세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
북한의 기도 위장한 악성앱, 또 등장...카톡으로 유포
  |  입력 : 2017-12-29 10:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
탈북자 노린 ‘북한의 기도’ 위장한 악성앱...감시위해 정보탈취
북한의 기도 앱 실행, Overlay 이용해 특정 광고 띄운뒤 사용자 몰래 앱 설치


[보안뉴스 김경애 기자] 본지가 앞서 보도한 ‘북한의 기도’라는 악성앱이 최근 또 다시 발견되어 이용자들의 주의가 요구된다. 이 악성앱은 한국으로 귀순한 탈북자를 노리고 있으며, 카카오톡 메신저를 통해 전파되고 있다.

▲특정 광고 화면(좌측)과 북한기도 관련 문구 화면(우측) [이미지=하우리 제공]


보안업체 하우리에 따르면 “악성앱은 카카오톡 같은 메신저를 통해 전파돼며, 이용자가 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 누르면 설치된다”며, “‘북한의 기도’라는 앱으로 위장해 배포되고 있다”며 주의를 당부했다.

악성앱이 단말기에 설치되면, 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취해 악성코드와 통신하는 C&C로 전송한다.

북한의 기도 앱을 실행하면 Overlay를 이용해 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다. 특정 광고가 끝나면 북한의 기도에 관련된 문구 화면이 나타난다. 이 악성파일은 bbb.apk 파일이며, 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다. aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.

서버로부터 Command 번호와 cmd[번호].dex를 저장할 경로, yandex 토큰 정보를 받아오고, C&C로부터 받은 cmd12.dex파일을 DexLoader를 통해 메모리에 로딩한 뒤 실행한다. 그런다음 C&C로부터 custom.dex 파일을 다운 받은 뒤 실행한다. cmd12.dex 파일은 카카오톡 대화 내용을 탈취한다. custom.dex 파일에서 개인 정보를 감시하고 탈취한 뒤 서버로 전송한다.

다행히 현재 카카오톡 버전은 탈취가 불가능하기 때문에 이용자들은 카카오톡 버전을 최신버전으로 유지하고, URL클릭에 주의해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



   2018 평창 동계올림픽, 그 현장 속으로!

SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)