반응형
4월 23일 안드로이드 웹스토어인 구글 플레이(Google Play)에서 악성 어플리케이션이 업로드 된 내용이 확인되었다.
이는 안랩에서 최초 확인 한 것으로 보이며, 안랩에서 공개 한 내용은 아래와 같다.
안랩에서는 해당 악성 어플리케이션을 뉴밴(New Ban)으로 명명하였으며, 20개의 은행, 21개 증권사, 10개의 카드사 서비스
페이지를 통해 계좌정보 및 비밀번호, 카드번호, CVC 번호 등 금융정보를 입력하는 창으로 통해 개인정보를 수집하는 것으로
보인다.
(뉴밴(New Ban) 이란 New Banker 의 줄임말이 아닐까 싶다 ㅎㅎ)
어플에서 가로채는 금융 회사 리스트는 이전에 소개한 All in One(mbn.apk)랑 거의 흡사하다.
해당 어플에 대한 자세한 분석은 하지 않으며, 간략 한 이미지만 공개한다.
해당 악성 어플리케이션은 "멜로디" 라는 이름으로 구글 플레이에 등록되었지만, 현재는 삭제 된 상태이다.
이름만 봐서는 전혀 금융 탈취 어플로 보이지도 않고, 등록 된 그림으로도 그냥 개인이 사용하는 어플로만 보여진다.
(등록 된 날짜는 2014년 4월 1일로 보인다)
아래의 화면은 악성 어플리케이션 초기 화면이다.
금융 어플 답게, 여러가지 금융에 대한 내용들을 보여준다.
또한 해당 어플리케이션은 현재 구글 플레이에 등록 된 모든은행 모든카드 라는 어플리케이션을 모방한것으로 확인된다.
국내 인터넷 뱅킹에 대한 리스트가 되어 있으며, 클릭 시 이름, 주민등록번호, 계좌번호, 계좌비밀번호, 이체 비빌번호를
입력 하는 창을 보여준다.
국내 신용카드에 대한 리스트가 되어 있으며, 클릭 시 이름, 카드번호, 유효기간, 고유번호(CVC), 카드 비밀번호,
주민등록번호를 입력 하는 창을 보여준다.
국내 증권회사에 대한 리스트가 되어 있으며, 클릭 시 이름, ID, ID비밀번호, 주민등록번호, 증권계좌번호, 증권계좌비밀번호를
입력 하는 창을 보여준다.
사용자가 자신의 금융 개인정보를 입력하면, 악성 어플리케이션에서는 또 다른 악성어플을 다운로드 시킨다.
다운로드 된 어플에서는 공인인증서와 문자메시지를 가로채는 역활을 수행한다.
http://211.174.***.**:8080/new****/com.android.sms.apk
※ 현재 링크가 살아있어 모자이크 처리
이 2개의 악성어플리케이션은 알약 안드로이드에서 각각 Trojan.Android.KRBanker , Trojan.Android.SMS.Stech 으로
탐지되고 있다.
'IT 보안소식' 카테고리의 다른 글
공다팩(GongDa Exploit Kit), 단축URL(Short URL)을 이용한 안드로이드(APK) 다운로드 시도 (0) | 2014.04.25 |
---|---|
스윙 브라우저(Swing Browser), "안티피싱" 기능을 탑재 한 v1.1.0.5 업데이트 (2014-04-23) (0) | 2014.04.24 |
스미싱(Smishing), 공다팩(GongDa Exploit Kit)을 통해 "All in One(MBN.apk)" 금융 악성 어플리케이션 다운로드 주의 (0) | 2014.04.23 |
스미싱(Smishing), "블로거(Blogger)"를 통한 악성 어플리케이션 다운로드 주의 (8) | 2014.04.23 |
올블릿(Allblet), 티스토리 올블릿 플러그인 종료(2014-04-23) 안내 (0) | 2014.04.23 |
댓글