malware17 안드로이드용 정보탈취 악성 앱 최근 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 해당 앱은 'VPN-Secure.apk' 이름으로 유포되었으며, 단말기 정보를 포함하여 연락처에 저장된 전화번호 등의 정보를 탈취한다. 또한, 단말기의 마이크 사용시 이를 녹음하여 원격지로 전송하기에 사생활 침해까지 이어질 수 있다. 해당 앱을 실행하면 아래의 그림과 같이 권한을 요구하고, 권한을 획득하면 악성동작이 시작된다. 악성동작을 수행하는 클래스를 서비스로 생성하여 지속적으로 반복 실행하도록 하고, 실행되는 동안 나타나는 알림을 제거하여 사용자가 알아차리지 못하도록 한다. 아래의 코드와 같이 사용자 단말기의 정보를 탈취한다. 그리고 단말기의 network와 gps 정보를 획득한다. 이 정보는 위치에 변화가 있을 때마다 업데이트된다... 2021. 8. 9. Youtube 사칭 정보탈취 앱 지난 7월, Youtube를 사칭한 악성 앱이 등장하였다. 해당 앱은 "Kurulum.apk" 이라는 이름으로 유포되었으며, 악성 앱을 실행하면 정상 Youtube 실행화면으로 띄워 사용자를 속이면서, 백그라운드에서는 사용자의 문자메시지를 탈취하는 등의 악성 동작을 수행한다. 하단의 이미지와 같이, 정상 Youtube 앱(파란 상자)와 유사한 형태의 아이콘을 사용하여 사용자가 구분하기 어렵도록 한다. 그리고 정상 Youtube 패키지 정보를 획득하여, 악성 앱 실행할 때 정상 실행화면을 띄워 실제 Youtube 가 실행되는 것처럼 보이도록 한다. 위의 코드가 실행되면 앱은 여러 권한을 획득한 다음, 하단 우측 그림과 같이 Youtube 가 실행된다. Loop 핸들을 생성하여 AudioRecoder클래스의.. 2021. 8. 3. 도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 FBI가 2021년 도쿄 올림픽을 위장한 사이버 공격을 경고한 다음 날, 도쿄 올림픽 이슈와 관련한 파일 명을 지닌 악성코드가 발견됐다. (사진 출처 : https://www.ic3.gov/Media/News/2021/210719.pdf) 이번에 발견된 악성코드는 사용자 PC에서 파일을 삭제하는 악성코드이며 “도쿄 올림픽 개최에 따른 사이버 공격 등에 대한 피해 신고”라는 주제를 파일 명으로 사용했다. 파일 명 : [至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 해당 악성코드를 실행하면 [그림 3]과 같이 커맨드 창을 띄워 파일 삭제 등의 로그를 출력한다. 사용자 PC에서 이뤄지는 삭제 명령은 ‘사용자 폴더’ 하위의 모든 파일 및 폴더 중 [표 1]의 확장자를 지닌 파일을 대.. 2021. 7. 28. Facebook 가짜 계정의 악성코드 유포 캠페인 최근 Facebook은 가짜 계정을 통해 악성코드 배포하는 공격을 발견하여 조치하였다고 밝혔다. 이 공격은 Tortoiseshell 그룹에 의해 이루어졌으며, 해당 해커그룹은 군인과 항공 우주 방위 산업 종사자를 표적으로 2018년부터 활동한 것으로 알려졌다. Facebook은 이 캠페인이 이란과 관련 있다고 전했으며, 해당 캠페인과 관련된 약 200여개의 계정을 비활성화 및 차단하였다. 출처 [1] ZDNet(2021.07.20) – Facebook says it disrupted Iranian hacking campaign tied to Tortoiseshell gang https://www.zdnet.com/article/facebook-says-it-disrupted-iranian-hacking-.. 2021. 7. 21. SEO Poisoning 기법을 사용하여 유포된 SolarMarker 악성코드 Microsoft 가 SEO Poisoning 기법을 사용하여 SolarMarker 악성코드를 유포한 사례에 대해 경고하였다. SEO Poisoning 은 검색 결과에서 더 높은 순위를 얻기 위해 인기 있는 키워드를 사용하여 웹 사이트를 만들고 해당 사이트에 사용자가 방문하도록 유도하는 공격 방식으로, 공격자는 이렇게 제작한 웹 사이트를 통해 SolarMarker 악성코드를 유포한 것으로 알려졌다. SolarMarker 는 백도어 악성코드로 Jupyter, Polazert 및 Yello Cockatoo 라는 이름으로도 알려져 있으며, 공격자의 명령을 전달받아 악성행위를 수행한다. 사진 출처 : https://twitter.com/MsftSecIntel/status/1403461404879847435 출처.. 2021. 6. 15. [악성코드 분석] 워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 1. 개요 최근 ‘DDE’ 취약점을 이용한 악성코드가 유포되어 사용자들의 주의가 요구되고 있다. 이전에는 악성코드를 실행시키기 위해 MS Office의 매크로 기능 및 'JS', 'VBS' 등의 스크립트언어를 이용하였으나, 최근에는 ‘DDE’ 기능을 활용해 실행시키고 있다. DDE란 ‘Dynamic Data Exchange’의 약어로 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법 중 하나이다. 해당 기능은 워드뿐만 아니라 엑셀, 비쥬얼 베이직 등 다양한 응용프로그램에서 사용되고 있다. 이 기능은 다른 프로세스를 실행시킬 수 있으며 이 기능을 악용하여 악성코드를 다운로드 받거나, 실행시키기 때문에 문제가 된다. 또한 응용 프로그램을 .. 2017. 11. 13. 이전 1 2 3 다음
