'악성앱'에 해당되는 글 5건

  1. 2014.11.17 신규 애플 iOS 취약점 주의
  2. 2013.08.30 "돌잔치 초대장" 스마트폰 스미싱 사칭 악성앱
  3. 2013.03.14 스마트폰 공인인증서 탈취 악성 앱 발견
2014.11.17 19:21

신규 애플 iOS 취약점 주의



개요

  • SMS 등을 통해 알 수 없는 링크를 클릭할 경우 사용자의 iOS 디바이스에 악성앱이 설치 될 수 있는 취약점이 발견됨 [1,2]
  • 공식 애플 앱스토어 이외의 신뢰할 수 없는 곳으로부터 악성앱이 설치될 수 있으므로 주의를 권고 [1,2]



내용

  •  정상 iOS 앱과 동일한 번들 ID를 가지고 있는 악성앱을 설치할 경우, 앱의 인증서를 추가적으로 검증하지 않아 동일한 앱으로 판단하여 정상앱이 교체가 되는 취약점



해당 시스템

  • 영향을 받는 제품
    •  iOS 7.1.1, 7.1.2, 8.0, 8.1, 그리고 8.1.1 beta를 실행하는 모든 iOS 디바이스



해결 방안

  • 해당 취약점에 영향 받는 버전 사용자
    • 웹페이지 열람 중에 팝업창에 뜨는 설치 버튼을 클릭하지 않음
    • 앱을 실행시킬 때 “신뢰할 수 없는 앱 개발자”라는 경고가 뜰 경우, “신뢰하지 않음”을 클릭하고 앱을 삭제
    • 신뢰할 수 없는 출처로부터 앱을 다운로드 하지 않음



용어 정리

  • 번들 ID: 서로 다른 앱들을 식별하기 위한 구분자



기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 


[참고사이트]
[1] https://www.us-cert.gov/ncas/alerts/TA14-317A
[2] http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html


Trackback 0 Comment 0
2013.08.30 18:44

"돌잔치 초대장" 스마트폰 스미싱 사칭 악성앱

NSHC의 Red Alert팀, ‘돌잔치 초대장’ 악성코드 분석보고서 발표




 ▲ ‘돌잔치 초대장’ 문자를 클릭해 악성코드에 감염될 경우 설치되는 악성 앱 [자료 : NSHC] 



돌잔치 사칭 악성코드 긴급분석보고서입니다.

지금 현재 (2013-08-27) 빠른 속도로 유포되고 있는 악성코드입니다.

작성자 : NTMALab NMSC 팀장 김남준



NTMALab 돌잔치 사칭 악성코드 긴급분석보고서.pdf




출처 : www.ntma.co.kr


Trackback 0 Comment 0
2013.03.14 18:36

스마트폰 공인인증서 탈취 악성 앱 발견

[전체요약]

스마트폰 사용자의 호기심을 자극하는 내용으로 문자 메시지를 발송하고, 수신된 문자 메시지에 포함된 링크를 스마트폰 사용자가 설치하도록 유도하는 기존의 스미싱 악성앱과 동작방식이 동일한 악성코드가 지속적으로 발견되고 있다.

 
이번에 발견된 악성코드는 이전의 문자 메시지를 탈취하는 기능에 사진과 메모도 탈취 할 수 있는 기능이 추가되어 사생활의 침해가 우려된다. 그 기능뿐만 아니라 모바일 공인인증서를 탈취 하는 기능도 추가되어 기존의 소액결제피해를 넘어선 금융 피해를 일으 킬 수 있으므로 사용자의 각별한 주의가 필요하다.

 

[주요증상]

 

- 문자 메시지 탈취 및 사용자의 전화번호 탈취

 

- 공인인증서, 메모, 사진의 탈취

 

- 전화 착신 및 발신 차단

 

[분석정보]

 

1. Android/Trojan-SMS.Fraud-SMS-Stealer.dc

 

파일명 : pftp0312.apk

 

[그림 1] pftp0312.apk의 아이콘

 

A. 감염 경로


Android/Trojan-SMS.Fraud-SMS-Stealer.dc는 스미싱 문자 메시지의 링크를 통하여 감염된다.

 

B. 감염 증상


1) Android/Trojan-SMS.Fraud-SMS-Stealer.dc의 어플리케이션의 권한은 아래의 그림과 같다.
 


[그림 2] pftp0312.apk 어플리케이션의 권한

 

 

2) 해당 악성 앱은 부팅이 되었는지 감지하여 만약 재부팅이 되었을 때 서비스를 자동으로 동작시킨다.
 


[그림 3] 부팅감지

 

 

3) 해당 악성 앱은 처음 실행하게 되면 별도의 UI가 보여지지 않으며 곧바로 종료되는 것처럼 보인다. 그러나 백그라

운드로 악성 프로세서가 감염된 사용자의 스마트폰 전화번호를 전송하게 되며 감염되었음을 등록시킨다.
 


[그림 4] 전화번호 전송 및 등록

 

 

4) 해당 악성 앱은 동작할 때도 따로 UI가 존재하지 않으며 서비스로만 동작하고 있다는 것을 확인 할 수 있다.
 


[그림 5] 서비스로 동작

 

 

5) 해당 악성 앱이 처음 실행될 때 스마트폰에 존재하고 있는 공인인증서와 메모를 zip파일로 만들 수 있으며 사진과

 같이 특정 서버에 전송한다. 서버에 저장 될 때는 [전화번호_IMEI]의 디렉토리가 생성되며 해당 디렉토리에 각각

NPKI, MEMO, DCIM의 하위 디렉토리명으로 저장된다.
 


[그림 6] 공인인증서, 메모, 사진 탈취

 


[그림 7] 탈취된 정보

 

 

6) 해당 악성 앱은 서비스로 동작할 때 3가지의 리시버를 등록시키며 리시버의 종류는 다음과 같다.


문자 메시지 수신 리시버

전화 착신 리시버

전화 발신 리시버
 


[그림 8] 리시버 설치

 

 

7) 문자 메시지 수신 리시버는 abortBroadcast를 이용하여 문자 메시지가 왔다는 사실을 차단하여 사용자는 문자 메시지가 도착한 것을 알 수 없다.
 


[그림 9] 문자 메시지 차단

 

 

8) 문자 메시지 수신 리시버는 문자 메시지의 내용들을 유출시킨다. 유출시킬 때 ‘||’기호를 구분자로 할 것으로 추정

되며 순서대로 [사용자의 스마트폰 전화번호||문자 메시지 내용||발신처||문자 메시지를 받은 시간]으로 만들어 보내

진다.
 


[그림 10] 문자 메시지 유출

 

 

9) 문자 메시지 수신 리시버는 assets에 url.txt라는 문서파일이 존재하며 여기에 있는 URL을 가지고 보내도록 되어

있다. 이 부분으로 인하여 URL.txt만 변경시켜주면 문자 메시지를 탈취하는 서버의 URL을 변경할 수 있다.
 


[그림 11] URL.txt 파싱

 

 

10) 전화 착신 리시버는 전화가 착신되었을 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크하며

 조건이 일치할 경우에는 전화 착신을 차단 시켜서 사용자가 전화가 왔다는 사실을 알 수 없도록 한다.
 


[그림 12] 전화 착신 차단

 

 

11) 전화 발신 리시버는 사용자가 전화를 걸게 될 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크

하며 조건이 일치할 경우에는 전화 발신을 차단 시켜서 사용자가 해당 전화번호에 연결 할 수 없게 한다.
 


[그림 13] 전화 발신 차단

 

 

12) 해당 악성 앱이 공인인증서, 메모, 사진의 유출을 시도하는 URL의 IP위치는 미국으로, 문자 메시지 유출을 시도하

는 URL의 IP위치는 태국으로 확인된다.
 


[그림 14] 공인인증서, 메모, 사진 등의 탈취 위치

 


[그림 15] 문자 메시지 탈취 위치



출처 : 하우리



Trackback 0 Comment 0