잉카인터넷 시큐리티대응센터 블로그

최근, “WhatsApp” 아이콘을 사칭하는 악성 앱이 발견 되었다. 해당 악성 앱은 설치 시, “WhatsApp” 아이콘으로 보이지만 설치 된 앱 정보에서는 아래와 같이 “TrendbanterNew” 라고 다르게 되어 있다. “TrendbanterNew”는 “Trendbanter” 라는 앱을 위장한것으로 추정되며, “Trendbanter” 앱은 국내 사용자에게는 잘 알려지지 않았지만 인도를 대상으로 하는 소개팅, 결혼 매칭과 관련 된 앱이다. 해당 앱이 실행 되면 먼저, 사용자에게 여러가지 과도한 권한을 요구하며, 사용자가 이를 수락하면 단말기의 주요 데이터들을 탈취하여 원격지로 전송하기 때문에 주의가 요구 된다. Analysis PJobRAT은 사용자 환경의 정보들을 탈취하기 위해 Firebase 원..

많은 안드로이드 악성 앱은 피해자의 단말기에서 정보를 탈취하고, 관리자 권한을 얻기 위해 노력한다. 이 중 Hydra 는 유명 원격 모니터링 프로그램 TeamViewer 를 악용하여 감염된 단말기를 조종한다. 이번에 발견된 Hydra 앱은 Adobe Flash Player 와 관련된 앱으로 위장하여 사용자의 설치를 유도한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면을 출력한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Hydra 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 사용할 수 있다. 접근성 서비스 권한을 얻은 Hydra 는 단말기 내 사용자 정보를 수집하여 C&C 서버로 송신한다. ..

스마트폰의 운영체제와 상관없이 많은 스마트폰의 사용자들은 다양한 정보를 검색하거나 필요한 자료를 얻기 위해 브라우저를 많이 사용한다. 이 브라우저 가운데 가장 많이 사용하는 브라우저로 손꼽히는 Chrome 앱을 사칭하는 악성앱이 등장하여 주의가 필요하다. Analysis Chrome 을 사칭한 악성앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 이는 접근성 서비스기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. Chrome 아이콘을 사칭한 해당 악성앱의 주요 동작은 C&C서버와 통신하며, 명령을 받아 단말기 내 사용자 정보를 탈취하거나 추가 악성 동작을 수행한다. 탈취 대상이 되는 파일은 전화번호 목록, 설치 된 앱 목록, 미디어 파일, 키로거 파일 등이 있으며 ..

최근, 각 국가 별로 코로나 무료 접종이 확대되고 있는 가운데 이를 위장한 악성앱이 발견되어 주의가 필요하다. 해당 앱은 백신 무료 접종에 관한 내용을 이루고 있으나, 백신과 관계없는 앱으로 단말기의 전화번호를 읽어 자기 자신과 같은 파일을 SMS을 통해 전파하거나 광고성 배너를 출력하는 기능만 존재한다. Analysis 코로나로 사칭한 앱은 다음과 같이 단말기에 저장된 연락처에 접근하여 읽거나 SMS를 보내기 위해 권한을 요청한다. 그리고, 획득한 전화번호 중 제일 앞자리에 인도 국가를 나타내는 '91' 이 존재하는지 확인한다. 추가로 인도 지역을 나타내는 번호들을 대상으로 SMS를 전송하는 것을 확인할 수 있다. 인도에서 사용하는 단말기에 한해, 다음의 메시지를 유포한다. 메시지 내용은 아래와 같다...

최근 국내 안드로이드 단말기 사용자를 노린 피싱 메시지가 발견되었다. 피싱 메시지는 우체국, 택배와 관련된 문자 메시지로 위장하여 사용자가 링크를 클릭하도록 유도한다. 링크와 연결된 사이트는 Chrome 브라우저를 최신으로 업데이트할 것을 요구하며 정보 탈취 기능을 보유한 MoqHao 악성 앱을 다운로드하도록 유도한다. 다운로드된 악성 앱은 Chrome 브라우저로 위장한다. 앱을 실행하면 통화 내역, SMS 문자, 연락처, 등 민감한 정보에 접근할 수 있도록 권한을 요구하며, 자신을 기본 SMS 앱으로 설정하도록 유도한다. 권한을 받은 악성 앱은 단말기 정보를 수집하고 C&C 서버로 송신한다. MoqHao 는 과거에도 개인 정보 유출, 택배 반송과 같이 사용자의 주의를 끄는 내용의 피싱 메시지를 통해 유..

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위독함 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android AOSP v8.1, 9, 10, 11 및 이후 버전 - Qualcomm 칩셋 v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2021-06-01 https://www.qualcomm.com/company/product-security/bulletins/june-2021-bulletin

최근 DHL, FedEx 와 같은 유명 운송 회사의 앱으로 위장한 안드로이드 악성 앱 FluBot 이 기승을 부리고 있다. 유럽 국가를 중심으로 퍼져가는 이 정보 탈취형 악성 앱은 잠잠해지기는커녕, 지속적으로 버전 업하며 지원하는 언어를 추가하고 공격 대상 국가를 늘리고 있다. FluBot 을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, FluBot 은 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 행위에 사용할 수 있다. 이후 접근성 서비스 권한을 악용하여 기본 SMS 앱 설정 화면을 출력하고, 사용자 동의 없이 FluBot 을 기본 SMS 앱으로 설정한다. 이외에도 사용자가 접근성 서비스..

지난 3월 이슬람 금융법을 준수하는 공식 이슬람 블록 체인 거래소 Caizcoin이 출시되었다. 그리고 두 달 만에 Caizcoin 코인 거래소를 사칭한 앱이 유포되어 주의가 필요하다. 해당 악성 앱은 Caizcoin 사칭 사이트에서 유포되었으며, 사용자 정보를 탈취하고 다운로더의 기능을 한다. 하단의 이미지와 같이 정상 Caizcoin 사이트와 유사한 모습으로 가짜 사이트에서 악성 앱을 다운로드할 수 있다. Caizcoin의 정상 사이트에서는 구글 플레이에서 다운로드를 하도록 권장하며, 아래와 같이 구글 플레이에서 판매 중에 있다. 아래의 난독화 해제된 스크립트로 html 파일를 생성하고, 생성된 코드로 Webview를 생성하여 필요한 권한을 가진다. 생성된 Webview는 다음과 같이 사용자 단말기에..

최근 안드로이드 단말기를 대상으로 하는 악성 어플리케이션이 많이 등장하여, 모바일 백신의 중요성이 커지고 있다. 이에 여러 보안회사에서 백신 프로그램을 배포하고 있는 한편, 이러한 백신 프로그램을 사칭한 악성 앱이 등장하였다. 해당 앱은 "Avast Android Antivirus Email Scanner 2021" 이라는 이름으로 유포되었으며, 단말기에 저장되어있는 사용자의 정보 탈취를 비롯하여 원격제어 동작을 하기에 주의가 필요하다. 해당 앱을 실행하면, 우측 하단 이미지에서 보이는 알림창을 빠르게 띄웠다 사라지며, 사용자가 눈치채지 못하게 백그라운드 모드에서 동작을 수행한다. 가짜 백신 앱은 사용자 단말기에 다양한 정보를 탈취한다. 먼저, 사용자의 화면을 캡처하여 파일로 저장한다. 해당 이미지는 외..

1. 개 요 최근 해외 보안 업체에 의해 안드로이드 OS 기반의 스마트기기 사용자 중 일본 여성 사용자들을 대상으로한 악성 애플리케이션에 대한 보고가 있었다. 보통 이성을 대상으로 하거나 선정적인 주제로 사용자들을 현혹시킬 목적을 가지는 경우 대부분 그 대상이 남성이 주를 이뤘으나 이번 악성 애플리케이션은 여성 사용자들을 대상으로 했다는 점에서 주목할만 하다. 또한, 해당 악성 애플리케이션은 일본 여성 사용자들을 대상으로 유포가 이루어지고 있지만 애플리케이션 자체는 국내 환경의 스마트폰에서도 설치가 이루어질 경우 개인정보 등에 대한 유출이 이루어질 수 있는 만큼 애플리케이션의 선별적인 설치에 있어 사용자들의 각별한 주의가 요망되고 있다. 2. 유포 및 감염 증상 해당 악성 애플리케이션은 2가지의 유포 방..