com/security/bullet..

취약점 정보 2021.11.10

Donot Team의 새로운 변종 등장

Donot Team은 APT-C-35라고도 불리며, 2020년 처음 등장한 이래로 특정 국가를 대상으로 지속적인 공격을 수행하였다. 주로 모바일 단말기를 대상으로 Firestarter 악성코드를 사용하여 APT 공격을 수행하였는데, 최근에 변종이 등장하였다. 이번에 등장한 변종은 지난 캠페인의 악성 동작과 유사하지만, 코드를 난독화 하거나 추가적인 악성동작을 수행하는 등 더욱 치밀하게 제작되었다. 지난 4월의 APT 공격은 자사 블로그에서도 언급한 바가 있어 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/3919 앱을 실행하면 아래의 이미지와 같이, 각종 권한을 획득한 다음 아무런 화면도 띄우지 않지만, 각종 악성 동작이 수행된다. 해당 악성코드는 단말기의 유심 정..