잉카인터넷 시큐리티대응센터 블로그

최근 안드로이드 단말기를 대상으로 하는 새로운 악성코드가 등장하였다. 해당 악성코드는 "SOVA"라는 이름으로 불리며 사용자 단말기에서 SMS 문자메시지를 비롯한 각종 개인 정보를 탈취한다. 아직 테스트 단계로 알려졌으나, 정보 탈취 뿐 만 아니라 Bot의 동작을 수행할 수 있는 것으로 밝혀졌다. Sova 악성코드를 실행하면 다음의 이미지와 같이 접근성 권한을 획득한다. Event Listener를 통해 Clipboard에 저장되는 데이터를 획득한다. 그리고 Webview를 통해 연결되는 URL의 Cookie 정보를 탈취한다. 해당 악성 동작은 사용자의 로그인 정보 및 각종 개인 정보 탈취로 이어질 수 있다. 그 외에도 알림창에서 나타나는 Title과 Text 정보를 획득하고, SMS 문자메시지 수신 활..

과거, 해외 직구 이용 방법을 모르거나 어려워 많은 사용자들이 이용하지 못하였지만, 현재는 많은 온라인 사이트와 앱들이 쉽고 간편하게 주문을 할 수 있도록 제공하고 있어 사용자가 늘어나고 있다. 이와 같은 점을 노리고 해외 직구 쇼핑몰 앱으로 위장한 악성 앱이 발견되어 사용자들의 주의가 요구된다. 최근, 트윗을 통해 발견 된 악성 앱은 크로켓 이라는 앱을 만든 회사인 "YOLO Corp" 회사에서 만든 것처럼 위장한다. 해당 앱을 설치하고 실행하면, 다른 정상 쇼핑몰 앱과는 다르게 과도한 권한을 요구한다. "LT MALL" 악성 앱은 사용자 환경의 정보들을 원활하게 탈취하기 위해 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. "Firebase 클라우드 메시징(FCM)" 은 메..

최근 국내외에서 암호화폐에 대한 관심이 높아지면서 이를 악용하여 암호화폐 채굴 앱을 위장한 악성 앱이 등장하였다. 해당 앱은 Google Play에서 판매되었으며, 10,000건이 넘는 다운로드를 기록한 것으로 알려졌다. 또한, 9개 이상 유사한 형태의 악성 앱이 유포된 것으로 밝혀졌다. 유포된 앱들은 암호화폐 채굴의 동작은 하지 못하지만, 사용자를 속여 구독 및 구매를 유도하거나 광고를 띄우는 등의 금전적 이익을 취하는 악성 동작을 수행한다. 아래의 그림과 같이 Google Play에서 판매되었으나, 현재는 삭제되었다. 해당 앱은 우측 빨간 상자에서처럼 정상적인 사이트에서 값을 받아오는 등 정상 암호화폐 채굴 앱인 척하지만, 실제 암호화폐 채굴 동작은 하지 못한다. 그리고 아래의 그림과 같이 사용자에게..

지난 2021년 3월부터 구글 플레이를 포함한 서드 파티 앱 스토어에 업로드되어 만 명 이상의 피해자를 발생시킨 새로운 안드로이드 악성 앱이 발견되었다. 이를 처음으로 발표한 해외 정보 보안 회사 Zimperium 으로부터 FlyTrap 으로 명명된 이 악성 앱은 기존의 정보 탈취형 앱과는 다르게 Facebook 과 관련된 개인정보만을 노린다. FlyTrap 은 무료 쿠폰 제공, 설문 조사 투표 앱, 등으로 위장한 후, 앱 기능을 이용하기 위해 사용자에게 Facebook 계정으로 접속할 것을 요구한다. 아래 앱은 평소에는 무료 Netflix 쿠폰을 제공하는 앱으로 위장하지만, C&C 서버로부터 명령을 받으면 Facebook 계정 접속 버튼이 활성화된다. 활성화된 버튼을 클릭하면 정상적인 Facebook ..

지난 1월, 이탈리아의 CERT-AGID 에서 유럽의 안드로이드 사용자를 노린 정보 탈취형 악성 앱 Oscorp 에 대해 발표했다. 기기 정보 탈취, 암호 화폐 가로채기, 오버레이 공격, 등의 기능을 보유한 이 악성 앱은 초창기 활동 이후 모습을 드러내지 않다가 5월 경부터 Ubel 이라는 이름으로 탈바꿈하여 사이버 공격자들 사이에서 판매되었다. 발견된 Oscorp 앱은 정상적인 구글 플레이 앱으로 위장한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면이 출력된다. 접근성 서비스 권한을 얻은 Oscorp 는 권한을 악용하여 감염된 기기를 모니터링한다. 모니터링 중 아래 문자열이 포함된 앱이 실행되면 해당 앱 삭제를 시도하며, 이는 백신 앱의 활동을 방해하기 위함으로..

최근 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 해당 앱은 'VPN-Secure.apk' 이름으로 유포되었으며, 단말기 정보를 포함하여 연락처에 저장된 전화번호 등의 정보를 탈취한다. 또한, 단말기의 마이크 사용시 이를 녹음하여 원격지로 전송하기에 사생활 침해까지 이어질 수 있다. 해당 앱을 실행하면 아래의 그림과 같이 권한을 요구하고, 권한을 획득하면 악성동작이 시작된다. 악성동작을 수행하는 클래스를 서비스로 생성하여 지속적으로 반복 실행하도록 하고, 실행되는 동안 나타나는 알림을 제거하여 사용자가 알아차리지 못하도록 한다. 아래의 코드와 같이 사용자 단말기의 정보를 탈취한다. 그리고 단말기의 network와 gps 정보를 획득한다. 이 정보는 위치에 변화가 있을 때마다 업데이트된다...

비대면 금융 업무 수요가 증가함에 따라 모바일 뱅킹을 이용하는 사용자들이 급격하게 늘어나고 있다. 공격자들은 이러한 점을 노리고 국내/해외 구분 없이 금융사를 사칭한 악성 앱을 제작하고 유포하는데, 그 중 국내 유명 은행을 사칭한 악성 앱이 지속적으로 발견되어 사용자들의 각별한 주의가 요구된다. 해당 악성 앱은 아래와 같이, 정상 앱과 악성 앱을 구분하기 힘들 정도로 위장되어 있다. 정상 앱을 설치하고 실행하면 가장 먼저 사용자에게 전화 권한에 대해서만 요구하는 반면, 악성 앱 같은 경우 과도한 권한을 요구하는 화면이 출력된다. 앱이 정상적으로 실행되었을 때 먼저 정상 앱은 로그인을 가장 먼저 하도록 구성되어 있는 반면, 악성 앱은 로그인 과정 없이 바로 여러 금융 상품들에 대해 신청하도록 구성되어 있다..

해외 정보 보안 회사 ThreatFabric 에서 새로운 안드로이드 악성 파일에 대해 발표했다. 이 악성 파일은 장기간 머무르며 먹잇감을 찾는 독수리와 같은 모습에 비유하여 Vultur 라는 이름이 붙여졌다. Vultur 는 최근 유행하는 다른 악성 파일과 마찬가지로 단말기 정보 탈취, 키로깅 기능과 VNC 를 통한 화면 녹화 및 원격 제어 기능을 보유하고 있다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면이 출력된다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Vultur 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 악용한다. 접근성 서비스 권한을 얻은 Vultur 는 접근성 서비스 이벤트가 ..

화면 녹화 및 키로깅을 통해 사용자의 로그인 자격 증명 화면을 탈취하는 안드로이드 뱅킹 악성 앱인 Vultur이 발견되었다. Vultur은 2021년 3월에 처음 등장하였으며, 'Protection Guard'라는 앱을 사칭하여 이탈리아와 호주, 스페인 등의 은행을 타겟으로 유포되었다. 해당 악성코드는 일반적으로 사용자 로그인 정보를 탈취할 때 사용되는 HTML 오버레이 방법이 아닌 단말기 화면을 녹화하여 정보를 탈취한다. 사진 출처: threatfabric 출처 [1] threatfabric (2021.08.05) – Vultur, with a V for VNC https://www.threatfabric.com/blogs/vultur-v-for-vnc.html

지난 7월, Youtube를 사칭한 악성 앱이 등장하였다. 해당 앱은 "Kurulum.apk" 이라는 이름으로 유포되었으며, 악성 앱을 실행하면 정상 Youtube 실행화면으로 띄워 사용자를 속이면서, 백그라운드에서는 사용자의 문자메시지를 탈취하는 등의 악성 동작을 수행한다. 하단의 이미지와 같이, 정상 Youtube 앱(파란 상자)와 유사한 형태의 아이콘을 사용하여 사용자가 구분하기 어렵도록 한다. 그리고 정상 Youtube 패키지 정보를 획득하여, 악성 앱 실행할 때 정상 실행화면을 띄워 실제 Youtube 가 실행되는 것처럼 보이도록 한다. 위의 코드가 실행되면 앱은 여러 권한을 획득한 다음, 하단 우측 그림과 같이 Youtube 가 실행된다. Loop 핸들을 생성하여 AudioRecoder클래스의..