4월 23일 안드로이드 웹스토어인 구글 플레이(Google Play)에서 악성 어플리케이션이 업로드 된 내용이 확인되었다.


이는 안랩에서 최초 확인 한 것으로 보이며, 안랩에서 공개 한 내용은 아래와 같다.


안랩에서는 해당 악성 어플리케이션을 뉴밴(New Ban)으로 명명하였으며, 20개의 은행, 21개 증권사, 10개의 카드사 서비스
페이지를 통해 계좌정보 및 비밀번호, 카드번호, CVC 번호 등 금융정보를 입력하는 창으로 통해 개인정보를 수집하는 것으로
보인다. 
(뉴밴(New Ban) 이란 New Banker 의 줄임말이 아닐까 싶다 ㅎㅎ)

어플에서 가로채는 금융 회사 리스트는 이전에 소개한 All in One(mbn.apk)랑 거의 흡사하다.
해당 어플에 대한 자세한 분석은 하지 않으며, 간략 한 이미지만 공개한다.

해당 악성 어플리케이션은 "멜로디" 라는 이름으로 구글 플레이에 등록되었지만, 현재는 삭제 된 상태이다.
이름만 봐서는 전혀 금융 탈취 어플로 보이지도 않고, 등록 된 그림으로도 그냥 개인이 사용하는 어플로만 보여진다.
(등록 된 날짜는 2014년 4월 1일로 보인다)




아래의 화면은 악성 어플리케이션 초기 화면이다.
금융 어플 답게, 여러가지 금융에 대한 내용들을 보여준다. 
또한 해당 어플리케이션은 현재 구글 플레이에 등록 된 모든은행 모든카드 라는 어플리케이션을 모방한것으로 확인된다.



국내 인터넷 뱅킹에 대한 리스트가 되어 있으며, 클릭 시 이름, 주민등록번호, 계좌번호, 계좌비밀번호, 이체 비빌번호
입력 하는 창을 보여준다. 




국내 신용카드에 대한 리스트가 되어 있으며, 클릭 시 이름, 카드번호, 유효기간, 고유번호(CVC), 카드 비밀번호,
주민등록번호
를 입력 하는 창을 보여준다. 




국내 증권회사에 대한 리스트가 되어 있으며, 클릭 시 이름, ID, ID비밀번호, 주민등록번호, 증권계좌번호, 증권계좌비밀번호
입력 하는 창을 보여준다. 



사용자가 자신의 금융 개인정보를 입력하면, 악성 어플리케이션에서는 또 다른 악성어플을 다운로드 시킨다.

다운로드 된 어플에서는 공인인증서와 문자메시지를 가로채는 역활을 수행한다.

http://211.174.***.**:8080/new****/com.android.sms.apk

※ 현재 링크가 살아있어 모자이크 처리 



이 2개의 악성어플리케이션은 알약 안드로이드에서 각각 Trojan.Android.KRBanker , Trojan.Android.SMS.Stech 으로
탐지되고 있다.


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.