잉카인터넷 시큐리티대응센터 블로그

지난 1월, 이탈리아의 CERT-AGID 에서 유럽의 안드로이드 사용자를 노린 정보 탈취형 악성 앱 Oscorp 에 대해 발표했다. 기기 정보 탈취, 암호 화폐 가로채기, 오버레이 공격, 등의 기능을 보유한 이 악성 앱은 초창기 활동 이후 모습을 드러내지 않다가 5월 경부터 Ubel 이라는 이름으로 탈바꿈하여 사이버 공격자들 사이에서 판매되었다. 발견된 Oscorp 앱은 정상적인 구글 플레이 앱으로 위장한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면이 출력된다. 접근성 서비스 권한을 얻은 Oscorp 는 권한을 악용하여 감염된 기기를 모니터링한다. 모니터링 중 아래 문자열이 포함된 앱이 실행되면 해당 앱 삭제를 시도하며, 이는 백신 앱의 활동을 방해하기 위함으로..

해외 정보 보안 회사 ThreatFabric 에서 새로운 안드로이드 악성 파일에 대해 발표했다. 이 악성 파일은 장기간 머무르며 먹잇감을 찾는 독수리와 같은 모습에 비유하여 Vultur 라는 이름이 붙여졌다. Vultur 는 최근 유행하는 다른 악성 파일과 마찬가지로 단말기 정보 탈취, 키로깅 기능과 VNC 를 통한 화면 녹화 및 원격 제어 기능을 보유하고 있다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면이 출력된다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Vultur 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 악용한다. 접근성 서비스 권한을 얻은 Vultur 는 접근성 서비스 이벤트가 ..

최근 국내 안드로이드 단말기 사용자를 노린 피싱 메시지가 발견되었다. 피싱 메시지는 우체국, 택배와 관련된 문자 메시지로 위장하여 사용자가 링크를 클릭하도록 유도한다. 링크와 연결된 사이트는 Chrome 브라우저를 최신으로 업데이트할 것을 요구하며 정보 탈취 기능을 보유한 MoqHao 악성 앱을 다운로드하도록 유도한다. 다운로드된 악성 앱은 Chrome 브라우저로 위장한다. 앱을 실행하면 통화 내역, SMS 문자, 연락처, 등 민감한 정보에 접근할 수 있도록 권한을 요구하며, 자신을 기본 SMS 앱으로 설정하도록 유도한다. 권한을 받은 악성 앱은 단말기 정보를 수집하고 C&C 서버로 송신한다. MoqHao 는 과거에도 개인 정보 유출, 택배 반송과 같이 사용자의 주의를 끄는 내용의 피싱 메시지를 통해 유..

최근 DHL, FedEx 와 같은 유명 운송 회사의 앱으로 위장한 안드로이드 악성 앱 FluBot 이 기승을 부리고 있다. 유럽 국가를 중심으로 퍼져가는 이 정보 탈취형 악성 앱은 잠잠해지기는커녕, 지속적으로 버전 업하며 지원하는 언어를 추가하고 공격 대상 국가를 늘리고 있다. FluBot 을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, FluBot 은 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 행위에 사용할 수 있다. 이후 접근성 서비스 권한을 악용하여 기본 SMS 앱 설정 화면을 출력하고, 사용자 동의 없이 FluBot 을 기본 SMS 앱으로 설정한다. 이외에도 사용자가 접근성 서비스..

최근, 한국인터넷진흥원(KISA)를 사칭한 악성 앱이 발견되었다. 해당 악성앱은 안드로이드 공식 앱스토어에 업로드 되어 있지 않지만 KISA 아이콘과 화면 UI 등을 위장하여 사용자의 정보를 탈취하기 때문에 각별한 주의가 필요하다. Analysis 해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 사용자로 하여금 필요한 권한을 허용하도록 유도한다. 악성앱은 재부팅 시에도 메인 서비스를 실행하기 위해 아래와 같이 BootCompletedBroadcastReceiver 의 권한을 이용한다. MainService 에서는 onStartCommand 를 재정의하여 비동기 태스크를 생성하고 단말기의 다양한 정보들을 수집하여 원격지로 전송한다. 악성코드들은 주로 공공 및 금융기..

'TeaBot' 또는 'Anatsa' 로 알려진 안드로이드 악성코드가 발견되었다. 해당 악성코드는 'TeaTV', 'VLC MediaPlayer', 'DHL', 'UPS' 와 같은 유명 택배 회사나 스트리밍 서비스 애플리케이션으로 위장하여 다양한 정보를 탈취하기 때문에 주의가 필요하다. 출처 : https://www.cleafy.com/documents/teabot Analysis 해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 사용자에게 접근성 서비스를 활성화 해야한다는 알람을 지속적으로 발생시켜 사용자로 하여금 접근성 서비스를 활성화 하도록 유도한다. 그 후, 해당 단말기의 정보를 확인하여, 각각의 단말기 별로 오버레이 공격을 수행한다. 오버레이 공격 기법은 ..