안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 스미싱을 통해서 꾸준히 유포되는 종류 중 하나로 기존 악성 앱은 암호화를 통해서 덱스 파일을 숨겼다면, 해당 악성 앱은 kiwi패커를 이용하여 덱스 파일을 숨겼습니다. 언팩된 덱스 파일의 악성 행위는 이전 버전과 비슷하지만, 코드가 조금 더 정교해졌고 수집한 정보는 웹 소켓을 이용하여 탈취합니다. 택배 앱을 사칭하며 다수의 기기 정보와 녹음, 주소록, 문자 등의 개인정보를 탈취하고 원격으로 기기를 조종하여 문자 메시지를 전송합니다. [그림] 메시지 앱 변경 요구 팝업 해당 악성 앱은 전형적인 택배 스미싱으로 유포됐으며 C2와의 통신을 이용하여 기기 정보와 녹음, 주소록, 문자 정보 등을 탈취하고 탈취한 개인정보를 이용하여 ..

악성코드 분석 리포트 2020. 7. 17. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 N번 방 동영상 이슈를 활용한 스미싱을 통해서 유포되었습니다. 동영상 이슈를 활용하는 만큼 ‘Nplayer’라는 앱 명을 사용합니다. 특히, 처음 실행 시 특정 성인 사이트를 로드하여 팝업함으로써 사용자를 속임과 동시에 기기 및 문자 정보를 탈취합니다. [그림] 앱 특징 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 앱을 ‘Trojan.Android.SmsSpy’ 탐지 명으로 진단..

악성코드 분석 리포트 2020. 5. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 연초부터 스미싱 공격이 기승을 부리고 있습니다. 작년 연말부터 올 초로 이어지는 연말연시 분위기에 편승한 스미싱 공격이 활발했다면 지금은 국제적 이슈인 신종 코로나 바이러스를 주제로 한 스미싱 공격이 활발해지고 있는 추세입니다. 이렇듯 스미싱 공격의 출발점은 대중들이 관심을 가질만한 이슈를 선정하여 최대한 이용하는 것입니다. [표] 작년 4분기(9월)부터 올해 2월 초까지 ESRC에 신고 접수된 스미싱 문자 내용 별 신고 접수 건수 모바일 기기는 사람들의 일상에 깊숙이 자리하고 있습니다. 이에 공격자들은 모바일 기기에 대한 공격 수위를 나날이 높여가고 있는 추세입니다. 이런 공격의 희생양이 되지 않기 위해서는 사용자들 스스로가 ..

악성코드 분석 리포트 2020. 2. 18. 09:00

안녕하세요? 이스트시큐리티입니다. 최근 국내 연예인들의 스마트폰이 해킹당해 문자메시지 등 개인정보가 유출되었다는 피해 사례가 속속 보고되고 있습니다. 하지만 유명 연예인을 겨냥한 모바일 해킹 사고는 이번이 처음이 아닌데요. 지난 2014년, 할리우드 연예인 100여 명의 아이클라우드(iCloud) 계정에 백업된 개인 사진이 유출되어 세상이 떠들썩했던 적이 있습니다. 최근 이러한 모바일 해킹 사고가 연이어 발생하자 일반 사용자들도 '혹시 내 휴대폰은 문제가 없는가'라는 걱정으로 불안에 떨고 있습니다. 이번 사태는 연예인들의 클라우드 서비스가 직접 해킹되어 발생한 것은 아니라고 알려져있는데요. 그렇다면 오늘은 이번 사태의 원인은 무엇인지, 또 모바일 보안 위협에는 어떤 것들이 있는지, 마지막으로는 사용자들이..

전문가 기고 2020. 1. 21. 16:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 안드로이드의 웹 뷰 기능을 통해서 특정 성인 사이트를 로드합니다. 기기의 전화번호 정보를 수집하며 주소록, 통화목록, 문자 관련 개인 정보를 xml 파일로 저장하고 압축 후 C&C 서버로 탈취합니다. [그림] C&C로 탈취되는 정보 해당 악성 앱은 성인 앱으로 속이며 개인 및 기기와 관련된 다양한 정보를 탈취합니다. 따라서 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다. 현재 알약M에서는 해당 악성 앱을 ..

악성코드 분석 리포트 2020. 1. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 하반기부터 스미싱이 급증하는 추세입니다. 그리고 급증하는 만큼 스미싱 악성 앱들의 종류도 다양해지고 있습니다. 그중에는 글로벌 하게 활동 중인 "xLoader"의 변종도 포함되어 있었습니다. 해당 악성 앱은 최근 업데이트되어 유포된 것으로 보이며 26개국의 언어를 지원하도록 제작되어있습니다. 그리고 배포 방법이 스미싱을 활용하는 것으로 변경되었습니다. ESRC에서 수집되는 택배 스미싱을 통해서도 악성 앱이 유입되고 있음을 확인하였습니다. [그림] 하드 코딩 된 26개국어 스트링 향후 스미싱이나 소셜네트워크를 유포방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측됩니다. 이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 ..

악성코드 분석 리포트 2019. 12. 20. 13:00

안녕하세요? 이스트시큐리티입니다. 지난 11월 19일, 알약M에서 '구글플레이 유해앱 알림' 팝업이 발생한다는 고객지원 문의가 접수되었습니다. Google Play Protect는 구글이 보안상 또는 구글 정책 위반을 이유로 사용이 부적절한 앱을 표시하는 기능으로, 유해앱의 위험을 알리는 푸시알림을 띄우고, 해당 앱의 삭제를 유도하는데요. 그러나 이번 알약M 유해앱 경고는 구버전에 포함된 광고 솔루션을 사기로 오탐지한 건으로, 현재 해당 광고 솔루션은 10월 12일 이미 알약M에서 제거된 상태입니다. 알약M은 보안상 문제가 없으며, 절대 부적절한 방법으로 광고를 노출하지 않습니다. 현재 알약M뿐만아니라 후후 등 이동통신사 기기에 선탑재 된 앱에서 일부 발생하는 현상으로 확인되며, 이통사 측에서 구글에 유..

이스트시큐리티 소식 2019. 11. 22. 14:15

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 스미싱을 통한 악성 앱의 종류가 점점 더 다양해지고 있습니다. 해당 악성 앱은 택배 앱으로 속이고 있으며 기기 정보와 문자 정보를 탈취한 후 아이콘을 숨겨 사용자가 알아차리기 어렵게 하고 원격 명령을 통해서 감염 기기로 문자 전송도 가능합니다. 또한, 몇몇 앱들을 감시하는데 그 중 국내 은행 앱이 있으면 추가 다운로드한 악성 앱으로 바꿔치기하고 모바일 백신이 존재하면 해당 앱의 삭제를 유도합니다. [그림] 백신 삭제 유도 코드 중 일부 해당 악성 앱은 택배 앱으로 속입니다. 기기와 관련된 다양한 정보를 탈취하고 특정 앱을 바꿔치기하고 삭제를 유도합니다. 또한, 원격 명령을 통해서 문자 메시지 전송이 가능하며 앱의 분석을 어렵게 하도록 ji..

악성코드 분석 리포트 2019. 11. 21. 09:00