Jiyong
안녕하세요. 분석팀의 Jiyong입니다. 모바일 악성코드가 단순한 정보 유출을 넘어 사용자의 가상화폐 지갑을 직접 노리는 형태로 고도화되고 있습 …
안녕하세요. 분석팀의 Jiyong입니다. 모바일 악성코드가 단순한 정보 유출을 넘어 사용자의 가상화폐 지갑을 직접 노리는 형태로 고도화되고 있습니다. 오늘은 보안 업계에서 이슈가 됐었던 악성코드를 직접 입수하여, 껍데기인 드로퍼부터 악성 행위의 심장부까지 코드 레벨에서 파헤쳐본 분석 결과를 공유하려 합니다.
Secolt
안녕하세요. Secolt입니다. 오늘은 특별히 같은 분석팀에서 일하시는 Jiyong씨와 함께 공동으로 작성한 포스팅을 준비했습니다.
안녕하세요. Secolt입니다. 오늘은 특별히 같은 분석팀에서 일하시는 Jiyong씨와 함께 공동으로 작성한 포스팅을 준비했습니다.
Jiyong
안녕하세요. 분석팀의 Jiyong입니다. 어느덧 한 해를 마무리하는 12월의 문턱입니다. 부쩍 추워진 날씨에 다들 건강 잘 챙기고 계신가요?
안녕하세요. 분석팀의 Jiyong입니다. 어느덧 한 해를 마무리하는 12월의 문턱입니다. 부쩍 추워진 날씨에 다들 건강 잘 챙기고 계신가요?
Secolt
안녕하세요. Secolt입니다. 어느덧 2025년도 막바지를 향해 달려가고 있습니다. 갑작스럽게 추워진 날씨에 다들 건강 관리는 잘 하고 계신가 …
안녕하세요. Secolt입니다. 어느덧 2025년도 막바지를 향해 달려가고 있습니다. 갑작스럽게 추워진 날씨에 다들 건강 관리는 잘 하고 계신가요? 연말이 다가오면서 거리의 분위기는 들뜨고 있지만, 악성코드 분석가들의 마음은 마냥 편하지는 않습니다. 연말연시는 해커들이 가장 활발하게 움직이는 시기이기도 하니까요.
Jiyong
안녕하세요. 분석팀 악성코드 분석 파트의 신입 Jiyong입니다.
안녕하세요. 분석팀 악성코드 분석 파트의 신입 Jiyong입니다.
Jiwon
이 글은 보안 분석가, 리버스 엔지니어, 안드로이드 앱의 내부 동작 원리에 깊은 관심이 있는 개발자를 대상으로 합니다.
이 글은 보안 분석가, 리버스 엔지니어, 안드로이드 앱의 내부 동작 원리에 깊은 관심이 있는 개발자를 대상으로 합니다.
Jiwon
안드로이드 악성 앱을 분석하는 일은 악성 앱 개발자와 리버스 엔지니어 간의 끊임없는 싸움입니다. 개발자는 소스 코드와 핵심 로직을 보호하기 위 …
안드로이드 악성 앱을 분석하는 일은 악성 앱 개발자와 리버스 엔지니어 간의 끊임없는 싸움입니다. 개발자는 소스 코드와 핵심 로직을 보호하기 위해 다양한 난독화 기법을 적용하고, 리버스 엔지니어는 이를 파훼하여 내부 구조를 분석해야 하죠. 이 싸움의 최전선에 있는 기술 중 하나가 바로 가상화 기반 난독화입니다.
Secolt
시큐리온은 안드로이드 악성 앱의 발전 양상을 지속적으로 추적해 왔습니다. 초기 악성 앱은 보안 우회 기법 없이 단순히 단말기 정보를 수집하는 …
시큐리온은 안드로이드 악성 앱의 발전 양상을 지속적으로 추적해 왔습니다. 초기 악성 앱은 보안 우회 기법 없이 단순히 단말기 정보를 수집하는 기초적인 형태였습니다. C2(명령 제어) 서버 주소가 내부에 하드코딩되어 그대로 노출되었고 암호화되지 않은 HTTP 통신을 사용해 모든 데이터가 쉽게 들여다보일 정도였죠.
Secolt
사이버 보안 회사 ‘시큐어 오피스’의 명물, 범인(악성 앱) 추리 전문가 YARA 요원!
사이버 보안 회사 ‘시큐어 오피스’의 명물, 범인(악성 앱) 추리 전문가 YARA 요원!
Jiwon
최근 발견된 ‘교통정보센터’ 사칭 악성 앱은 설치 직후 ‘조회하기’ 버튼 클릭만으로 실제 정부 공식 사이트(예: 환경부, 정부24 등)로 즉시 …
최근 발견된 ‘교통정보센터’ 사칭 악성 앱은 설치 직후 ‘조회하기’ 버튼 클릭만으로 실제 정부 공식 사이트(예: 환경부, 정부24 등)로 즉시 리디렉션되어, 사용자가 별다른 의심 없이 정상 서비스로 오인하도록 설계된 것이 특징이다. 이 악성 앱은 다음과 같이 동작한다.
Jiwon
최근에 발견된 “청첩장” 테마 악성 앱은 초대장·안내장 등 친숙한 UI로 위장해 사용자 신뢰를 확보한 뒤 대규모로 유포된 것이 특징이다.
최근에 발견된 “청첩장” 테마 악성 앱은 초대장·안내장 등 친숙한 UI로 위장해 사용자 신뢰를 확보한 뒤 대규모로 유포된 것이 특징이다.
Secolt
옛날 옛적 인터넷 왕국에서는 매일 밤 화려한 가면무도회가 열렸습니다. 참가자들은 모두 가면을 썼고 그 뒤의 진짜 얼굴은 비밀이었죠. 그 사람이 …
옛날 옛적 인터넷 왕국에서는 매일 밤 화려한 가면무도회가 열렸습니다. 참가자들은 모두 가면을 썼고 그 뒤의 진짜 얼굴은 비밀이었죠. 그 사람이 누군지 알기 위해선 DNS 마법사에게 물어봐야 했어요.
Secolt
사이버 보안 회사 ‘시큐어 오피스’. 이곳엔 자타공인 범인(악성 앱) 추리 전문가 YARA 요원이 있었습니다. YARA는 …
사이버 보안 회사 ‘시큐어 오피스’. 이곳엔 자타공인 범인(악성 앱) 추리 전문가 YARA 요원이 있었습니다. YARA는 마치 예리한 탐정처럼 앱에 남겨진 희미한 흔적만 보고도 범인의 소속을 척척 밝혀내는 것으로 유명했죠.
Jiwon
이상한 APK 파일의 등장 여느 때와 같이 수집한 APK 파일의 내부를 살펴보기 위해 압축해제를 시도했습니다. 그런데, 패스워드 입력을 요구하는 …
이상한 APK 파일의 등장 여느 때와 같이 수집한 APK 파일의 내부를 살펴보기 위해 압축해제를 시도했습니다. 그런데, 패스워드 입력을 요구하는 메시지가 나타났습니다.
Jiwon
최근 신규 유형의 악성 앱 WEX가 발견되고 있습니다. 이 악성 앱은 사용자에게 접근성 서비스를 허용하도록 유도합니다. 접근성 서비스가 허용되면 …
최근 신규 유형의 악성 앱 WEX가 발견되고 있습니다. 이 악성 앱은 사용자에게 접근성 서비스를 허용하도록 유도합니다. 접근성 서비스가 허용되면 기기정보, 설치된 앱 정보 등을 지속적으로 외부로 유출합니다. 또한, 특정 조건에 따라 SMS 권한이나 전화 권한이 자동으로 허용되어, 사용자가 모르는 사이에 SMS 내용, USSD 코드 실행 결과 등의 정보도 외부 유출지 서버로 전송합니다. 본 포스팅에서는 WEX 악성 앱의 주요 악성 행위와 특징을 …
Minkyu
최근 유명인을 사칭하거나 공모주를 저렴한 가격으로 배정이 가능하다며 허위 주식거래 앱(MTS, Mobile Trading System) 설치를 …
최근 유명인을 사칭하거나 공모주를 저렴한 가격으로 배정이 가능하다며 허위 주식거래 앱(MTS, Mobile Trading System) 설치를 유도하는 금융투자 사기가 성행하고 있다. 이들은 금융투자업체를 사칭한 사이트를 만들고 임명장이나 증명서 등을 위조하여 사용자들의 신뢰를 얻는다. 허위 MTS 앱은 조작된 정보를 보여주며 투자 및 거래를 유도하지만 실제로 거래가 이루어지진 않는다. 또한 증거금 명목이나 출금 수수료 등 추가 요금을 요구하기 …
Minkyu
2024년 월 이후로 부고장 유형의 악성 앱이 지속적으로 탐지되지 않도록 고도화되고 있는 것으로 확인되고 있다. 현재 유포되고 있는 악성 앱은 …
2024년 월 이후로 부고장 유형의 악성 앱이 지속적으로 탐지되지 않도록 고도화되고 있는 것으로 확인되고 있다. 현재 유포되고 있는 악성 앱은 1부에서 분석된 악성 앱과 동일한 유형이지만 악성 행위 분석 방지 목적으로 newobfs가 적용된 부분과 별도의 DEX 파일을 동적 로딩하는 차이점이 존재한다. 이번 분석 대상 앱은 ‘부고장 알림 서비스’라는 이름으로 유포되고 있었으며 24년 3월 27일에 발견되었다.
Minkyu
문자 메시지를 통해 개인정보를 탈취하는 스미싱의 수법이 갈수록 고도화되고 있다. 최근에는 지인을 사칭하여 부고장, 청첩장 등의 문자를 보내는 스 …
문자 메시지를 통해 개인정보를 탈취하는 스미싱의 수법이 갈수록 고도화되고 있다. 최근에는 지인을 사칭하여 부고장, 청첩장 등의 문자를 보내는 스미싱 수법이 성행하고 있다. 부고장 관련 스미싱의 경우 문자 메시지에는 부고장의 인터넷 주소가 첨부되어 있으며, 장례식장 위치와 발인일 등을 확인하려 클릭하면 부고장을 사칭한 악성 앱이 다운로드된다. 다운로드 된 부고장 사칭 앱은 MQTT 통해 C2 서버에서 명령을 전달받고 정의된 명령에 따라 개인 정보 …