세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
북한의 기도 위장한 악성앱, 또 등장...카톡으로 유포
  |  입력 : 2017-12-29 10:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
탈북자 노린 ‘북한의 기도’ 위장한 악성앱...감시위해 정보탈취
북한의 기도 앱 실행, Overlay 이용해 특정 광고 띄운뒤 사용자 몰래 앱 설치


[보안뉴스 김경애 기자] 본지가 앞서 보도한 ‘북한의 기도’라는 악성앱이 최근 또 다시 발견되어 이용자들의 주의가 요구된다. 이 악성앱은 한국으로 귀순한 탈북자를 노리고 있으며, 카카오톡 메신저를 통해 전파되고 있다.

▲특정 광고 화면(좌측)과 북한기도 관련 문구 화면(우측) [이미지=하우리 제공]


보안업체 하우리에 따르면 “악성앱은 카카오톡 같은 메신저를 통해 전파돼며, 이용자가 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 누르면 설치된다”며, “‘북한의 기도’라는 앱으로 위장해 배포되고 있다”며 주의를 당부했다.

악성앱이 단말기에 설치되면, 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취해 악성코드와 통신하는 C&C로 전송한다.

북한의 기도 앱을 실행하면 Overlay를 이용해 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다. 특정 광고가 끝나면 북한의 기도에 관련된 문구 화면이 나타난다. 이 악성파일은 bbb.apk 파일이며, 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다. aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.

서버로부터 Command 번호와 cmd[번호].dex를 저장할 경로, yandex 토큰 정보를 받아오고, C&C로부터 받은 cmd12.dex파일을 DexLoader를 통해 메모리에 로딩한 뒤 실행한다. 그런다음 C&C로부터 custom.dex 파일을 다운 받은 뒤 실행한다. cmd12.dex 파일은 카카오톡 대화 내용을 탈취한다. custom.dex 파일에서 개인 정보를 감시하고 탈취한 뒤 서버로 전송한다.

다행히 현재 카카오톡 버전은 탈취가 불가능하기 때문에 이용자들은 카카오톡 버전을 최신버전으로 유지하고, URL클릭에 주의해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)