안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 유럽에서 SMS를 통한 뱅킹 악성 앱 유포 사례가 발생하고 있습니다. 이 악성 앱들은 러시아인들을 대상으로 제작되었으나 수정을 거쳐 유럽에도 유포되기 시작했습니다. 유포 경로는 SMS를 이용 하고 있으며 메시지에 포함된 링크를 통해 피해자들에게 악성 apk 파일이 전달됩니다. 피해자들이 다운받은 apk 파일은 쇼핑 앱 등의 친숙한 아이콘과 파일이름을 가지고 있어 별다른 의심없이 설치를 진행하게 됩니다. 이렇게 설치된 악성 앱들은 피해자의 신용 카드 정보 탈취를 목적으로 하고 있으며 피해자가 피해 사실을 인지하기 어려울 정도로 정교하게 제작되어 있습니다. 이번 분석 보고서에서는 러시아 발 악성 앱인 “Trojan.Android.Bank..

악성코드 분석 리포트 2019. 8. 26. 11:35

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Android의 공식 마켓인 구글 플레이 스토어를 통한 악성 앱 유포가 빈번하게 일어나고 있습니다. 물론 구글에서도 안전한 앱스토어 환경을 조성하기 위해 노력을 기울이지만 수많은 앱들이 등록되다 보니 제대로 걸러지지 않는 경우가 생깁니다. 더불어 공격을 수행하는 악성 앱 제작자들도 앱스토어에 공격 앱을 등록하기 위해 노력하며 마켓의 앱 등록 절차상 허점 등의 취약점을 적극 활용합니다. 악성 앱 제작자들이 공식 마켓에 악성 앱을 등록하려는 이유는 파급효과가 크기 때문입니다. 일단 마켓에 앱이 등록되면 수많은 잠재 피해자에게 악성 앱이 노출되는 점과 다운로드 수가 많아질수록 확산 속도도 빨라지는 장점이 있기 때문입니다. 이런 이유로 구글 플레..

악성코드 분석 리포트 2019. 6. 21. 08:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 PC 악성코드의 대부분은 랜섬웨어이며 복호화 대가로 암호화폐를 요구하고 있습니다. 이러한 흐름이 안드로이드에서도 빈번하게 나타나기 시작했습니다. 관련 앱은 기기 정보를 탈취하여 감염자를 구별하는 데 사용합니다. 외부 저장소의 폴더와 파일을 가리지 않고 저장된 모든 파일을 암호화합니다. 또한, 연락처도 암호화합니다. 이때 암호화에 사용되는 알고리즘은 AES이며 키값은 해커의 C&C를 통해서 얻어옵니다. 암호화폐를 이용하여 비용을 지불하면 복호화가 진행됩니다. 본 분석 보고서에서는 'Trojan.Android.Locker'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 게임 앱 위장해당 악성 앱의 아이콘은 전 세계적으로 인기를 끈 ..

악성코드 분석 리포트 2019. 5. 22. 11:17

안녕하세요? 이스트시큐리티입니다. 작년에 크롬, 페이스북 등의 인기 앱으로 위장하여 유포되었던 xLoader가 올해 새로운 버전으로 다시 유포되고 있습니다. 이전 버전과의 차이점은 이전 버전은 유포를 위해 DNS Spoofing을 이용하고 크롬 등의 인기 앱으로 위장하였다면 이번 버전에서는 스미싱을 통한 방법으로 유포 방법이 변경되었으며 보안 앱과 성인 앱 등으로 위장했다는 점입니다. 그리고 한국 안드로이드 사용자를 대상으로 하는 버전도 별도로 준비하여 유포하고 있습니다. [그림 1] 유포 개요도 본 분석 보고서에서는 한국 안드로이드 사용자를 대상으로 하는 “Trojan.Android.Agent”를 상세 분석하고자 합니다. 악성코드 상세 분석 Trojan.Android.Agent가 설치되면 피해자의 정보..

악성코드 분석 리포트 2019. 4. 29. 15:50

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어의 취약한 보안으로 인하여 플레이스토어를 통한 악성앱 유포가 빈번하게 발생하고 있습니다. 안드로이드를 사용하는 유저수가 많다는 것을 고려하면 매우 위험한 상황입니다. 이렇게 유포되는 악성앱의 목적은 정보 탈취, 스파이 행위, 금전 갈취 등으로 다양합니다. Trojan.Android.InfoStealer는 피해자의 스마트폰을 통한 암호화폐 탈취가 목적이며 탈취한 암호화폐를 금전으로 환전합니다. 2017년부터 세계적으로 암호화폐 열풍이 불어 많은 사람들이 암호화폐 거래를 시작하는 계기가 되었습니다. 이와 함께 해커들은 암호화폐를 노리는 공격을 시도하거나 랜섬웨어를 유포 후 피해자의 파일을 암호화하고 암호 해제 대가로 암호화폐를 요구하고 있습니다. 해커들이 암..

악성코드 분석 리포트 2019. 3. 25. 08:30

안녕하세요? 이스트시큐리티입니다. 지난해 8월 가짜 성인 앱으로 위장해 사용자 다운로드를 유도했던 안드로이드 스파이웨어 Triout이 이번에는 정상 앱에 숨어들었습니다. 1천만 건 이상 다운로드 된 프라이버시툴 “PsiPhon”에 악성 코드가 추가되었습니다. 서비스와 리시버 형태로 사용자 몰래 기기 정보는 물론 문자 탈취, 녹음 등 사생활을 완전히 감시하고 그 정보를 해커의 서버로 전송합니다. 본 분석 보고서에서는 'Spyware.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 악성코드 추가 원본 앱의 구조와 비교해 보면 마지막에 “psp” 클래스가 추가되었습니다. 특히, 매니페스트를 보면 리시버와 서비스들이 다수 추가된 것을 알 수 있고, 관련 권한과 인텐트들은 민감한..

악성코드 분석 리포트 2019. 2. 21. 17:49

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어에서 정상 앱을 가장한 악성 앱이 지속적으로 발견되고 있습니다. 관련 앱들은 게임, 티비, 리모컨 등의 앱으로 위장하여 사용자를 속입니다. 해당 앱 중에는 다운로드 건수가 500만 건이 넘는 앱도 있었습니다. 특히, 다양한 가상환경 탐지 기법을 적용하여 앱 분석을 방해하며 광고 팝업뿐만 아니라 기기 및 개인 정보를 탈취합니다. 본 분석 보고서에서는 'Trojan.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 광고를 위한 앱 설정광고를 하기 위해서 자체 설정을 하는데, 해당 설정과 관련된 정보는 인터넷을 통해서 읽어오고, shared_prefs에 값을 저장합니다. 또한, 인터넷이 안될 경우를 대비하여 앱 자체에도 하드 코..

악성코드 분석 리포트 2019. 1. 28. 15:19

안녕하세요? 이스트시큐리티입니다. 기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다. 특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 특징백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연..

악성코드 분석 리포트 2018. 12. 14. 08:30