Team Parma

RiskIQ는 안드로이드에서 가짜 어도비 플래쉬 앱을 제공하는 큰 Infrastructure를 발견했다. RiskIQ에 따르면, 해당 앱들은 어도비 플래쉬를 사칭하여 악성코드를 설치하였으며 이 공격은 SyfLabs에서 소개한 Red Alert 2 와 관련이 있는 것으로 보인다고 한다. Red Alert 2는 올해 7월 발견된 은행 등 금융 기관과 언론 기관을 타겟으로 하였으며 어도비 플래시 설치를 유도하여 침투하는 안드로이드 악성코드이다. 악성코드가 포함된 앱이 설치시 해당 앱은 인터넷, 현재 실행중인 작업(GET_TASKS), 네트워크 환경, 문자 발/수신, 핸드폰 상태, 재시동 후 자동 실행, 시스템 경고 창 등에 대한 권한을 요구한다. 이 악성코드가 포함된 앱을 Virustotal에서는 전혀 악성코..

Check Point Security에서 총 천만에서 오천만건의 다운로드를 기록한 구글 플레이에 등록된 앱인 DU 안티바이러스 시큐리티 (DU Antivirus Security) 앱이 설치된 기기의 정보, 연락처, 전화 기록, 그리고 위치 정보 까지 유출하였다는 보고서를 공개했다. Check Point Security에 따르면, DU 안티바이러스 시큐리티 앱은 해당 정보를 빼돌려 같은 회사 (DU 그룹) 에서 개발한 발신자 정보 제공 앱 (Caller ID & Call Block - DU Caller) 을 위해 사용했으며 Check Point Security는 안티 바이러스 앱은 개인정보 보호를 위해 사용되는데, 이 앱은 정확하게 반대의 일을 했다고 주장했다. 사용자들이 안티바이러스 프로그램을 다운받을때..

CheckPoint가 발견한 안드로이드 ExpensiveWall 악성코드는 SMS와 인터넷을 이용하여 프리미엄 서비스에 강제로 가입시키는 악성코드 이다. 구글 플레이의 정보에 따르면, 최소 50개의 앱이 감염되었고 백만건에서 사천 이백만건의 다운로드 횟수를 기록하였다. ExpensiveWall 악성코드는 다른 악성코드와는 다르게 패킹된 상태였기 때문에 구글 플레이의 안티 악성코드 프로그램에 의해 탐지되지 않았다. 현재 해당 앱들은 구글 플레이에서 삭제 되었다. 하지만 구글 플레이에서 삭제 되었다 하더라도 사용자가 이미 다운로드 한 경우 기기에 남아있을 수 있으니 주의 해야한다. ExpensiveWall 악성코드는 처음 설치시 사용자에게 SMS권한, 인터넷 권한을 요구한다. 이는 일반적인 앱들과 크게 다르..

이미지 출처: Armis Lab Armis Labs 는 BlueBorne(블루본) 으로 명명한 블루투스를 통한 제로데이 공격 보고서를 발표했다. 블루본 공격은 안드로이드, iOS, 윈도우, 리눅스 등 블루투스를 이용한 대부분의 운영체제에 적용할 수 있기 때문에 치명적이다. 블루본 공격을 통해 기기를 통제할 수 있고, 데이터와 네트워크에 접근할 수 있으며 다른 기기로 악성코드를 퍼뜨릴 수 있다. Armis Labs 에 따르면, 이 공격은 이전 공격과 다르게 블루투스가 검색(Discoverable) 모드 여부와 관계없이 공격자의 기기에 연결되지 않아도 가능하다고 한다. 그리고 타겟이 공격자의 기기를 허용하거나 등록하지 않아도 공격이 가능하기 때문에 더더욱 치명적이다. 동영상: 안드로이드 공격 시연 영상 (출..