안드로이드 73

원격제어 악성 앱, ExpndBot

최근, "Video Player.apk"라는 이름으로 악성 원격제어 앱이 발견되었다. 해당 앱은 원격지와 연결하여 파일을 다운로드하거나 단말기의 정보 및 등을 탈취한다. 그리고 추가적인 원격제어 동작 여부를 설정하고 원격지에서 받아온 데이터를 통해 특정 번호로 문자메시지를 전송하거나, 전화를 할 수도 있다. 해당 앱은 스토어에서 판매되지는 않지만, 웹 페이지 등 그 외의 경로로 배포된 것으로 추정된다. ExpndBot 은 하단 좌측 이미지와 같이 영상 재생 앱을 위장하고 있으며, 실행하면 앱 활성화를 유도한다. 앱이 처음 실행될 때, 해당 앱이 백그라운드 모드에서 악성동작하는 것을 사용자가 눈치채지 못하도록 모든 소리를 음소거하고 화면을 잠근다. 원격지와 연결되면 아래의 명령을 수행한다. 만약 원격지와 ..

SharkBot 악성 앱 주의

2021년 10월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다. 악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 ..

FakeCop 악성 앱 주의

최근, "Cyble Research Labs" 은 일본을 대상으로 정보 탈취 동작을 수행하는 "FakeCop" 이라는 악성 앱을 발견 하였다. "FakeCop" 은 일본의 통신회사에서 제공하는 백신 앱으로 위장해 사용자 단말기 내 주요 정보들을 수집하여 외부 원격지로 전송하기 때문에 주의가 필요하다. 악성 앱이 실행 되면 아래와 같이 기본 SMS 앱을 악성 앱으로 변경하도록 유도한다. 그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송한다. 아래는 악성 앱이 정보 탈취에 사용하는 프록시 서버로, 프록시 서버에 접근하면 원격지 주소를 확인할 수 있다. "FakeCop" 은 원활한 악성 동작을 수행하기 위해, 단말기 내에 보안 앱이 설치되어 있는지 확인하..

Android 제품 보안 업데이트 권고

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 위독함 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Android TV v2021-11-06 및 이후 버전 - Android AOSP v9, v10, v11, v12 및 이후 버전 - Qualcomm 칩셋 v1.0 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2021-11-01#android-tv https://source.android.com/security/bullet..

취약점 정보 2021.11.10

Donot Team의 새로운 변종 등장

Donot Team은 APT-C-35라고도 불리며, 2020년 처음 등장한 이래로 특정 국가를 대상으로 지속적인 공격을 수행하였다. 주로 모바일 단말기를 대상으로 Firestarter 악성코드를 사용하여 APT 공격을 수행하였는데, 최근에 변종이 등장하였다. 이번에 등장한 변종은 지난 캠페인의 악성 동작과 유사하지만, 코드를 난독화 하거나 추가적인 악성동작을 수행하는 등 더욱 치밀하게 제작되었다. 지난 4월의 APT 공격은 자사 블로그에서도 언급한 바가 있어 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/3919 앱을 실행하면 아래의 이미지와 같이, 각종 권한을 획득한 다음 아무런 화면도 띄우지 않지만, 각종 악성 동작이 수행된다. 해당 악성코드는 단말기의 유심 정..

오징어 게임 관련 앱으로 위장한 Joker

공격자는 언제나 사람들을 유혹하기 위해 유행하는 콘텐츠를 활용한다. 최근 넷플릭스의 오징어 게임이 세계적인 인기를 끌면서 이와 관련된 안드로이드 악성 앱이 우후죽순으로 늘고 있다. 이번에 발견된 안드로이드 앱은 겉으로는 바탕화면을 오징어 게임과 관련된 이미지로 바꾸는 기능을 가졌지만, 백그라운드에서 Joker 라는 이름으로 알려진 악성 앱을 다운로드하고 실행한다. 악성 앱을 실행하면 서버로부터 so 확장자의 추가 악성 파일을 다운로드하고 로딩한다. so 확장자 파일은 또 다른 서버로부터 암호화된 Joker 악성 앱을 다운로드하며, 복호화 후 실행하여 본격적인 악성 행위를 준비한다. 다운로드된 Joker 는 사용자 몰래 유료 구독 서비스를 결제하는 기능을 수행한다. C&C 서버로부터 이와 관련된 작업 데이..

Android 제품 보안 업데이트 권고

개요 Samsung과 Qualcomm 사는 Android 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 긴급(Critical) 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Qualcomm 칩셋 v1.0 및 이후 버전 - Android AOSP v8.1, 9, 10, 11 및 이후 버전 참고자료 https://source.android.com/security/bulletin/2021-10-01 https://www.qualcomm.com/company/product-security/bulletins/august-2021-bulletin

취약점 정보 2021.10.13

은행 대출 사칭 악성 앱 다량 유포

최근 안드로이드 단말기 사용자를 대상으로 은행을 사칭한 악성 앱의 공격이 급증하고 있다. 이는 코로나 19로 인해 대출 상품의 이용이 증가하고 있는 사회적 이슈를 악용한 공격으로, 올해 중순부터 지속적으로 발견되고 있다. 이러한 공격은 지난 8월 초, 국내의 한 금융 회사로 위장한 모습으로 처음 발견되었다. 해당 악성 앱은 정상 앱과 매우 유사한 모습을 하고 있으나, 과도한 권한을 요구하고 사용자의 각종 정보를 탈취하는 등의 악성 동작을 수행한다. 이에 관한 자세한 정보는 아래의 링크에서 확인할 수 있다. https://isarc.tachyonlab.com/4323 최근 발견된 악성 앱들은 아래의 [그림1]과 같이 국내에 있는 각종 은행을 사칭하고 있다. 해당 악성 앱들의 메인 화면은 매우 유사한 모습을..

Android 뱅킹 트로이목마 ERMAC 발견

트로이 목마 Cerberus 기반으로 만들어진 새로운 형태의 Android 뱅킹 트로이목마 ERMAC가 발견되었다. ERMAC은 7월 말에 등장하여 Google Chrome, 안티바이러스, 뱅킹 및 미디어 앱으로 위장하여 사용자들에게 유포되었다. 해당 악성코드는 Cerberus와 동일하게 사용자의 개인정보를 탈취, 설치된 응용 프로그램을 동작 할 수 있다. RAT와 같이 강력한 기능을 가진 것은 아니지만 모바일 뱅킹 사용자 및 금융기관에 위협적인 악성코드임으로 주의가 필요하다. 출처 [1] threatfabric (2021-09-29) - ERMAC - another Cerberus reborn https://www.threatfabric.com/blogs/ermac-another-cerberus-reb..

AbereBot 악성 앱 주의

최근, "Chrome App" 으로 위장하여 정보 탈취 동작을 수행하는 "AbereBot" 이 발견되어 주의가 요구된다. 사용자가 해당 악성 앱을 "Chrome App" 으로 잘못 인식하여 실행 할 경우, "AbereBot" 은 여러가지 과도한 권한을 요구하며 사용자가 이를 수락하면 단말기의 주요 정보를 수집하거나 가짜 웹 뷰를 출력하여 사용자에게 정보 입력을 유도하는 등 악성 행위를 한다. 해당 악성 앱이 실행 되면, 단말기 내의 연락처 목록과 OTP 인증번호가 있는 SMS 메시지 등을 모두 수집하고 Telegram Bot을 이용하여 원격지로 전송하거나 명령을 전달 받는다. Telegram 은 여러 플랫폼을 지원하는 인터넷 메신저 이다. Telegram Bot 은 Telegram 에서 최근에 새로 추가..