Android 91

배달 앱 위장한 ERMAC 2.0

최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다. ERMAC 2.0은 ‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다. 해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다. 단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다. 정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림..

Android 제품 보안 업데이트 권고

개요 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 긴급(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Qualcomm 칩셋 v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2022-05-01#asterisk https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2022-bulletin.html

취약점 정보 2022.05.19

Android 제품 보안 업데이트 권고

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위독함 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Qualcomm v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2022-04-01 https://www.qualcomm.com/company/product-security/bulletins/april-2022-bulletin

취약점 정보 2022.04.20

VPN으로 위장하여 유포된 악성 앱

최근 정상 VPN으로 위장한 악성 앱이 유포되었다. 해당 앱은 Hydra VPN SDK 오픈소스를 사용하여 정상적인 VPN의 동작을 수행하여 사용자를 속이고, SMS 메시지와 연락처 등 각종 데이터를 탈취하는 악성 동작을 수행한다. 해당 앱은 아래의 화면과 같이 VPN 서비스 업체의 웹 사이트로 위장하여 악성 앱을 유포한다. 해당 웹 사이트의 주소는 정상 서비스 중인 한 VPN 업체의 주소와 유사하다. 이 앱은 Hydra VPN SDK 오픈 소스를 통해 VPN 서버 URL에 연결한다. 연결된 서버에 위치 정보 및 시그니처 등 기본 정보를 전송한다. 앱이 실행되면 아래의 화면과 같이 'Activation Key'를 입력하도록 요구한다. 이 'Activation Key'는 원격지 서버에 연결하여 토큰 등의 ..

Aberebot의 변종, Escobar

지난 3월 초, Escobar 앱이 등장하였다. 해당 악성 앱은 에뮬레이터를 탐지하고, 저장된 각종 정보를 탈취하며 카메라 사진 촬영 및 녹화 등의 악성 동작을 수행한다. 그 외에도 원격지와 연결하여 명령을 수행하는 Bot 동작 등을 수행한다. 호주 기반의 사이버 보안 회사인 Cyble에 따르면, 해당 앱은 Aberebot의 변종으로 전해지지만 악성 동작 특징 및 코드의 유사점을 찾아보긴 어렵다. 최근 유포된 Escobar는 아래의 이미지와 같이, 특정 보안 앱으로 위장하여 유포된다. 단말기의 시스템 정보를 확인하여, 에뮬레이터를 탐지하고 실 단말기로 판단되면 악성 동작을 수행한다. 각종 권한을 획득하여 다양한 정보를 탈취한다. 아래의 코드는 SMS 메시지 정보를 탈취하는 코드이며, 그 외에도 통화기록,..

Android 제품 보안 업데이트 권고

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 비판적인(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android AOSP v12 및 이후 버전 - Qualcomm 칩셋 v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2022-03-01 https://www.qualcomm.com/company/product-security/bulletins/march-2022-bulletin

취약점 정보 2022.03.11

법무부 사칭한 악성 앱 주의

최근, 공공기관을 사칭하는 보이스 피싱, 스미싱 문자, 악성 앱이 증가하고 있어 사용자들의 주의가 필요하다. 주로 이렇게 공공기관, 금융, 포털 등을 사칭한 악성 앱 들은 육안상으로는 구별이 어려울 정도로 정상 앱과 유사하게 만들 뿐만 아니라 사용자들의 관심을 유도하기 위해 다양한 형태의 문자 메시지를 이용하고 있는 것으로 보여 진다. 아래의 링크는 공공기관을 사칭한 내용에 대해 게시된 자사 블로그 글이다. ▶2022.02.16 - 교통민원 24(이파인) 으로 위장한 악성 앱 주의 법무부로 사칭한 악성 앱을 설치 후 실행하면 정상 앱과는 다르게 과도한 권한을 요구하는 것을 확인 할 수 있다. 해당 악성 앱은 과도한 권한 뿐만 아니라 접근성 서비스와 함께 백그라운드 동작도 허용해주길 요구한다. 백그라운드 ..

CapraRAT 악성 앱 주의

지난 2월 초, "Trend Micro" 에서 인도의 정부 기관 및 군사 기관을 상대로 정보 탈취 공격을 시도하는 "CapraRAT" 악성 앱을 발견하였다. 해당 악성 앱은 백그라운드 동작으로 단말기 내 다양한 정보들을 수집하고 외부 원격지의 명령을 받아 추가 악성 동작을 수행하기 때문에 사용자들의 주의가 필요하다. 먼저 악성 앱이 실행 되면, 사용자가 알아차리기 어렵도록 아이콘을 숨김 속성으로 변경하고 과도한 권한을 요구한다. 그 후, 백그라운드 동작으로 단말기 내 SMS 정보, 통화 기록, 이메일 주소 등에 접근하여 데이터를 수집 한다. 또한, 단말기의 위치 정보를 수집하기 위해 연결된 네트워크 정보와 GPS 값을 읽고 수집한다. 수집 한 정보들은 외부 원격지로 전송한다. 정보 수집 뿐만 아니라, 명..

교통민원 24(이파인) 으로 위장한 악성 앱 주의

지난 해, 7월 KISA 한국인터넷 진흥원에서는 "질병관리청COOV" 사칭문자에 관하여 사용자들의 주의가 필요하다는 안내글을 다룬적이 있다. 아래의 링크는 "질병관리청COOV" 에 관하여 다룬 KISA 한국인터넷 진흥원의 공지사항이다. ▶ 질병관리청 예방접종증명서 사칭 스미싱 주의 권고 이번에 발견 된 스미싱 문자는 "교통 민원24(이파인)" 을 사칭한 스미싱 문자로, 앞서 언급하였던 "질병관리청 예방 접종 증명서" 를 사칭한 스미싱 문자와 일부 내용을 제외하고는 기능상 동일한 악성 앱을 유포 하는 것 으로 확인 된다. 문자를 수신한 사용자가 해당 링크로 접속할 경우 "경찰청 교통민원24"로 위장한 피싱 사이트로 연결되며 휴대전화 번호, 이름 및 생년월일과 같은 개인정보 입력을 요구한다. 개인 정보 입력..

국내 쇼핑몰을 사칭한 보이스피싱 앱

지난 1월 말 국내 온라인 쇼핑몰을 사칭한 악성 앱이 등장하였다. 해당 앱은 보이스피싱 악성 앱으로 발신 전화를 가로채고, 수신 전화의 번호를 변경하여 사용자에게 표시하는 등의 악성 동작을 수행한다. 이와 같은 보이스피싱 악성 앱은 지난 2017년부터 유포되어, 악성 기능이 발전되는 등 지속적인 변화를 보여주는 것으로 알려진다. 금융보안원은 작년 3분기동안 유포된 보이스피싱 악성 앱을 특징에 따라 3가지로 분류하였다. 그 중 SecretVoice는 6월부터 활발하게 유포되었으며, 최근 발견된 악성 앱 또한 이와 유사한 형태로 보여진다. 최근 발견된 SecretVoice는 하단 좌측 이미지와 같은 화면을 띄워 'pay 쇼핑'을 사칭한다. 앱을 실행하면, 아래의 코드에서 보이는 각종 보안 프로그램을 탐지하여..