잉카인터넷 시큐리티대응센터 블로그

최근, "Cyble Research Labs" 은 일본을 대상으로 정보 탈취 동작을 수행하는 "FakeCop" 이라는 악성 앱을 발견 하였다. "FakeCop" 은 일본의 통신회사에서 제공하는 백신 앱으로 위장해 사용자 단말기 내 주요 정보들을 수집하여 외부 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 기본 SMS 앱을 악성 앱으로 변경하도록 유도한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송한다. 아래는 악성 앱이 정보 탈취에 사용하는 프록시 서버로, 프록시 서버에 접근하면 원격지 주소를 확인할 수 있다. "FakeCop" 은 원활한 악성 동작을 수행하기 위해, 단말기 내에 보안 앱이 설치되어 있는지 확인하..

Donot Team은 APT-C-35라고도 불리며, 2020년 처음 등장한 이래로 특정 국가를 대상으로 지속적인 공격을 수행하였다. 주로 모바일 단말기를 대상으로 Firestarter 악성코드를 사용하여 APT 공격을 수행하였는데, 최근에 변종이 등장하였다. 이번에 등장한 변종은 지난 캠페인의 악성 동작과 유사하지만, 코드를 난독화 하거나 추가적인 악성동작을 수행하는 등 더욱 치밀하게 제작되었다. 지난 4월의 APT 공격은 자사 블로그에서도 언급한 바가 있어 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/3919 앱을 실행하면 아래의 이미지와 같이, 각종 권한을 획득한 다음 아무런 화면도 띄우지 않지만, 각종 악성 동작이 수행된다. 해당 악성코드는 단말기의 유심 정..

최근 안드로이드 단말기 사용자를 대상으로 은행을 사칭한 악성 앱의 공격이 급증하고 있다. 이는 코로나 19로 인해 대출 상품의 이용이 증가하고 있는 사회적 이슈를 악용한 공격으로, 올해 중순부터 지속적으로 발견되고 있다. 이러한 공격은 지난 8월 초, 국내의 한 금융 회사로 위장한 모습으로 처음 발견되었다. 해당 악성 앱은 정상 앱과 매우 유사한 모습을 하고 있으나, 과도한 권한을 요구하고 사용자의 각종 정보를 탈취하는 등의 악성 동작을 수행한다. 이에 관한 자세한 정보는 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/4323 최근 발견된 악성 앱들은 아래의 [그림1]과 같이 국내에 있는 각종 은행을 사칭하고 있다. 해당 악성 앱들의 메인 화면은 매우 유사한 모습을..

트로이 목마 Cerberus 기반으로 만들어진 새로운 형태의 Android 뱅킹 트로이목마 ERMAC가 발견되었다. ERMAC은 7월 말에 등장하여 Google Chrome, 안티바이러스, 뱅킹 및 미디어 앱으로 위장하여 사용자들에게 유포되었다. 해당 악성코드는 Cerberus와 동일하게 사용자의 개인정보를 탈취, 설치된 응용 프로그램을 동작 할 수 있다. RAT와 같이 강력한 기능을 가진 것은 아니지만 모바일 뱅킹 사용자 및 금융기관에 위협적인 악성코드임으로 주의가 필요하다. 출처 [1] threatfabric (2021-09-29) - ERMAC - another Cerberus reborn https://www.threatfabric.com/blogs/ermac-another-cerberus-reb..

최근, "Chrome App" 으로 위장하여 정보 탈취 동작을 수행하는 "AbereBot" 이 발견되어 주의가 요구된다. 사용자가 해당 악성 앱을 "Chrome App" 으로 잘못 인식하여 실행 할 경우, "AbereBot" 은 여러가지 과도한 권한을 요구하며 사용자가 이를 수락하면 단말기의 주요 정보를 수집하거나 가짜 웹 뷰를 출력하여 사용자에게 정보 입력을 유도하는 등 악성 행위를 한다. 해당 악성 앱이 실행 되면, 단말기 내의 연락처 목록과 OTP 인증번호가 있는 SMS 메시지 등을 모두 수집하고 Telegram Bot을 이용하여 원격지로 전송하거나 명령을 전달 받는다. Telegram 은 여러 플랫폼을 지원하는 인터넷 메신저 이다. Telegram Bot 은 Telegram 에서 최근에 새로 추가..

사용자의 익명성을 보장해주는 메시징 앱이 다크 웹의 대안으로 급 부상해 탈취한 데이터와 해킹 도구를 사고 팔고 공유하는 사이버 범죄의 허브로 활용되고 있다. Cyberint의 사이버 위협 분석가는 최근 사이버 범죄자의 메시징 앱 사용률이 100% 이상 증가하는 것을 확인했다고 말했다. 또한 다크웹 포럼에 비해 유연하고 빠르기 때문에 익명성을 보장해주는 메시징 앱을 활용하는 편이 보다 정보를 더 쉽게 찾고 공유할 수 있다고 언급했다. 사진출처 : securityaffairs 출처 [1] securityaffairs (2021.09.13) - Telegram is becoming the paradise of cyber criminals https://securityaffairs.co/wordpress/122..

최근 안드로이드 단말기를 대상으로 하는 새로운 악성코드가 등장하였다. 해당 악성코드는 "SOVA"라는 이름으로 불리며 사용자 단말기에서 SMS 문자메시지를 비롯한 각종 개인 정보를 탈취한다. 아직 테스트 단계로 알려졌으나, 정보 탈취 뿐 만 아니라 Bot의 동작을 수행할 수 있는 것으로 밝혀졌다. Sova 악성코드를 실행하면 다음의 이미지와 같이 접근성 권한을 획득한다. Event Listener를 통해 Clipboard에 저장되는 데이터를 획득한다. 그리고 Webview를 통해 연결되는 URL의 Cookie 정보를 탈취한다. 해당 악성 동작은 사용자의 로그인 정보 및 각종 개인 정보 탈취로 이어질 수 있다. 그 외에도 알림창에서 나타나는 Title과 Text 정보를 획득하고, SMS 문자메시지 수신 활..

지난 2021년 3월부터 구글 플레이를 포함한 서드 파티 앱 스토어에 업로드되어 만 명 이상의 피해자를 발생시킨 새로운 안드로이드 악성 앱이 발견되었다. 이를 처음으로 발표한 해외 정보 보안 회사 Zimperium 으로부터 FlyTrap 으로 명명된 이 악성 앱은 기존의 정보 탈취형 앱과는 다르게 Facebook 과 관련된 개인정보만을 노린다. FlyTrap 은 무료 쿠폰 제공, 설문 조사 투표 앱, 등으로 위장한 후, 앱 기능을 이용하기 위해 사용자에게 Facebook 계정으로 접속할 것을 요구한다. 아래 앱은 평소에는 무료 Netflix 쿠폰을 제공하는 앱으로 위장하지만, C&C 서버로부터 명령을 받으면 Facebook 계정 접속 버튼이 활성화된다. 활성화된 버튼을 클릭하면 정상적인 Facebook ..

최근, 국내외 많은 사용자를 보유하고 있는 메시지 앱 WhatsApp의 추가 옵션 기능을 제공하는 앱으로 위장한 Triada 악성코드가 등장하였다. 해당 악성코드는 'FMWhatsApp' 이름으로 유포되었으며, WhatsApp이 기존에 가지고 있지 않은 특정 대화를 숨기는 옵션, 보낸 사람이 삭제한 메시지 보기 옵션 등의 추가 기능을 제공한다고 알려졌다. Triada 악성코드는 사용자 단말기의 정보를 탈취하거나 SMS 메시지에 접근하는 등의 악성동작을 수행한다. 사진 출처: Kaspersky 출처 [1] Kaspersky (2021.08.27) – Triada Trojan in WhatsApp mod https://securelist.com/triada-trojan-in-whatsapp-mod/103679/

스마트폰의 운영체제와 상관없이 많은 스마트폰의 사용자들은 다양한 정보를 검색하거나 필요한 자료를 얻기 위해 브라우저를 많이 사용한다. 이 브라우저 가운데 가장 많이 사용하는 브라우저로 손꼽히는 Chrome 앱을 사칭하는 악성앱이 등장하여 주의가 필요하다. Analysis Chrome 을 사칭한 악성앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 이는 접근성 서비스기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. Chrome 아이콘을 사칭한 해당 악성앱의 주요 동작은 C&C서버와 통신하며, 명령을 받아 단말기 내 사용자 정보를 탈취하거나 추가 악성 동작을 수행한다. 탈취 대상이 되는 파일은 전화번호 목록, 설치 된 앱 목록, 미디어 파일, 키로거 파일 등이 있으며 ..