본문 바로가기
스미싱(Smishing), "Amazon Web Services(aws.amazon.com)" 서버를 이용한 스미싱 메시지 주의 세계 최대 쇼핑몰인 [아마존]에서 서비스하는 Amazon Web Services(AWS)서버를 이용한 스미싱이 유포되고 있는 것이 확인되었다. Amazon Web Services(AWS)는 여러 웹서비스들을 제공하지만 이번 스미싱은 Amazon S3(Simple Storage Service) 서비스를 통해 악성 어플리케이션을 업로드 후 스미싱 문구에 해당 URL 이 이용되고 있다. 티 클라우드(SK T Cloud), 나무 클라우드(NamuCloud), 드롭박스(DropBox), 앱박스(app.box.com), 클립투넷(clip2net.com),미디어파이(mediafire), 카피(copy.com) 서버에 이어 8번째 클라우드 서버이다. 이번 클라우드 서버는 특히 유명한 쇼핑몰인 아마존에서 서비스하는 클라.. 2014. 8. 7.
스미싱(Smishing), "미디어파이(mediafire)" 서버를 이용한 스미싱 메시지 주의 6월 17일 탐지 된 스미싱 문자 중에서 "미디어파이(mediafire)" 서버를 이용한 악성 어플리케이션 다운로드를 확인하였다. 티 클라우드(SK T Cloud), 나무 클라우드(NamuCloud), 드롭박스(DropBox), 앱박스(app.box.com), 클립투넷(clip2net.com) 에 이어 6번째 클라우드 서버를 사용했다. 이번 클라우드 서버도 외국 서비스라 국내 서비스보다는 처리 대응이 매우 느리다.그나마 드롭박스는 착실하게 차단을 잘 해주든데 ㅠㅠ 이전 클라우드 서버를 이용한 스미싱 포스팅은 아래의 링크에서 확인하면 된다. 스미싱(Smishing), "나무 클라우드(NamuCloud)" 서버를 이용한 스미싱 메시지 주의스미싱(Smishing), SK "T Cloud(T클라우드)" 서버를 .. 2014. 6. 19.
안드로이드(Android), SDCard 특정파일을 암호화 시키는 랜섬웨어(Trojan.Android.Simplocker.A) 어플리케이션 주의 파일 암호화, Tor 사용, 돈을 요구하는 랜섬웨어(Simplocker) 어플리케이션이 ESET에 의해 발견되었다.자세한 분석 내용은 아래 관련내용 링크에서 확인하면 된다. ■ 관련 내용[ESET] ESET Analyzes First Android File-Encrypting, TOR-enabled Ransomware[Kaspersky Securitylist] The first mobile encryptor Trojan 간단하게 해당 어플리케이션을 살펴보자면,어플리케이션 실행 시 바탕화면 레이어를 아래와 같은 화면으로 고정시킨다.(러시아어로 되어있는데, 그냥 260 UAH(우크라이나 화폐)를 보내면 24시간안에 풀어주겠다 정도 되는듯 ;;) SD Scard를 스캔하여 아래와 같은 파일이 존재하면 "AES.. 2014. 6. 5.
공다팩(GongDa Exploit Kit), 단축URL(Short URL)을 이용한 안드로이드(APK) 다운로드 시도 주말에 자주 보이는 공다팩(GongDa Exploit Kit)으로 인하여 DBD(Drive-By-Download) 되는 APK가 이제는 단축URL(Short URL)을 사용하기 시작했다. 단축 URL을 쓰는 이유는 디텍션 시스템들에서 자신들의 APK URL이 쉽게 노출 되어서 그런 듯 싶다. □ 관련 내용 공다팩(GongDa Exploit Kit), PC(EXE) 악성코드도 모자라 안드로이드(APK)까지 다운로드 시도 [VirusLab] DBD APK 유포방식에서 구글 단축 URL 도입 이번에 확인 된 URL은 아래와 같다. http://www.websmedia.co.kr/biz/v/index.html -> GongDa Exploit Kit ㄴ http://goo.gl/UsibrF -> Short URL.. 2014. 4. 25.
스미싱(Smishing), 구글 플레이(Google Play)에 등록 된 뉴밴(New ban) 악성 어플리케이션 주의 4월 23일 안드로이드 웹스토어인 구글 플레이(Google Play)에서 악성 어플리케이션이 업로드 된 내용이 확인되었다. 이는 안랩에서 최초 확인 한 것으로 보이며, 안랩에서 공개 한 내용은 아래와 같다. [케이벤치] 안랩, 하나의 앱으로 금융 정보 탈취하는 ‘뉴밴(New ban)’ 발견 주의 당부 안랩에서는 해당 악성 어플리케이션을 뉴밴(New Ban)으로 명명하였으며, 20개의 은행, 21개 증권사, 10개의 카드사 서비스 페이지를 통해 계좌정보 및 비밀번호, 카드번호, CVC 번호 등 금융정보를 입력하는 창으로 통해 개인정보를 수집하는 것으로 보인다. (뉴밴(New Ban) 이란 New Banker 의 줄임말이 아닐까 싶다 ㅎㅎ) 어플에서 가로채는 금융 회사 리스트는 이전에 소개한 All in O.. 2014. 4. 23.
안드로이드(Android), 조크성(Misc.Android.Joke) 어플리케이션 "롤 관전 어플" 주의 지난 24일 "멜론 크랙 어플"에 이어 "롤 관전 어플" 이라는 조크 변종 어플리케이션이 발견되었다. 관련 된 내용은 아래와 같다. 안드로이드(Android), 조크성(Misc.Android.Joke) 어플리케이션 "멜론 크랙 어플" 주의 이번에 발견 된 "롤 관전 어플" 은 네이버 블로그에서 첨부파일 형태가 아닌, 포스팅 형태로 발견되었다. 동작내용은 이전 "멜론 크랙 어플"과 동일하다. 현재 알약에서는 해당 어플을 "Misc.Android.Joke" 으로 명명하여 탐지 되고 있다. ※ 조크(Joke)는 시스템에 악의적인 영향을 주진 않지만, 사용자에게 불편함을 주는 프로그램이다. 2014. 3. 26.
안드로이드(Android), 조크성(Misc.Android.Joke) 어플리케이션 "멜론 크랙 어플" 주의 저번주 주말에 "멜론 크랙 어플 주의" 라는 말이 떠돌았다. 운 좋게 지인분이 샘플을 보내주어서 확인을 해보았더니, 악성 어플리케이션으로 진단하기에는 조금 난감한 부분이 있었다. 하지만 분명 사용자에게 설치 된다면 불편을 초래 할 내용은 분명했다. - 관련 링크 [알약 블로그]멜론 크랙버전(Melon Crack)을 사칭한 악성코드 유포중! 그래서 파일을 간략하게 분석해보았다. 우선 파일 실행 시 이상한 반복적인 문자열을 메인창으로 띄우게 되어 있으며, 사용자는 강제로 창을 내리지 못하도록 되어있다. 아래는 실제 어플리케이션 실행 시 보여지는 창화면이다. 동시에 리소스로 가지고 있던 음악파일을 실행시킨다. 음악파일은 "ang.mp3" 로 어떤 남자가 "앙앙" 신음소리 같은 소리를 낸다. 더 재수없는건 오디.. 2014. 3. 24.
스미싱(Smishing), "피싱(Phishing) 사이트"를 통한 악성 어플리케이션 다운로드 주의 금일 탐지 된 스미싱 문자를 확인하던 중 피싱(Phishing) 사이트를 통해 악성 어플리케이션이 다운로드 되는것이 확인되었다. 큰 이슈는 아니지만 차후 기록용으로 간단하게 포스팅 한다. 이번 피싱 사이트의 내용은 아래에서 간략하게 설명한다. 아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다. - 3D가상성형어플 출시 이벤트 가상성형사진 올리고 공짜수술받자 3d****.com ※ 현재 유포서버가 동작 중이라 일부 사이트 주소를 모자이크 처리 ※ 알약 안드로이드에서는 해당 파일을 Trojan.Android.KRBanker 로 탐지 중이다. ※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람!! 사용자가 받은 스미싱 문자.. 2014. 2. 8.