HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

다시 돌아온 Chrome 악성 앱
등록일 :
2018.06.26

□ 개요

 작년 8월경에 유포되었던 가짜 Chrome 악성 앱이 올해 3월경에는 다시 돌아왔다. 취약한 공유기를 해킹한 뒤, 악의적인 DNS로 변조하여 유포하였으며, 페이스 북이나 크롬 같은 유명한 앱 등으로 사칭하여 사용자를 속여 악성 앱을 설치하도록 유도한다. 아시아 지역을 겨냥하여 유포되었으며, 특히 국내의 금융 앱과 게임 앱 정보를 탈취하는 것으로 보아 국내를 중점적으로 타깃팅 하여 제작되었다고 볼 수 있다.

 

 

□ 내용

- 유포 경로 

 다음은 변조된 DNS를 통해 포털 사이트에 접속한 그림이다. “페이스북 보안확장 및 사용을 유창하기위해 설치하시길바랍니다.”라는 문구를 쓰인 팝업 창이 뜬다.

[그림 1] 변조된 DNS을 통한 악성 앱 유포1 (출처: 보안뉴스)

 


[그림 2] 변조된DNS을 통한 악성 앱 유포2 (출처: seculist) 

   

 

- 진짜 앱과 동일한 형태를 지닌 악성앱

 실제 Chrome 앱의 아이콘 형태와 아이콘 명이 완전히 일치한다. 둘 중 어느 것을 악성 앱이라고 판단하기가 쉽지 않기 때문에, 실행 시 몰래 악성 행위가 동작하더라도 사용자가 알아차리기 쉽지 않다. DNS 변조로 유포되었던 악성 앱은 가짜 Chrome 악성 앱 뿐만 아니라 가짜 Facebook 악성 앱으로도 배포되었다.

[그림 3] 진짜와 동일한 가짜 Chrome 악성 앱

 

 

 - 피싱 로컬 웹서버 구축

 감염된 단말기에서 사용자의 정보를 탈취할 수 있도록 자체 웹 서버를 만들어서 피싱 페이지를 표시한다. 피싱 페이지에서는 감염된 단말기에서 구글 계정을 가져와서 화면에 보여주고 사용자로부터 이름과 생년월일을 작성하도록 제작되어 있다. 한국어, 중국어, 영어, 일어를 지원하며, 기기 언어 설정에 따라 다르게 표시된다. 사용자에게 보이는 언어들이 아시아 지역이며, 악성 앱 유포자는 아시아를 타깃으로 제작했음을 추측할 수 있다.


[그림 4] 다중 언어 지원


[그림 5] 피싱 페이지

 

 

     ▷  상세 보고서 다운받기 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top