지난달부터 많은 사용자가 SMS를 통해 전송되어 온 수상한 메시지의 스크린샷 이미지를 정보공유 사이트에
게시하기 시작했습니다.
그 내용으로 사용자의 개인사진 유출을 암시하는 단축 URL링크를 클릭하도록 유도하는 메시지로 확인되고
있습니다.
일본서버호스팅
일본서버호스팅
또한 이 스미싱 공격에 사용되는 다른 수상한 SMS 메시지는 당신이 관심있어 하는 뉴스를 게재해
관심을 유도, 피싱 사이트로 연결되는 링크를 클릭 시키려고하는 것이 확인되고 있습니다.
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
Android 사용자가 링크를 클릭하면 Web 서버에서 JavaScript 스크립트가 브라우저의 User-Agent를
확인하여 Chrome 브라우저를 최신 버전으로 업데이트하도록 가짜 경고 메시지를 표시합니다.
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
가짜 경고 메시지 : "한층 개선된 Chrome의 최신버전이 출시되었습니다. 업데이트후 이용해주십시오."
일본서버호스팅
만약 사용자가 iPad 등 다른 모바일 장치를 사용하는 경우에는 검색엔진 및 포털 사이트 Naver의
보안 페이지를 표시합니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
Android / MoqHao라고 이름 붙인 이 악성코드는 아래와 같이 많은 기능을 수행합니다.
일본서버호스팅
● 전화 번호부의 연락처 앞으로 피싱 SMS를 보낸다. 일본서버호스팅
● 수신 SMS와 같은 비밀정보를 원격 서버로 전송한다. 일본서버호스팅
● C&C 서버에서 제공한 Android 어플리케이션을 설치한다. 일본서버호스팅
● C&C 서버에서 원격 명령을 실행하고 결과를 전송한다. 일본서버호스팅
● 로컬에 저장된 Google을 모방한 피싱 사이트를 통해 비밀정보 수집을 시도한다.
일본서버호스팅
일본서버호스팅
기술적 분석 일본서버호스팅
일본서버호스팅
사용자가 다운로드한 악성 코드를 단말기에 설치한 경우에는 "전화번호발신", "연락처데이터 읽기",
"문자메시지 읽기" 등 의심스러운 권한이 요구됩니다. 일본서버호스팅
Android / MoqHao는 영구적으로 장치에 잠복하기 위해, 끊임없이 장치 관리자 권한의 특권을 요구합니다.
일단 권한이 부여되면 홈 화면에 표시되며, 악성코드가 담긴 가짜 아이콘이 생성되 있습니다.
일본서버호스팅
일본서버호스팅
일본서버호스팅
<Chrome 브라우저의 일반 아이콘 (왼쪽)과 가짜 아이콘 (오른쪽)>
일본서버호스팅
일본서버호스팅
Android / MoqHao은 APK의 assets 폴더의 bin 파일을 BASE64 형식으로 디코딩하고 디코딩된 DEX 파일을
동적으로 로드합니다. 일본서버호스팅
로드된 클래스에 감염된 장치에 악의적인 행위를 할 코드가 포함되어 있습니다. 일본서버호스팅
일본서버호스팅
먼저 Android / MoqHao 새 패키지 설치, 화면의 상태 변경, SMS 메시지 수신 등 다양한 시스템 이벤트에 대한
유포 수신자를 동적으로 등록합니다. 일본서버호스팅
이 유포 수신자는 장치를 모니터링하고 장치 상태 정보를 C&C 서버로 전송합니다.
일본서버호스팅
다음은 Android / MoqHao는 1차 원격 서버에 연결합니다. 일본서버호스팅
2차 C&C 서버의 IP 주소는 중국 검색 엔진 Baidu의 사용자 프로필 페이지에서 동적으로 가져옵니다 :
일본서버호스팅
일본서버호스팅
일본서버호스팅
<C&C 서버의 IP 주소와 포트 번호의 동적 취득의 흐름>
일본서버호스팅
아래 Baidu 사용자 프로필에는 C&C 서버의 IP 주소와 포트 번호가 숨겨져있는 것을 발견하고 있습니다 :
일본서버호스팅
● haoxingfu88 : Haoxingfu (중국어로 "매우행복") 일본서버호스팅
● ceshi9875 : Ceshi (중국어로 "테스트") 일본서버호스팅
● womenhao183527 : Hao (중국어로 "좋다") 일본서버호스팅
● dajiahao188384 : Dajiahao (중국어로 "여러분 안녕하세요") 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
<C&C 서버의 IP 주소와 포트 번호 정보가 숨겨진 Baidu 프로필 페이지>
일본서버호스팅
일본서버호스팅
2차 C&C 서버에 연결할 때 Android / MoqHao는 다음 장치 정보를 포함 "hello"메시지를 보냅니다.
일본서버호스팅
● UUID 일본서버호스팅
● 장치 ID (IMEI) 일본서버호스팅
● Android 버전 일본서버호스팅
● 장치의 제품명, 빌드ID의 문자열 일본서버호스팅
● 장치의 루트화 j상태 일본서버호스팅
● SIM 카드의 상태 일본서버호스팅
● 전화번호 일본서버호스팅
● 등록된 계정 일본서버호스팅
일본서버호스팅
일본서버호스팅
장치의 상태 변경과 관련된 이벤트가 발생한 후, 다음 장치 정보를 주기적으로 메시지 유형 "state"로
서버에 전송합니다. 일본서버호스팅
일본서버호스팅
● 네트워크 운영자 이름 일본서버호스팅
● 네트워크 유형 (LTE, GPRS) 일본서버호스팅
● MAC 주소 일본서버호스팅
● 현재 배터리 수준 일본서버호스팅
● Wi-Fi 신호 레벨 일본서버호스팅
● 장치 관리자 권한에 대한 상태 일본서버호스팅
● 배터리 최적화에 대한 상태 일본서버호스팅
● 화면의 상태 일본서버호스팅
● 수신 모드 일본서버호스팅
일본서버호스팅
일본서버호스팅
장치가 SMS 메시지를 수신하면 메시지의 내용과 보낸사람 주소는 C&C 서버로 전송됩니다.
특별한 형식의 SMS 메시지가 수신된 경우, Android / MoqHao는 그것을 분석하여 설정을 변경합니다.
예를 들어, SMS 대상 주소의 "fs"필드와 Baidu 프로필 페이지에 액세스하는데 사용되는 "account"필드의
설정 정보를 변경할 수가 있습니다. 일본서버호스팅
일본서버호스팅
Android / MoqHao이 성공적으로 설치되어 C&C 서버에 접속한 후 악성코드가 추가 명령을 기다립니다.
일본서버호스팅
일본서버호스팅
은행 응용 프로그램에 관한 가짜 업데이트 일본서버호스팅
일본서버호스팅
Android / MoqHao는 주요 한국 은행 앱이 장치에 설치되어 있는지 여부를 확인하고, 그것에 대응한 가짜
뱅킹 트로이 목마는 C&C 서버로 다운로드합니다. 일본서버호스팅
2013년 6월에 은행의 고객을 대상으로 한 스미싱에 전달된 Android 뱅킹 트로이 목마에서도 같은 기능을
볼 수 있었지만, Android / MoqHao와는 달리, 2013년에 발견된 악성코드는 C&C 서버에서 다운로드하는
것이 아니라 APK 파일에 가짜 응용 프로그램이 포함되어 있었습니다.
일본서버호스팅
뱅킹 트로이 목마가 다운로드된 후 새 버전을 사용할 수 있으며, 앱을 업데이트해야한다는 경고 대화 상자를
표시합니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
<"새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다."라는 경고 대화 상자를 표시하는 코드>
일본서버호스팅
일본서버호스팅
뱅킹 트로이 목마가 설치되면 정규 앱이 삭제됩니다. 일본서버호스팅
악성 코드는 다음 패키지 이름의 응용 프로그램을 확인합니다 : 일본서버호스팅
일본서버호스팅
● wooribank.pib.smart 일본서버호스팅
● kbstar.kbbank 일본서버호스팅
● ibk.neobanking 일본서버호스팅
● sc.danb.scbankapp 일본서버호스팅
● shinhan.sbanking 일본서버호스팅
● hanabank.ebk.channel.android.hananbank 일본서버호스팅
● smart 일본서버호스팅
● epost.psf.sdsi 일본서버호스팅
● kftc.kjbsmb 일본서버호스팅
● smg.spbs 일본서버호스팅
일본서버호스팅
일본서버호스팅
조사에 따르면, Android / MoqHao가 특정 뱅킹 트로이목마 다운로드를 요구했을 때 C&C 서버는
오류 응답를 했습니다. 일본서버호스팅
또한 지금까지 사용자가 추가 APK 파일을 다운로드 및 설치 등 보고되지 않은 것을 고려하면, 이 가짜
업데이트 기능은 아직 구현되지 않았거나, 적어도 현재는 악성 코드 제작자에 의해 사용되지 않고 있다는
것을 추측할 수 있습니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
피싱 사이트를 제공하는 로컬 HTTP 서버 일본서버호스팅
일본서버호스팅
Android / MoqHao에는 WebView를 사용하여 피싱 사이트를 표시하거나, 오버레이 화면을 사용하여 은행의
인증 정보를 얻을 Android 뱅킹 트로이 목마와 달리, 사용자가 가짜 경고 메시지를 클릭하면 로컬에 저장된
피싱 페이지를 표준 브라우저로 열기 위해 HTTP 서버 "java-httpserver"가 포함되어 있습니다.
일본서버호스팅
일본서버호스팅
일본서버호스팅
<경고 메시지 : "고객님의 Google 아이디 위험있습니다. 본인인증후 사용하세요.">
일본서버호스팅
일본서버호스팅
피싱 페이지에서는 사용자에게 Google 계정 이름과 생일을 제출하도록 요구됩니다.
이것은 POST method가 로컬 HTTP 서버에 전송됩니다. 일본서버호스팅
그 후, 로컬 HTTP 서버가 수집한 정보를 C&C 서버로 전송합니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
C&C 서버와의 통신 일본서버호스팅
일본서버호스팅
Android / MoqHao는 WebSocket을 열고 JSON-RPC 불러서 C&C 서버와 통신합니다.
악성코드와 C&C 서버는 모두 RPC 기능을 구현하고 있습니다. 일본서버호스팅
일본서버호스팅
Android / MoqHao에 구현된 명령 목록 : 일본서버호스팅
일본서버호스팅
일본서버호스팅
<클라이언트 명령 목록>
일본서버호스팅
일본서버호스팅
C & C 서버에 구현된 명령 목록 : 일본서버호스팅
일본서버호스팅
일본서버호스팅
<서버 명령 목록>
일본서버호스팅
일본서버호스팅
Android / MoqHao의 진화 일본서버호스팅
일본서버호스팅
Android / MoqHao의 초기 버전은 2017년 1월에 발견되었습니다. 일본서버호스팅
아래의 제한을 고려하면 이것은 테스트 버전과 같습니다 : 일본서버호스팅
일본서버호스팅
● APK 파일은 Chrome 아이콘과 특정 문자열 등 자원이 포함되지 않다.
● 패키지 이름이 "v3.example.com.loader" 일본서버호스팅
● 응용프로그램의 라벨명이 "Test" 일본서버호스팅
일본서버호스팅
일본서버호스팅
2017년 2월에 발견된 업데이트 판에는, 다른 응용 프로그램을 설치하는 스포이드 기능이나 영구적으로 단말기에
감염시키는 기능이 포함되어 있었지만, 아직 이것 또한 테스트 버전인 것 같습니다 :
일본서버호스팅
● 패키지 이름이 "com.example" 일본서버호스팅
● APK의 activity_main.xml 파일에는 기본 "Hello World!"라는 문자열이 사용된다.
일본서버호스팅
2017년 3월에 발견된 다른 테스트 버전에서는 "바이러스 테스트"라는 앱 이름이 사용되었고,
startService 등의 일부 기능이 네이티브 라이브러리로 구현되었습니다.
해석한 샘플의 초기 버전은 2017년 5월에 등장하고 있기 때문에 지난 2개월 동안 배포된 것입니다.
일본서버호스팅
일본서버호스팅
일본서버호스팅
<Android / MoqHao의 진화>
일본서버호스팅
일본서버호스팅
2015년 5월의 DNS 변조 공격과의 관계 일본서버호스팅
일본서버호스팅
2015년 5월 사용자가 인터넷에 액세스하려고 할 때, 기본 Web 브라우저에 피싱 메시지가 표시된다는
보고가 있었습니다. 일본서버호스팅
이 사건에 대해 분석한 블로거 "nopsled"에 따르면, 기본 사용자 ID와 암호가 사용되는 취약한 라우터가
DNS 리디렉션을 통해 해킹 된 것이 원인으로 피싱 메시지가 표시되어 있었습니다.
피싱 메시지 자체는 Android / MoqHao 배포에 사용된 것과 유사하고, 새로운 Chrome 버전 출시하는 척하고
사용자에게 악성 코드를 설치합니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
<2015년 피싱 메시지>
일본서버호스팅
일본서버호스팅
2015년 5월의 Android 악성코드 및 Android / MoqHao 악성코드 전혀 다르지만, 어떤 동작이나 기능은
공통되는 부분이 있습니다 : 일본서버호스팅
일본서버호스팅
● HTML 코드의 특정 필드를 분석하여 qzone과 Baidu 등 중국의 Web 사이트에서 C&C 서버의 IP 주소를 얻는다.
● 같은 피싱 메시지를 사용하여 사용자에게 가짜 뱅킹 어플을 설치한다. 일본서버호스팅
● 다운로드한 가짜 뱅킹 응용 프로그램을 저장하기 위해 사용하는 SD 카드에 숨겨진 폴더가 유사하다.
● 로그 메시지가 동일하다. 일본서버호스팅
일본서버호스팅
또한 2015년과 2017년의 피싱 공격의 유사성은 같은 사이버 범죄자에 의한 것임을 시사하고, 공격 방법을
DNS 리디렉션 공격에서 스미싱 공격으로 변경한 것으로 간주합니다. 일본서버호스팅
동적으로 로드된 악성 코드와 첫 드롭퍼 구성 요소의 코드가 변경되어 있지만, 공격자는 아직 Chrome을
대상으로 하고 있으며, C&C 서버의 정보를 동적으로 Web 페이지에서 얻을 수 있습니다.
일본서버호스팅
일본서버호스팅
결론 일본서버호스팅
일본서버호스팅
이번에 발견된 사용자를 노린 스미싱 공격은 Android 악성 코드를 감염시키기 위해 피싱 SMS 메시지가
여전히 유효한 침입 경로이며, SMS 메시지에서 배포된 가짜 Chrome 앱은, Android / MoqHao가 2017년초부터
개발되어온 위협으로 판명되었습니다. 일본서버호스팅
2015년부터 일련의 공격에 대한 조직화된 사이버 범죄 단체의 소행임을 시사하고 있습니다.
일본서버호스팅
이 위협으로부터 자신을 보호하기 위해 자신의 모바일 장치에 보안 소프트웨어를 설치하고 공식 마켓 이외에서
다운로드한 애플리케이션은 신뢰하지 마시길 바랍니다. 일본서버호스팅
McAfee Mobile Security는이 위협을 Android / MoqHao으로 감지하고, 사용자에게 통지하고 데이터 손실로부터 사용자를 보호합니다. 일본서버호스팅
McAfee Mobile Security에 대한 자세한 내용은 http://www.mcafeemobilesecurity.com를 참조하십시오.
일본서버호스팅
일본서버호스팅
일본서버호스팅
출처 : McAfee Blog 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
'IT 이야기' 카테고리의 다른 글
| 'Core i9', 'Core i7'의 CPU 및 성능 비교 - 일본서버임대 제이피서버 (0) | 2017.10.10 |
|---|---|
| JShell 이란? - 일본서버호스팅 제이피서버 (0) | 2017.09.27 |
| 일본서버임대, 일본서버호스팅 제이피서버 40% 할인이벤트 & 리셀러모집 (0) | 2017.08.31 |
| 아이폰 홈화면 간단히 정리하는 방법 - 일본서버호스팅 제이피서버 (0) | 2017.08.29 |
| 안드로이드 구글스토어에 클릭사기 악성코드 출현 - 일본서버호스팅 제이피서버 (0) | 2017.08.28 |