지난 2월부터 공격자, 분석 방해·탐지 회피 목적의 다양한 코드 보호 기법 적용
분석 방해 기법, 아이콘 은닉, 좀비 프로세스, SMS 발송, 원격제어, 개인정보 유출 등
다양한 기법 적용해 정보탈취는 물론 악성 행위 펼쳐...이러한 추세 앞으로 지속될 것
[보안뉴스 김경애 기자] 최근 경조사를 사칭한 부고 스미싱이 갈수록 진화하며 고도화되고 있어 이용자들의 각별한 주의가 요구된다. 특히 ‘부고장 알림 서비스’를 사칭한 스미싱의 경우 공격자가 악성 앱이 탐지되지 않도록 고도화된 기법을 적용한 것으로 드러났다.
▲지속적으로 고도화되어 가는 부고장 유형 악성앱[자료=시큐리온]
그동안 부고장 스미싱은 2023년 12월 15일 부고장 사칭을 비롯해 2024년 1월 19일에는 카카오픽 사칭, 2024년 1월 31일 모바일 청첩장 사칭, 2024년 2월 8일 케이뱅크 사칭, 2024년 2월 13일 기프트허브 사칭, 2024년 3월 27일 부고장 알림 서비스를 사칭하며 유포된 바 있다.
특히 케이뱅크를 사칭한 지난 2월 시점부터는 공격자가 탐지회피 기법을 적용한 것으로 분석됐다. 이와 관련 모바일 보안 전문기업 시큐리온 측은 “2024년 2월 이후로 부고장 유형의 악성 앱이 탐지되지 않도록 지속적으로 고도화되고 있다”며 “현재 유포되고 있는 악성 앱은 ‘부고장 알림 서비스’라는 이름으로 유포되고 있었으며 지난 3월 27일에 발견됐다”고 밝혔다.
최근 유포된 ‘부고장 알림 서비스’는 기존에 분석된 악성 앱과 동일한 유형이지만 악성 행위 분석 방지 목적으로 별도의 파일을 동적 로딩한다는 점에서 차이가 있다. 악성 행위를 수행하는 DEX 파일은 o~bf 형태의 이름으로, 앱 실행 시 해당 파일들은 공격자가 지정한 패키지명 경로에 o~bf 형식의 파일 개수 만큼 복사되고 헤더와 파일명이 변경되어 pobfs 파일로 저장된다.
▲각종 부고 스미싱의 다양한 악성 기능 비교[자료=시큐리온]
뿐만 아니라 공격자는 이러한 악성 앱에 △분석 방해 기법 △아이콘 은닉 △좀비 프로세스 △SMS 발송△ 원격제어 △개인정보 유출 등 다양한 기능을 탑재해 정보탈취는 물론 다양한 악성 행위를 펼친다.
시큐리온 정민규 분석가는 “‘부고장 알림 서비스’ 앱은 기존에 분석된 악성 앱과 유사한 악성 행위를 하고 있지만, DEX 파일의 동적 로딩 구성과 유출지, MQTT Broker 주소가 변경된 것으로 확인된다”며 “악성 앱이 분석 방해 및 탐지 회피 목적을 위한 다양한 코드 보호 기법을 적용하고 있는데, 이러한 추세는 앞으로도 지속될 것으로 예상된다”고 밝혔다. 또한 “유출지 서버로 전송할 유출 대상의 데이터가 없을 경우 소스코드에 인코딩 처리되어 있는 문자열을 디코딩한 후 전송한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
분석 방해 기법, 아이콘 은닉, 좀비 프로세스, SMS 발송, 원격제어, 개인정보 유출 등
다양한 기법 적용해 정보탈취는 물론 악성 행위 펼쳐...이러한 추세 앞으로 지속될 것
[보안뉴스 김경애 기자] 최근 경조사를 사칭한 부고 스미싱이 갈수록 진화하며 고도화되고 있어 이용자들의 각별한 주의가 요구된다. 특히 ‘부고장 알림 서비스’를 사칭한 스미싱의 경우 공격자가 악성 앱이 탐지되지 않도록 고도화된 기법을 적용한 것으로 드러났다.
▲지속적으로 고도화되어 가는 부고장 유형 악성앱[자료=시큐리온]
그동안 부고장 스미싱은 2023년 12월 15일 부고장 사칭을 비롯해 2024년 1월 19일에는 카카오픽 사칭, 2024년 1월 31일 모바일 청첩장 사칭, 2024년 2월 8일 케이뱅크 사칭, 2024년 2월 13일 기프트허브 사칭, 2024년 3월 27일 부고장 알림 서비스를 사칭하며 유포된 바 있다.
특히 케이뱅크를 사칭한 지난 2월 시점부터는 공격자가 탐지회피 기법을 적용한 것으로 분석됐다. 이와 관련 모바일 보안 전문기업 시큐리온 측은 “2024년 2월 이후로 부고장 유형의 악성 앱이 탐지되지 않도록 지속적으로 고도화되고 있다”며 “현재 유포되고 있는 악성 앱은 ‘부고장 알림 서비스’라는 이름으로 유포되고 있었으며 지난 3월 27일에 발견됐다”고 밝혔다.
최근 유포된 ‘부고장 알림 서비스’는 기존에 분석된 악성 앱과 동일한 유형이지만 악성 행위 분석 방지 목적으로 별도의 파일을 동적 로딩한다는 점에서 차이가 있다. 악성 행위를 수행하는 DEX 파일은 o~bf 형태의 이름으로, 앱 실행 시 해당 파일들은 공격자가 지정한 패키지명 경로에 o~bf 형식의 파일 개수 만큼 복사되고 헤더와 파일명이 변경되어 pobfs 파일로 저장된다.
▲각종 부고 스미싱의 다양한 악성 기능 비교[자료=시큐리온]
뿐만 아니라 공격자는 이러한 악성 앱에 △분석 방해 기법 △아이콘 은닉 △좀비 프로세스 △SMS 발송△ 원격제어 △개인정보 유출 등 다양한 기능을 탑재해 정보탈취는 물론 다양한 악성 행위를 펼친다.
시큐리온 정민규 분석가는 “‘부고장 알림 서비스’ 앱은 기존에 분석된 악성 앱과 유사한 악성 행위를 하고 있지만, DEX 파일의 동적 로딩 구성과 유출지, MQTT Broker 주소가 변경된 것으로 확인된다”며 “악성 앱이 분석 방해 및 탐지 회피 목적을 위한 다양한 코드 보호 기법을 적용하고 있는데, 이러한 추세는 앞으로도 지속될 것으로 예상된다”고 밝혔다. 또한 “유출지 서버로 전송할 유출 대상의 데이터가 없을 경우 소스코드에 인코딩 처리되어 있는 문자열을 디코딩한 후 전송한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
