잉카인터넷 시큐리티대응센터 블로그

개요 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 긴급(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Qualcomm 칩셋 v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2022-05-01#asterisk https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2022-bulletin.html

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위독함 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Qualcomm v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2022-04-01 https://www.qualcomm.com/company/product-security/bulletins/april-2022-bulletin

최근 정상 VPN으로 위장한 악성 앱이 유포되었다. 해당 앱은 Hydra VPN SDK 오픈소스를 사용하여 정상적인 VPN의 동작을 수행하여 사용자를 속이고, SMS 메시지와 연락처 등 각종 데이터를 탈취하는 악성 동작을 수행한다. 해당 앱은 아래의 화면과 같이 VPN 서비스 업체의 웹 사이트로 위장하여 악성 앱을 유포한다. 해당 웹 사이트의 주소는 정상 서비스 중인 한 VPN 업체의 주소와 유사하다. 이 앱은 Hydra VPN SDK 오픈 소스를 통해 VPN 서버 URL에 연결한다. 연결된 서버에 위치 정보 및 시그니처 등 기본 정보를 전송한다. 앱이 실행되면 아래의 화면과 같이 'Activation Key'를 입력하도록 요구한다. 이 'Activation Key'는 원격지 서버에 연결하여 토큰 등의 ..

지난 3월 초, Escobar 앱이 등장하였다. 해당 악성 앱은 에뮬레이터를 탐지하고, 저장된 각종 정보를 탈취하며 카메라 사진 촬영 및 녹화 등의 악성 동작을 수행한다. 그 외에도 원격지와 연결하여 명령을 수행하는 Bot 동작 등을 수행한다. 호주 기반의 사이버 보안 회사인 Cyble에 따르면, 해당 앱은 Aberebot의 변종으로 전해지지만 악성 동작 특징 및 코드의 유사점을 찾아보긴 어렵다. 최근 유포된 Escobar는 아래의 이미지와 같이, 특정 보안 앱으로 위장하여 유포된다. 단말기의 시스템 정보를 확인하여, 에뮬레이터를 탐지하고 실 단말기로 판단되면 악성 동작을 수행한다. 각종 권한을 획득하여 다양한 정보를 탈취한다. 아래의 코드는 SMS 메시지 정보를 탈취하는 코드이며, 그 외에도 통화기록,..

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 비판적인(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android AOSP v12 및 이후 버전 - Qualcomm 칩셋 v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2022-03-01 https://www.qualcomm.com/company/product-security/bulletins/march-2022-bulletin

최근, 공공기관을 사칭하는 보이스 피싱, 스미싱 문자, 악성 앱이 증가하고 있어 사용자들의 주의가 필요하다. 주로 이렇게 공공기관, 금융, 포털 등을 사칭한 악성 앱 들은 육안상으로는 구별이 어려울 정도로 정상 앱과 유사하게 만들 뿐만 아니라 사용자들의 관심을 유도하기 위해 다양한 형태의 문자 메시지를 이용하고 있는 것으로 보여 진다. 아래의 링크는 공공기관을 사칭한 내용에 대해 게시된 자사 블로그 글이다. ▶2022.02.16 - 교통민원 24(이파인) 으로 위장한 악성 앱 주의 법무부로 사칭한 악성 앱을 설치 후 실행하면 정상 앱과는 다르게 과도한 권한을 요구하는 것을 확인 할 수 있다. 해당 악성 앱은 과도한 권한 뿐만 아니라 접근성 서비스와 함께 백그라운드 동작도 허용해주길 요구한다. 백그라운드 ..

지난 2월 초, "Trend Micro" 에서 인도의 정부 기관 및 군사 기관을 상대로 정보 탈취 공격을 시도하는 "CapraRAT" 악성 앱을 발견하였다. 해당 악성 앱은 백그라운드 동작으로 단말기 내 다양한 정보들을 수집하고 외부 원격지의 명령을 받아 추가 악성 동작을 수행하기 때문에 사용자들의 주의가 필요하다. 먼저 악성 앱이 실행 되면, 사용자가 알아차리기 어렵도록 아이콘을 숨김 속성으로 변경하고 과도한 권한을 요구한다. 그 후, 백그라운드 동작으로 단말기 내 SMS 정보, 통화 기록, 이메일 주소 등에 접근하여 데이터를 수집 한다. 또한, 단말기의 위치 정보를 수집하기 위해 연결된 네트워크 정보와 GPS 값을 읽고 수집한다. 수집 한 정보들은 외부 원격지로 전송한다. 정보 수집 뿐만 아니라, 명..

지난 해, 7월 KISA 한국인터넷 진흥원에서는 "질병관리청COOV" 사칭문자에 관하여 사용자들의 주의가 필요하다는 안내글을 다룬적이 있다. 아래의 링크는 "질병관리청COOV" 에 관하여 다룬 KISA 한국인터넷 진흥원의 공지사항이다. ▶ 질병관리청 예방접종증명서 사칭 스미싱 주의 권고 이번에 발견 된 스미싱 문자는 "교통 민원24(이파인)" 을 사칭한 스미싱 문자로, 앞서 언급하였던 "질병관리청 예방 접종 증명서" 를 사칭한 스미싱 문자와 일부 내용을 제외하고는 기능상 동일한 악성 앱을 유포 하는 것 으로 확인 된다. 문자를 수신한 사용자가 해당 링크로 접속할 경우 "경찰청 교통민원24"로 위장한 피싱 사이트로 연결되며 휴대전화 번호, 이름 및 생년월일과 같은 개인정보 입력을 요구한다. 개인 정보 입력..

지난 1월 말 국내 온라인 쇼핑몰을 사칭한 악성 앱이 등장하였다. 해당 앱은 보이스피싱 악성 앱으로 발신 전화를 가로채고, 수신 전화의 번호를 변경하여 사용자에게 표시하는 등의 악성 동작을 수행한다. 이와 같은 보이스피싱 악성 앱은 지난 2017년부터 유포되어, 악성 기능이 발전되는 등 지속적인 변화를 보여주는 것으로 알려진다. 금융보안원은 작년 3분기동안 유포된 보이스피싱 악성 앱을 특징에 따라 3가지로 분류하였다. 그 중 SecretVoice는 6월부터 활발하게 유포되었으며, 최근 발견된 악성 앱 또한 이와 유사한 형태로 보여진다. 최근 발견된 SecretVoice는 하단 좌측 이미지와 같은 화면을 띄워 'pay 쇼핑'을 사칭한다. 앱을 실행하면, 아래의 코드에서 보이는 각종 보안 프로그램을 탐지하여..

최근, 글로벌 물류 업체인 "DHL" 아이콘으로 위장한 "Aberebot" 악성 앱이 발견되었다. 해당 악성 앱은 실행 시 "DHL"앱인 것처럼 화면을 출력하지만 아무런 기능이 존재하지 않는다. 하지만, 백그라운드 동작 방식으로 사용자 단말기의 민감한 정보들을 수집하고 텔레그램을 이용하여 데이터를 전송하기 때문에 사용자들의 주의가 필요하다. 과거 자사 블로그에서는 "Aberebot" 에 대하여 다룬 적이 있다. 해당 내용은 아래에서 확인해 볼 수 있다. ▶ Aberebot 악성 앱 주의 과거 악성 앱과 비교하였을 때 이번에는 기존의 금융 앱들 뿐만 아니라, 사용자들이 자주 이용하는 SNS (Facebook, Instagram) 들이 오버레이 공격 목록에 추가되었다는 점과 알림 메시지의 내용을 수집하여 전..