SomeNotes247

원격 데스크톱 이용한 해킹 증가 추세 IC3(Internet Crime Complaint Center)가 RDP(Remote Desktop Protocol, 원격 데스크톱)를 이용한 해킹에 대해 주의보를 내렸다. 최근 이를 이용한 해킹과 악성코드가 급증하는 추세이기 때문이다(관련 자료 2~4). 원격제어는 회사 PC에서 하던 업무를 집에서 처리하는 등 유용하게 사용할 수 있다. 반면 해커가 접속하게 되면 PC를 완전히 제어할 수 있게 되는 위험성도 있다. 원격 데스크톱을 안전하게 이용하는 방법은 다음과 같다. RDP 서버를 인터넷에 직접 노출시키지 않는다 서버라고 해서 거창하게 생각할 필요는 없다. 개인이 2대의 PC를 가지고 PC A에 있는 자료를 PC B에서 처리하면, A는 서버(server)이고 B는 클라이언트(client)이다. Windows 10 Home edition은 서버 기능을 지원하지 않는다. 해커는 쇼단 같은 검색 툴을 이용해 RDP 포트가 열린 기기를 탐색하여 공격 대상으로 삼는다. 따라서 인터넷에 직접 노출되지 않도록 VPN이나 방화벽을 통해 연결한다. 여기서 말하는 방화벽은 PC에 설치된 소프트웨어 방화벽이 아니라, PC 앞에 있는 라우터(공유기)나 하드웨어 방화벽을 말한다. 이렇게 VPN이나 방화벽 뒤에 숨기면, 쉽게 탐색되지 않을 뿐더러 VPN이나 내부 네트워크에 접속할 수 있는 사람만이 RDP에 접근할 수 있다. 따라서 브루트 포스 공격을 할 수도 없다. RDP는 보통 3389 포트를 사용하는데, 다른 포트를 사용하도록 설정하면 해커를 살짝 귀찮게 할 수 있다, 그러나 해커 역시 다른 포트들도 탐색을 하므로 큰 효과를 기대할 수는 없다. 강력한 암호와 2단계 인증을 설정한다 해커는 보통 원격 접속을 위해 Brute force 공격을 한다 따라서 원격 데스크톱 접속에 필요한 로그인 암호를 강력하게 설정한다. 조직이라면 2단계 인증을 도입하면 더 좋다. 잘 알려진 조직의 로그인 정보는 암시장에서 거래

Google Play store에서 사용자 몰래 가상화폐를 채굴하는 cryptojacking 악성 앱이 발견됐다. 총 25개로 게임, 유틸리티, 교육용(SAT 준비 등) 앱 등 다양한 앱으로 위장하고 있었다. Coinhive라는 채굴 스크립트를 포함한 HTML 페이지를 포함한 것들이 많았고, 오픈소스 채굴 툴인 XMRig를 포함한 것들도 있었다. 일반적으로 크립토재킹 악성코드에 감염되면 기기 속도 저하, 심한 발열, 빠른 배터리 소모 등의 증상을 보인다. 그러나 이번에 발견된 것을 포함해 최근의 cryptojacking malware들은 CPU 사용량을 적당히 제한해서 이런 증상들을 보이지 않는다. 들키지 않고 오래 살아남기 위해서다. 구글 플레이는 악성 앱을 상당히 빨리 솎아내고 있으며, 많은 경우 해를 끼치기 전에 제거된다. 그럼에도 불구하고 악성 앱은 꾸준히 발견되고 있다. 물론 플레이에서 발견되는 악성 앱은 위험도 면에서 비교적 경미한 경우가 많다. 채굴 앱의 경우에도 가장 악랄한 히든마이너는 비공식적인 경로를 통해 유포됐다. 관련 자료 HiddenMiner(히든마이너) 악성코드, 악랄한 가상화폐 채굴 앱 참고 자료 Cryptojacking Android Apps Continue To Plague Google Play Store  

토큰(세션 쿠키) 탈취 28일 Facebook이 해킹 당해 5천만 명의 access token(로그인 자격증명 정보를 담은 작은 파일)이 탈취됐다. 페이스북은 이 사실을 25일 발견하여 시스템을 패치하고 탈취된 토큰을 무효화했다. 또한 예방 조치로 지난 1년간 위험에 노출됐을 가능성이 있는 4천만 명의 토큰도 무효화했다. 페이스북의 token은 자격증명을 사용자의 기기에 저장하여 매번 로그인하지 않아도 로그인 상태가 유지되는 편리함을 제공한다. 물론 다른 사이트들도 대부분 로그인 유지 기능을 제공한다. 그리고 이런 토큰은 Session Cookie(세션 쿠키)라고도 한다. 토큰은 편리함도 있지만 해커에게 탈취당하면 계정에 완전한 접근 권한을 주게 되는 위험도 따른다. 토큰을 노리는 악성코드도 많다. 만약 토큰을 탈취당했다고 생각되면 암호를 변경하여 기존 토큰을 무효화하면 된다. 연결된 계정도 위험 Access Token을 가진 사람은 계정에 대한 완전한 통제권을 갖는다. 따라서 '페이스북 계정으로 로그인' 기능으로 연동된 앱이나 사이트에도 로그인할 수 있다. 연동된 계정도 위험에 고스란히 노출돼 있는 것이다. 페이스북은 현재 위험에 노출된 사람들의 토큰을 무효화하고 개별 통보하고 있지만, 사용자가 직접 해킹 여부를 알아볼 수도 있다. <계정 설정/보안 및 로그인/로그인한 기기 및 장소>를 확인하여 내가 하지 않은 로그인이 있었는지 살펴보면 된다. 계정이 침해당한 것으로 의심되는 경우, 암호를 변경하여 토큰을 초기화한 후에, 연결된 계정의 연결을 끊었다가 다시 연결하여 연결 상태를 초기화한다. <설정/앱/페이스북 계정으로 로그인>에서 연동된 계정을 관리할 수 있다. 주의할 점은, 일단 계정의 연결을 끊으면 이용하던 앱이나 사이트의 정보가 삭제된다는 것이다. 마일리지나 게임의 업적, 아이템 등이 사라지는 것이다. 계정 연동은 대형 포털, SNS에서 대부분 제공하고 있다. 계정을 새로 만들 필요가

탐지 및 제거가 어려운 루트킷 예전에 쓰이던 구형 바이오스를 Legacy BIOS라고 하고, 확장성과 보안성을 개선한 새로운 바이오스를 UEFI(Unified Extensible Firmware Interface)라고 한다. 메인보드의 플래시 메모리에 존재하는 펌웨어이다. 그런데 UEFI를 감염시켜 탐지와 삭제를 어렵게 하는 악성코드가 발견됐다. 바이오스 혹은 펌웨어는 하드웨어와 운영체제의 중간에 위치하여 이를 연결시켜 주는 역할을 하므로, 운영체제보다 한 단계 더 시스템의 심층부에 해당한다. 따라서 UEFI에 있는 악성코드는 운영체제 위에서 구동되는 일반적인 보안 소프트웨어에서 탐지와 제거가 어렵다. 또한 부팅 시 운영체제보다 먼저 실행되기 때문에, 하드디스크를 포맷하거나 운영체제를 재설치해도 심지어 아예 새 디스크로 교체를 해도 다시 감염되게 된다. 고도의 루트킷 ESET에서 발견하여 로잭스(LoJax)라고 이름 붙였는데, 실전에서 활용된 최초의 UEFI 루트킷이다. 물론 이전에도 유사한 기술을 CIA나 Hacking Team(정부 기관을 상대로 고도의 스파이웨어를 판매하는 회사)에서 일부 기능에 활용한 적은 있다. 루트킷은 시스템의 깊은 곳에 숨어 탐지와 제거가 어려운 악성코드를 통칭하여 부르는 말이다. 이에 대응하여 보안회사들은 특수한 툴을 사용한다. 예를 들어 Symantec은 Norton Power Eraser라는 별도의 툴을 제공하고, Windows Defender는 Windows Defender Offline이라는 모듈을 통합하여 제공한다. 매달 정기 업데이트 때 실행되는 악성 소프트웨어 제거도구도 이런 역할을 한다. 로잭스는 일반적인 루트킷보다 한 수 위의 것이라고 보면 되겠다. 로잭스 공격은 고도의 공격 기법이고 흔히 접할 수 있는 것이 아니다. ESET 연구팀은 러시아의 국가 차원 지원을 받는 해커단 Sednit의 소행으로 봤다. 이들은 APT28, Fancy Bear, Strontium, Sofacy 등 무수한 이름으

CVE-2018-8440 악용 올해 지속적인 변종 출현과 다양한 유포 경로로 많은 피해를 입힌 갠드크랩 랜섬웨어의 최신 버전 v5가 Windows의 작업 스케쥴러에 있는 권한 상승 취약점을 이용하기 시작했다. 이 취약점은 CVE-2018-8440으로, 제로데이 취약점으로 악용됐으며 9.11일 패치됐다. 일반적인 보안 수칙에 따르면, 평상시에는 관리자 권한이 아닌 제한된 계정으로 로그인해 사용하는 것이 보다 안전하다. 시스템에 중요한 변경을 가할 수 없기 때문이다.악성코드의 활동에도 제약이 있음은 물론이다. 그러나 권한 상승 취약점을 이용하면 이 수칙은 의미가 없어진다. 제한된 계정에서도 취약점을 악용하면 관리자 권한으로 모든 일을 할 수 있기 때문이다. 랜섬웨어는 복구를 어렵게 하기 위해 Shadow volume copies 같은 백업 파일까지 삭제하는데, 제한된 계정에서는 이런 시스템 수준의 명령은 실행되지 않는다. 그러나 권한 상승 취약점을 이용하면 가능해 진다. 패치를 통해 시스템을 최신 상태로 유지함으로써 이런 위험을 방지할 수 있다. 그런데 항상 지적돼 듯이 패치를 제때 적용하지 않는 경우가 제법 있다는 것이 문제다. 대표적으로 2017년의 WannaCry 랜섬웨어 대란을 예로 들 수 있다. 특히나 기업체의 경우 업무용 프로그램의 호환성 때문에 업데이트에 소극적인 경우가 많다. 관련 자료 해커가 윈도우의 제로데이 취약점을 공개했다 참고 자료 GandCrab v5 Ransomware Utilizing the ALPC Task Scheduler Exploit  

ADB로 감염 올해 초에 발견되어 빠른 성장 속도로 주목받은 Hide and Seek(숨바꼭질) 봇넷이 infection vector(감염 매개체)를 추가했다. ADB(Android Debug Bridge) over network를 이용하기 시작한 것이다. ADB는 제조사나 개발자가 커스터마이징이나 디버깅을 위해 사용하는 기능으로, 이것이 활성화되면 해킹에 취약한 상태가 된다. 따라서 기본적으로 비활성화되어 있다. 그러나 제조사나 사용자의 부주의로 이것이 활성화되는 경우가 있는데, 이렇게 잘못 설정된 기기를 탐색하여 감염시키는 것이다. 비트디펜더에서 쇼단을 통해 탐색해 본 결과, 4만 대 가량의 기기에서 ADB 포트가 열려 있었으며 대부분 한국, 중국, 대만에서 탐지됐다. ADB를 통해 감염되는 악성코드로는 가상화폐를 채굴하는 ADB.miner가 유명하다. 다양한 표적과 감염 경로 숨바꼭질 봇넷은 정보 유출이나 코드 실행 같은 기능을 갖고 있지만, 이렇게 활용된 사례는 발견되지 않았다. 아직은 덩치를 키우는 단계라고 할 수 있다. 이를 위해 대상을 가리지 않고 공격하고 있다. IP 카메라, DVR(Digital Video Recorder), NVR(Network Video Recorder), IPTV 셋톱박스, 안드로이드 스마트폰 등 닥치는 대로 감염시킨다. 감염된 기기를 재부팅해도 살아남는다. 대상 플랫폼도 일반적인 PC나 스마트폰(x86, x64, ARM) 뿐만 아니라 MIPS, PowerPC 등 특수한 용도로 사용되는 기기까지 다양하다. 감염 벡터로는 텔넷 스캐닝과 브루트 포스 공격, 특정 기기의 취약점, 열린 ADB 포트 등을 폭넓게 활용하고 있다. 참고 자료 Hide and Seek Botnet Adds Infection Vector for Android Devices  

Play에서 발견 구글의 공식 스토어인 플레이에서 뱅킹 트로이목마가 발견됐다. QRecorder라는 통화 및 음성 녹음 앱에 숨어 있었다. 이 앱은 원래 합법적인 것인데, 마지막 업데이트 시 악성코드가 삽입됐다. 녹음 기능은 제대로 작동하여 사용자의 의심을 피한다. 그러나 실상은 금융 정보를 탈취하는 트로이 목마이다. 현재는 독일, 폴란드, 체코의 은행을 표적으로 하고 있지만, 해커의 의도에 따라 쉽게 바뀔 수 있다. BankBot의 변종 이 악성코드는 라즈델로 판명됐는데, 뱅크봇의 변종이다. 아직 많이 퍼진 family는 아니다. 라즈델은 SMS에 대한 접근 권한과 다른 앱 위에 그리기(drawing over other apps) 권한을 요구한다. SMS 접근 권한은 SMS를 통한 2단계 인증 코드를 가로채기 위한 것이며, 다른 앱 위에 그리기 권한은 표적이 된 정상 뱅킹 앱 위에 가짜 화면을 띄워 암호 등의 정보를 탈취하기 위한 것이다. 다른 앱 위에 그리기 권한 주의 악성 앱은 설치 시에, 통화 녹음 위젯이 전화 앱 위에 표시돼야 정상적으로 작동한다는 그럴 듯한 이유를 들어 다른 앱 위에 그리기 권한을 허락하도록 유도한다. 이 권한은 정보 탈취형 악성코드에서 많이 활용하므로 주의해야 한다. 참고 자료 Trojanized App In Google Play Steals Bank Customers' Euros  

CVE-2018-17144: DDoS 취약점 블록체인(blockchain) 중에서도 가장 보안성이 뛰어나고 해킹에 강한 비트코인(Bitcoin)에서 디도스(DDoS, Distributed Denial of Service, 분산 서비스 거부) 공격에 취약한 곳이 발견됐다. 비트코인 네트워크의 표준 클라이언트인 비트코인 코어(Bitcoin Core)의 지갑(wallet)에서다. 이는 CVE-2018-17144로 등록됐으며, 취약한 버전은 0.14.0~0.16.2이다. 비트코인 코어 개발팀은 즉시 0.16.3 버전으로 업데이트하라고 권고했다. 업데이트 작업은 시스템 성능에 따라 5~30분 정도 걸리며, 업데이트 후에는 전체 블록체인을 다시 다운로드해야 한다. 이 취약점은 비트코인 채굴자(miner) 누구라도 악용할 수 있으며, 취약한 버전을 구동하는 노드(node)에 충돌(crash)을 일으킬 수 있다. 즉 어떠한 채굴자라도 전체 블록체인을 다운시킬 수 있는 것이다. 방법은 두 가지인데, 하나는 블록에 중복된 거래를 다량으로 발생시켜 다른 사람들의 컨펌(transaction confirmation)을 방해하는 것이다. 두나는 노드에 과도한 트래픽을 유발하여 대역폭을 초과이용시키는 것이다. 비트코인 코어 개발팀에 따르면, 취약점은 2017년 3월부터 존재해 왔으나 아직까지 아무도 이를 알려온 사람은 없었다. 그리고 이 공격을 성공적으로 수행하려면 12.5 비트코인(현 시가로 8만 달러 정도)이 필요해, 이 비용을 감수하고서 공격하려는 사람이 없었다. 비트코인 코어를 가끔씩만 구동하는 채굴자는 별로 위험하진 않지만, 잠재적인 위험성을 차단하기 위해 업데이트하라고 권고했다. 또 0.16.3 버전은 취약점 패치와 더불어 소소한 버그들도 해결했다. 참고 자료 Bitcoin Core Software Patches a Critical DDoS Attack Vulnerability  

MS Access 사용자 주의 필요 마이크로소프트의 JET(Joint Engine Technology) Database Engine에서 원격으로 임의의 코드를 실행할 수 있는 취약점이 발견됐다. JET는 Access, Visual BASIC 등의 마이크로소프트 제품에 포함된 데이터베이스 엔진으로, 여러 응용 프로그램에서 이 데이터베이스 형식을 사용한다. 모든 버전의 Windows가 영향을 받는 것으로 알려졌다. 취약점은 JET가 색인을 관리하는 데 버그가 있기 때문이며, 데이터베이스 파일에 특별하게 조작된 데이터가 있으면 메모리 오류가 발생한다. 이때 해커는 원격에서 임의의 코드를 실행할 수 있다. 이는 트렌드 마이크로에서 발견했는데, 120일의 유예기간 동안 패치가 나오지 않자 대중에 공개해 버렸다. 익스플로잇 코드도 공개했으므로 실제 악용으로 이어지기 쉽다. 해커는 악의적인 JET 데이터베이스 파일을 웹 페이지에 게시하거나 메일의 첨부파일로 보내 사람들이 열어보도록 유도할 수 있다. 패치가 나올 때까지는 해당 형식의 파일에 주의하여, 신뢰할 수 있는 파일만 열어야 한다. 주로 Access 사용자가 조심해야 할 것 같다. CVE-2018-8423 10.9일 패치됐으며, CVE-2018-8423로 등록됐다. 참고 자료 Researcher Discloses New Zero-Day Affecting All Versions of Windows  

NUUO의 NVR 제품에서 발견 NUUO의 NAS(Network Attached Storgae, 네트워크 저장장치) 겸 NVR(Network Video Recorder) 장비인 NVRMini2에서 치명적인 보안 취약점이 발견됐다. CCTV를 이용한 보안 체계를 교란하거나 중지시킬 수 있는 것이다. 이 장비는 최대 16대까지 CCTV 카메라를 연결하여 녹화하고 제어할 수 있다. CCTV 생태계에 광범위한 영향 취약점은 NVRMini2 모델에서 확인됐지만, 영향권은 훨씬 광범위하다. NUUO는 비디오 감시장비 분야의 선두권 업체로, 다른 유명 브랜드에 OEM 공급이 활발하다. 또한 파트너사에 기술 라이선스를 제공하기도 한다. 따라서 같은 기술이 무수한 회사와 브랜드의 제품에 사용된다. 대략 100여 개 브랜드와 2,500여 모델의 IP 카메라가 취약할 것으로 추정됐다. NUUO는 9.19일 취약점을 해결한 패치(3.9.1 버전)를 내놨지만, OEM으로 공급됐거나 모듈로 공급된 타 브랜드 제품의 패치 과정은 순탄치 않을 것이다. CVE-2018-1149: 원격코드 실행 취약점 피카부라고 불린다. 비디오 관리 소프트웨어에 있는 취약점으로, 원격의 해커가 스택 버퍼 오버플로우 오류를 일으켜, 관리자 권한으로 임의의 코드를 실행할 수 있다. 무단으로 영상을 보고 녹화하고 유출하는 것은 물론, CCTV 시스템을 중단시켜 보안을 해제하거나 CCTV 영상을 조작할 수도 있다. 영화의 한 장면처럼, 범죄자가 침입하고 있음에도 CCTV에는 평상시의 모습이 나타나게 할 수 있다. CVE-2018-1150: 백도어 CCTV 시스템의 모든 사용자 계정의 목록을 보고, 그들의 암호를 임의로 변경할 수 있는 백도어가 발견됐다. 기기를 완전히 제어할 수도 있다. 백도어는 해당 기기에 특수한 파일이 존재할 경우에 활성화된다. 따라서 공격자가 이 백도어를 이용하려면 특수한 파일을 생성해야 하므로, 기기에 물리적으로 접근하거나 다른 취약점을 이용해야 한다. 인터

SuperAntiSpyware로 위장 Kraken Cryptor 랜섬웨어는 8월에 처음 발견된 신종 악성코드인데, 9.14일 변종인 Kraken Cryptor 1.5가 발견됐다. 이것은 보안 소프트웨어인 슈퍼안티스파이웨어로 위장하고 있었다. 슈퍼안티스파이웨어는 바이러스토탈에서 봤을 뿐 나한테도 생소한 것인데, 나름대로 어느 정도 사용자 층은 갖고 있는 것으로 보인다. 파일 복구는 불가능 크라켄 크립토 1.5 랜섬웨어는 세밀하게 작성된 구성 파일에 따라 감염 PC의 파일을 암호화한다. 암호화된 파일은 일련번호-lock.onion이라는 이름을 갖게 된다. 복구를 시도할 때 원래 무슨 파일이었는지 알 수가 없다. 많은 랜섬웨어들이 단지 확장명만을 바꾸는 것과 대비된다. 현재로선 암호화된 파일을 해독할 방법이 없다. 그리고 이 악성코드는 복구가 어렵도록 파괴적인 활동을 한다. 부팅 시 복구 모드에 들어갈 수 없게 만들고, 윈도우의 백업 파일과 shadow volume 복사본까지 삭제한다. 결국 평소의 백업만이 유일한 대비책이다. Shadow volume copies로 복구 시도 크라켄 크립토 1.5는 섀도우 볼륨 복사본을 삭제하지만 드물게 실패하는 경우가 있다. 이때는 복구 가능성이 열려 있다. 자세한 방법은 <참고 자료 2>에 있다. 한 마디로 말하면, 파일이나 폴더를 오른쪽 버튼으로 클릭했을 때 나타나는 '속성/이전 버전' 기능을 이용하는 것이다. 내 생각에는 미리 백업(파일 히스토리)을 해놓지 않는 한, 시스템 파일이 아닌 개인 파일을 이 방법으로 복구하기는 어려울 것 같다. SuperAntiSpyware 사이트 해킹, 공급망 공격 이 악성코드는 슈퍼안티스파이웨어의 공식 사이트를 통해 유포됐다. 해커는 이 사이트를 해킹해 가짜 보안앱을 업로드했다. 정상 보안 앱은 SuperAntiSpyware.exe인데, 랜섬웨어는 끝에 s자를 하나 붙인 SuperAntiSpywares.exe였다. 정상 앱을 바꿔

암호 없이 관리자 권한 획득(CVE-2018-17153) WD(Western Digital)의 NAS(Network Attached Storage, 네트워크 저장장치) 제품인 My Cloud 시리즈에서, 인증 없이 관리자 권한을 얻을 수 있는 취약점이 발견됐다. 이를 이용한 공격자는 모든 파일을 보고, 편집하고, 삭제하는 등 모든 명령어를 실행할 수 있다. 해커는 특수하게 조작된 http cgi 요청을 보내, 자신이 쿠키 상의 관리자라고 하기만 하면 암호 없이 관리자 권한을 획득하게 된다. 취약점은 WDBCTL0020HWT 모델(펌웨어는 2.30.172)에서 확인됐지만, My Cloud 시리즈는 대부분 같은 소프트웨어로 구동되기 때문에 거의 다 취약하다고 할 수 있다. 네트워크 차원에서 대응해야 취약점 악용 방법(exploit code)이 워낙 간단하고, 현재 패치가 없는 제로데이 취약점이기 때문에 접속을 제한해야 한다. 인터넷에 직접 연결된 경우에는 패치가 나올 때까지 연결을 차단하는 수 밖에 없다. 라우터(공유기)를 통해 연결한 로컬 네트워크라면 신뢰할 수 있는 사람만이 네트워크에 접속할 수 있도록 보안을 강화해야 한다. WD의 무책임한 태도도 문제 이 취약점은 2017년 4월에 몇몇 연구자들에 의해 발견되어 WD에 통보됐다. 그러나 1년반이 넘도록 대응이 없자 대중에 공개한 것이다. WD는 이제서야 수 주 내에 패치를 제공하겠다고 밝혔다. 올해 1월에도 비슷한 일이 있었다. 백도어를 포함해 몇 개의 취약점이 대중에 공개됐는데, 이 역시 180일 전에 WD에 통보됐지만 대응이 없었다. 추가 사항 9.21일 패치 발표됨. 참고 자료 Western Digital's My Cloud NAS Devices Turn Out to Be Easily Hacked  

Windows 10에서 동영상 플레이어 코디를 한글 메뉴로 사용할 수 있다. 다만 버그가 있어서, 바로 한글로 언어 설정하면 글자가 다 깨져 보인다. 따라서 아래 순서대로 설정해야 한다. 혹시 잘못한 경우에는 앱을 지웠다가 다시 설치하면 된다. 먼저 settings/interface/skin에서 fonts를 default에서 Arial based로 바꾼다. 이렇게 하면 파일명에서 한글이 정상적으로 보인다. 메뉴는 그냥 영문으로 사용하려면 이것만 하면 된다. 설정 수준이 basic이면 이런 메뉴가 다 나오지 않는다. Standard 이상으로 한다. 메뉴를 한글로 사용하려면 settings/interface/regional에서 language를 Korean으로 하면 된다. 간혹 특정 한글 자막이 깨져서 보이는 경우가 있다. 이 때는 설정/플레이어/언어에서 character set를 한국어로 설정하면 된다. 관련 자료 Windows 10용 동영상 플레이어 앱 추천  

다르마 랜섬웨어의 새로운 변종이 발견됐다. 암호화된 파일에 brrr이라는 확장명을 덧붙이는 게 특징이다. 다른 Dharma ransomware family의 악성코드와 마찬가지로, 원격 데스크톱(RDP)을 이용해 수동으로 감염시킨다. 랜섬웨어류의 악성코드가 하는 일은 대동소이하므로 생략하고, 감염 경로를 파악하여 예방하는 게 중요하다. 원격 데스크톱(RDP)으로 감염 Remote Desktop Protocol을 이용해 감염되는 악성코드가 늘어나고 있다. RDP는 PC를 완전히 제어할 수 있고, 정상적인 이용과 악용을 기계적으로 구별하기가 쉽지 않기 때문이다. 해커는 쇼단(Shodan) 같은 검색 툴을 이용해 인터넷에 직접 연결된 RDP를 찾는다. RDP는 보통 TCP와 UDP의 3389 포트를 이용하므로, 이 포트를 집중적으로 검색하지만 다른 비표준 포트도 검색하기도 한다. 인터넷에 직접 노출된 RDP 포트를 발견하면 Brute force 공격으로 접속을 시도한다. 암시장에서 이미 유출된 로그인 정보를 구입하기도 한다. 원격 데스크톱을 지키는 방법은 다음과 같다. RDP 계정에 강력한 암호를 설정한다. RDP를 사용하는 PC는 인터넷에 직접 연결하지 말고 VPN 뒤에 숨긴다. 즉 VPN을 통해 연결한다. 이렇게 하면 해당 VPN 계정을 가진 사람만이 RDP에 접근할 수 있다. RDP 사용 권한이 있는 사람을 제한한다. Brute force 공격을 피하기 위해서이다. 네트워크 공유도 공격 네트워크로 공유된 파일도 암호화한다. 매핑된 네트워크 드라이브, 공유된 가상 머신, 기타 매핑되지 않은 네트워크 공유가 그 대상이다. 따라서 Network share에는 강력한 암호를 설정하고, 접근 권한을 제한할 필요가 있다. 관련 자료 샘샘(SamSam), 600만불의 랜섬웨어 신종 키패스(KeyPass) 랜섬웨어 참고 자료 New Brrr Dharma Ransomware Variant Release RDP

업데이트 검증의 취약점 동영상 플레이어 코디의 add-on을 가장한 악성코드가 발견됐다. 코디는 재생 성능이 좋고, 애드온을 통해 다양한 기능으로 확장할 수 있는 강력한 재생기로, 나도 강추하고 있다. 영미권에서는 높은 인기를 누리고 있는데, 한글 지원이 미흡해서 그런지 우리 나라에서는 그에 못 미치는 것 같다. 악성코드는 정상 애드온인 'script.module.simplejson'으로 위장하고 있다. 정상 버전이 3.4.0인데 비해 악성 버전은 3.4.1로 더 최신인 것처럼 가장했다. 코디 업데이트 시스템의 취약점을 노린 것이다. 코디는 애드온을 제공하는 곳을 저장소(repository)라고 부른다. 저장소는 여러 곳이 있으며, 코디로부터 공인된 곳도 있고 아닌 것도 있다. 문제는 코디 앱이 애드온의 업데이트를 검색할 때 버전만을 확인할 뿐 별다른 검증이 없다는 것이다. Unknown sources 해제해야 물론 코디는 인증된 저장소에서만 애드온을 다운로드하도록 기본 설정되어 있다. 'Unknown sources'를 활성화하려고 하면 시스템이 위험해질 수 있다는 경고가 나온다. 따라서, 대부분 별 문제가 없다. 다만 이번 악성코드를 발견한 ESET에 따르면, 부주의한 저장소 운영자가 변조된 악성 애드온을 업로드할 수도 있다는 가능성을 우려했다. 이번에 악성 버전이 발견된 simplejson script는 뭐하는 것인지는 잘 모르겠는데, 코디의 내장 애드온 브라우저나 공식 홈페이지에서는 찾을 수 없었다. 따라서 'Unknown sources'를 허용하지 않는 한 이것을 다운로드할 가능성은 별로 없다고 생각한다. 어쨌거나 유포 경로는 살펴보자. 2017년 12월 'Bubbles' 저장소에서 처음 발견됐는데, 이것이 폐쇄돼자 'Gaia' 저장소에서 배포하기 시작했다. 또한 'XvBMC' 저장소에서도 유포됐는데, 이 저장소는 최근에 저작권 침해

가상화폐 지갑 '잭스 월렛' 사용자를 노린 phishing 공격이 있었다. 피싱 사이트가 개설된 8.19일부터 발각되어 차단된 8.30일까지 진행됐다. 잭스 월렛은 PC와 모바일을 통틀어 120만 명이 사용하고 있는 인기있는 지갑 앱이다. 정상 사이트는 jaxx.ws인데, 피싱 사이트는 jaxx.io였다. 피싱 사이트에서의 작전은 운영체제에 따라 달랐다. 피싱 사이트에 들어가면 운영체제에 따라 앱을 다운로드하게 되는데, 모바일용을 선택하면 그냥 공식 스토어로 연결된다. 그러나 PC용을 선택하면 악성코드가 다운로드된다. Windows용의 경우, 설치를 진행하면 PC에 있는 모든 txt, doc, xls 문서 파일을 해커의 C2 서버로 전송한다. 그리고 정상적인 Jaxx wallet 앱을 설치하는데, 이 때 Clipper, KPOT이라는 악성코드가 함께 설치된다. 클리퍼는 클립보드의 내용을 조작하는 기능을 하는데, 가상화폐 거래시 수신자의 지갑을 해커의 것으로 바꿔치기해서 가상화폐를 탈취한다. 케이팟은 기기에 저장된 정보를 광범위하게 탈취한다. Mac 사용자는 JAR(Java Archive) 파일을 다운로드하게 되는데, 이를 실행하면 기술적인 문제로 새 지갑을 생성할 수 없다는 가짜 메시지를 보인다. 그리고 계정복구 페이지로 이동하여 Backup phrase를 입력하도록 요구한다. 입력한 백업 문구는 해커에게 전송되는데, 이것을 가지고 가상화폐 지갑을 완전히 접수하게 된다. 백업 문구를 입력하면 일시적인 서버 장애로 이용할 수 없다며 4시간 후에 다시 시도하라는 메시지를 내보낸다. 그 동안에 해커는 피해자의 가상화폐 지갑을 탈탈 털어간다. 이런 피싱을 피하려면 접속한 사이트의 주소와 인증서를 통해, 내가 지금 어디에 있는 건지 확실히 파악해야 한다. 일단 속아서 피싱 사이트에 중요 정보를 입력하거나 악성코드를 다운로드하면 그걸로 게임은 끝이다. 관련 자료 피싱(phishing) 사기 피하는 방법 참고 자료 Cybe

Feedify 해킹으로 공급망 공격 고객사 웹 사이트에 실시간 알림 기능을 제공하는 피디파이가 해킹 당했다. 피디파이는 알림 기능을 자바 스크립트로 제공하는데, 고객사는 그 코드를 자신의 웹 사이트에 삽입한다. 피디파이의 스크립트가 메이지카트라는 정보탈취 악성코드에 감염됐는데, 결국 이를 이용하는 고객사 사이트 역시 감염됐다는 얘기다. 피디파이의 고객사는 주로 전자상거래 사이트로 4천 개가 넘는다. MageCart라는 이름은 원래 웹이나 ATM에서 금융정보를 비롯한 개인정보를 탈취하는 것을 주로 하는 해커단의 이름인데, 이들이 사용하는 악성코드를 통칭해서 메이지카트라고 부르기도 한다. 메이지카트는 자바 스크립트로, 기기에 저장된 정보를 탈취하는 것이 아니라, 웹 페이지의 form 등에 입력하는 카드번호 등 개인정보를 가로채는 scraping 스크립트다. 표적에 따라 최적화(customized)되어 사용된다. 피디파이에 대한 공격은 Placebo라는 트위터 이용자에 의해 발견됐는데, 그의 제보로 바로 삭제됐다. 그러나 피디파이 내의 다른 스크립트에 여전히 남아있는 것이 발견됐다. 이것은 알아보기 어렵도록 난독화되어(obfuscated) 정상 스크립트에 삽입되어 있었다. British Airways 해킹 메이지카트는 며칠 전에 있었던 영국의 항공사 BA 해킹에서도 발견됐다. 정상적인 스크립트의 끝부분에 덧붙여져 있었으며, 이로 인해 38만 명 가량의 카드정보와 개인정보가 유출됐다. 마찬가지로 스크래핑 악성코드이기 때문에, BA에 저장된 고객 정보는 영향을 받지 않았으며, 메이지카트가 활성화된 동안에 감염된 페이지에 입력한 정보가 탈취됐다. RiskIQ라는 보안회사는 2016년부터 메이지카트의 활동을 감시해 왔는데, 매 시간마다 탐지될 정도로 사방에 널려 있다. 이들은 피디파이의 예처럼, 다른 사이트들에 널리 이용되는 구성 요소를 감염시킴으로써 한 번의 해킹으로 여러 사이트를 감염시키는 작전을 구사하기 때문이다. 공급망 공격(supply-cha

9.11일 마이크로소프트는 61개의 해킹 취약점을 패치했고, 그 중 17개는 치명적(critical) 등급이다. 특히 중요한 내용만 간추려 봤다. CVE-2018-8475: Windows Critical RCE Vulnerability 윈도우가 특별하게 가공된 그림 파일을 잘못 처리하는 데서 비롯하며, 해커가 원격으로 임의의 코드를 실행할 수 있게 된다. 해커는 악성 이미지를 만들어 놓고, 피해자가 이를 보도록 유도하기만 하면 된다. 메일에 첨부해서 보내거나, 웹 페이지에 게시하는 방법이 한 예다. 아직 악용 사례는 발견되지 않았지만, 실현 가능성이 높은 것으로 평가됐다. 흔히 사진이나 동영상 파일은 위험하지 않다고 생각하지만, 이런 악의적인 파일을 재생 소프트웨어가 제대로 처리하지 못해 악성코드를 실행하게 되는 취약점은 종종 발견된다. 사진 뷰어나 동영상 플레이어의 업데이트에 소홀하지 말아야 하는 이유이다. CVE-2018-8440: Windows ALPC Elevation of Privilege Vulnerability 해커가 트위터에 공개하여, 이틀만에 실제 악용 사례가 발견된 제로데이 취약점이었다(관련 자료 1). 권한 상승 취약점으로, 원래 제한된 권한만을 가진 공격자가 이를 악용해 전능한 'SYSTEM' 권한을 갖게 된다. Local 취약점이지만, 악성코드를 이용해 원격의 해커가 악용할 수 있다. CVE-2018-8457: Scripting Engine Memory Corruption Vulnerability 엣지 브라우저와 인터넷 익스플로러가 객체(object)를 잘못 다루는 데서 생긴 취약점으로, 해커가 현재 로그인한 사용자의 권한으로 임의의 코드를 실행할 수 있게 된다. 관리자 권한으로 로그인한 경우에는 사실상 모든 악행을 할 수 있다. 간단한 작업만을 하는 사용자라면 평소 제한된 계정으로 로그인 하는 것이 권장되는 이유이다. CVE-2018-0965,8439: Windows Hyper-V Remo

Trend Micro 의 앱들이 악성코드 10일 유명 보안회사 Trend Micro의 앱들이 개인정보 유출을 이유로 애플 Mac App Store에서 퇴출됐다. 공신력 있는 회사인 만큼 당연히 수많은 긍정적인 리뷰와 높은 평점을 누려왔다. 그만큼 파장도 클 수 있겠다. 트렌드 마이크로는 1988년 미국에서 설립되어 현재는 일본에 본사를 두고 있다. 따라서 법적으로는 일본 회사이지만, 설립자이자 현 CEO인 Eva Chen이 대만인이라서 그런지 대개 대만 회사로 인식된다. 2000년대 중반까지만 해도 PC-Cillin이란 백신으로 개인 사용자 사이에서도 인기가 많았지만 현재는 기업 시장에 집중하고 있는 듯 하다. 삭제된 트렌드 마이크로의 앱은 Dr.Antivirus, Dr.Cleaner, Dr.Unarchiver 등이다. 여러 명의 독립 연구자들에 의해 스파이 행각이 밝혀졌다. 이 앱들은 브라우저 히스토리, 사용자 정보, 기기 정보(시리얼 넘버와 운영체제 버전 등) 등을 수집해서 트렌드 마이크로의 서버로 전송한다. 작동 중 서버로부터 json 파일 형식으로 여러 가지 코드를 다운로드하는 것도 밝혀졌는데, 정보 유출에 관한 지령으로 추측됐다. 다른 악성 앱과도 연루 의혹 더 우려되는 부분은 겉으로 보기에는 트렌드 마이크로와 관련이 없는 것 같지만, 은밀히 연관된 악성 앱들이 더 있었다는 점이다. Adware Doctor, Komros Adware Cleaner, Open Any Files, AdBlock Master 등이 그것이다. 이 앱들 역시 개인정보 유출 때문에 애플 스토어에서 삭제됐는데, 위의 트렌드 마이크로 앱들과 동일한 기술을 이용해 정보를 유출하고 있었다. 게다가 Open Any Files의 경우는 유출 정보를 트렌드 마이크로의 서버에 전송했다. 이 모든 악성 앱들에는 트렌드 마이크로와의 관련성과 중국인 개발자라는 공통점이 있다. 어찌보면 올 것이 왔다는 생각이 든다. 최근 중국의 스마트폰, CCTV, 통신장비 등 I

익명으로 인터넷 서핑을 할 수 있게 해주는 브라우저 토르(Tor, 토어) 7.x에서 심각한 취약점이 발견됐다. 악명 높은 해커 Zerodium이 트위터를 통해 공개했다. 취약점은 토르 브라우저에 번들된 'NoScript'라는 플러그인에 존재한다. Safest mode는 모든 스크립트와 플래시 등 잠재적인 위험 요소를 차단하는 보안 수준이다. 그런데 악의적인 사이트에서 페이지 콘텐츠 형식을 'text/html;/json'로 설정하기만 하면 모든 스크립트를 허용하게 된다. 악성코드를 설치하거나 사용자의 실제 IP를 알아낼 수도 있는 것이다. 취약한 범위는 토르 7.x에서 NoScript classic 5.0.4~5.1.8.6 버전의 Safest mode를 사용하는 경우이다. 토르를 8.x로 업그레이드하거나 NoScript classic을 5.1.8.7로 업데이트하면 된다. 참고 자료 Tor Browser Zero-Day Exploit Revealed Online – Patch Now  

애플의 Mac App Store에서 가장 인기있는 악성코드 제거 앱이 사실은 스파이웨어였다. 문제의 앱은 'Adware Doctor'인데, 악성코드로부터 맥 PC를 지켜준다며 4.99달러에 판매되는 앱이다. 그리고 가짜 리뷰에 힘입어 유료 유틸리티 부문 1위에 올랐다. 이 앱의 스파이 행각은 독립 연구자들에 의해 밝혀졌다. privacyis1st라는 트위터 이용자와 Patrick Wardle이 그들이다. 이들은 이미 1달 전에 애플에 이 사실을 알렸는데 계속 무시하다가, 언론의 주목을 받게 되자 이제서야 맥 스토어에서 제거했다. 같은 개발자의 'AdBlock Master'라는 앱과 함께. 이 앱은 맥 앱의 샌드박스 제한을 우회하여 사용자 파일에 접근한다. 그리고 크롬과 사파리를 비롯해 모든 종류의 브라우저에서 방문했거나 검색한 사이트에 대한 정보를 수집하여, 중국에 있는 개발자 서버로 전송한다. 더 기막힌 건, 이 앱은 애초부터 가짜 앱이었다는 것이다. 2015년에 MalwareBytes의 'AdwareMedic'을 모방해 'Adware Medic'으로 등장했다가 멀웨어바이츠의 항의로 삭제됐다. 그것이 이름만 바꾸어서 다시 나타난 것이다. 애드웨어 제거, 악성코드 제거, 광고 차단, 시스템 정리, 시스템 성능 향상 등을 표방한 가짜 앱이 많다는 것을 기억하자. 참고 자료 No.1 Adware Removal Tool On Apple App Store Caught Spying On Mac Users  

IBM X-Force팀은 5~7월에 걸쳐 악성코드를 첨부한 메일 78만 개를 발견했다. 이들은 미지불 송장(unpaid invoice) 등 그럴듯한 내용으로 위장하고 있으며, 악성 IQY 파일이 첨부됐다. IQY 파일은 단순한 텍스트 파일이지만, 외부 데이터를 가져올 수 있도록 web location을 포함할 수 있다. 마이크로소프트 엑셀에서 사용되며, 기업체에서 협업을 위해 많이 사용하고 있다. 문제는 외부 데이터에 악성코드가 포함될 수 있다는 것이다. 엑셀은 보안을 위해, IQY 파일에서 코드를 실행하려면 사용자의 허락을 필요로 한다. 발견된 phishing 작전은 Necurs botnet이 수행했다. 피싱 메일은 교묘한 내용으로 사용자가 첨부파일을 열어 코드 실행을 허락하도록 유도한다. 이에 속은 사용자가 IQY 파일을 열어 코드 실행을 승낙하면 악성코드가 다운로드되어 설치된다. 이 작전에서는 FlawedAmmyy RAT라는 원격제어 툴과 Marap, Quant Loader라는 다운로더가 동원됐다. 피싱이 늘어나고 사용자들의 경각심도 높아짐에 따라 해커 역시 공격 방법을 날로 새롭게 하고 있다. exe, doc, docm, xls, xlsm 같은 실행파일이나 오피스 문서는 많은 사람들이 경계를 하니까, 생소한 파일 형식을 찾는 것이다. IQY 파일은 그 중 최신에 속한다. 참고 자료 Necurs Spews 780,000 Emails With Weaponized IQY Files  

공급망 공격에 당해 크롬 브라우저의 확장 프로그램인 '메가'가 해킹을 당해 악성코드가 삽입된 채로 유통됐다. 메가는 대용량 클라우드 서비스로 인기를 끌고 있다. 9.4일 메가의 크롬 웹스토어 계정이 해킹을 당해 악성코드가 담긴 3.39.4버전이 업로드됐다. 사건 발생 4시간 후에 메가 측은 정상 버전인 3.39.5를 업로드했다. 그 4시간 사이에 메가 확장을 새로 설치했거나 업데이트한 사용자가 영향을 받았다. 자동 업데이트 때문에 많은 기존 사용자들이 영향을 받았을 가능성이 있고, 수천만 명이 악성 버전을 다운로드했을 것으로 추산되고 있다. 공급망 공격은 개발자의 허술한 관리 때문에 발생한다. 공식 스토어가 공급망 공격에 이용되는 경우는 거의 없었는데, 유독 크롬 웹스토어에서 발생하고 있다. 7월에는 Hola VPN 크롬 확장이 공급망 공격에 당했다. 메가 측의 해명에 따르면, 크롬 확장에 대해 개발자는 디지털 서명을 할 권한이 없고 구글이 자동으로 서명을 한다. 반면 파이어폭스 확장이나, 구글/애플/마이크로소프트 스토어 앱은 개발자가 직접 디지털 서명을 하기 때문에 침해당하지 않았다는 것이다. 일리가 있다고 생각한다. 개발자가 직접 디지털 서명을 하는 경우라면, 계정 탈취에 더해 코드 서명 인증서까지 탈취해야 하기 때문이다. 피해자는 암호 변경해야 이 악성코드는 계정 크리덴셜(로그인 정보)을 훔치는 것으로, 설치 시나 업데이트 시 개인정보에 접근할 수 있는 권한을 요청한다. 아마존, 마이크로소프트, 깃허브, 구글 계정에 대한 로그인은 특정해서 감시한다. 그리고 여타 계정에 대해서도 로그인 절차로 생각되는 트래픽을 감시한다. 수집된 크리덴셜은 해커의 서버로 전송된다. 또한 myetherwallet, mymonero, idex market 같은 가상화폐 사이트 접속이 탐지되면, 개인키를 탈취하는 자바 스크립트를 실행한다. 가상화폐를 훔칠 수도 있는 것이다. 모네로 측은 공식 트위터를 통해 모네로 탈취 가능성을 경고했

러시아 보안회사 Dr.Web이 Google Play에서 130여 개의 가짜 앱(fake app)을 발견했다. 이들은 주로 유명한 앱으로 가장하여 피싱(phishing)을 수행했다. Android.Click.265.origin은 사용자 몰래 유료 모바일 서비스에 가입하게 만드는 악성코드다. 이번엔 '엘도라도'라는 거래망을 이용하는 온라인 스토어 앱의 가짜 버전에서 발견됐다. 가짜 앱은 정상적인 작동을 함과 동시에 많은 광고와 유료 서비스 페이지를 표시한다. 그리고 자동으로 클릭하는 기능이 있어서, 사용자 몰래 가입 확인 버튼을 클릭한다. 요금은 피해자의 전화번호로 청구된다. Android.Click.248.origin은 사용자 몰래 프리미엄 서비스에 가입하는 악성코드다. 이번엔 러시아의 네이버라 할 수 있는 얀덱스(Yandex)의 음성비서 알리사(Alisa)로 위장한 것이 발견됐다. 가짜 앱은 유명 프로그램을 다운로드할 수 있는 사이트나 보상을 주는 사이트로 위장한 피싱 사이트를 보여준다. 그리고 확인 코드를 받기 위해 전화번호를 요구한다. 그러나 사실 이 코드는 유료 서비스 가입을 위한 확인 코드이다. 이 외에도 많은 Android.Click family의 악성코드가 삽입된 가짜 앱이 발견되어 총 127개에 이른다. 이들은 C2 서버에 접속하여 명령을 수행하는 기능이 있기 때문에, 언제라도 추가적인 악성 다운로드를 할 수 있다. 이와 함께 설문조사 앱으로 위장한 Android.FakeApp.110이라는 악성코드도 발견됐다. 이것이 보여주는 사기성 사이트에서는 선호하는 자동차 브랜드 같은 간단한 질문을 몇 개 한다. 응답이 끝난 후에는 수만~수십만 루블의 보상금을 준다고 약속한 다음, 신원 확인을 위해 100~200 루블을 송금하라고 한다. 그러나 송금액만 받아 먹고, 약속했던 보상금은 주지 않는다. 관련 자료 가짜 앱 구별하기 참고 자료 Fake Yandex Voice Assistant App Found In G

최근 인벤, plaync를 비롯한 게임 관련 사이트의 자유게시판을 통해 악성코드가 유포되고 있다. 사이트를 해킹하거나 하는 고도의 공격이 아니라, 단순히 게시판에 악성 링크를 올려 사용자의 클릭을 유도하는 것이다. 일종의 피싱(phishing)이다. 'CK VIP'라는 익스플로잇 키트를 이용하고 있으므로 보안 패치가 제대로 되지 않은 상태에서는 링크 클릭만으로도 악성코드에 감염될 수 있다. 발견된 악성코드는 원격제어 기능이 있으므로 사실상 모든 악성 행위가 가능하며, 시스템 디스크의 MBR(Master Boot Record)을 파괴하는 기능도 있어 부팅이 불가능하게 될 수 있다. 전에도 홈페이지를 통해 유포된 적이 있다고 하는데, 악성코드 이름을 제공하지 않아 어떤 것인지 알 수가 없다. 사실 게시물을 이용한 피싱은 항시 일어나고 있다. 링크를 클릭할 때는, 링크 제공자를 신뢰할 수 있는지 생각해 봐야 한다. 그리고 항상 안전한 링크만을 클릭한다는 것은 사실상 불가능하므로 평소 시스템의 방어력을 잘 유지할 필요가 있다. 관련 자료 커뮤니티 게시판을 통한 피싱 주의 참고 자료 게임 관련 커뮤니티 사이트에서 원격제어 악성코드 유포  

최근 몇몇 보안 연구원들이 Google Play에서 금융 정보를 탈취하는 banking trojan들을 발견했다. 물론 기사가 나오기 전에 스토어에서 삭제됐다. 플레이 스토어에서 발견되는 악성코드들은 광고를 표시하는 애드웨어 등 위험도가 다소 낮은 것들이 많지만, 뱅킹 트로이목마는 위험도가 높다는 점에서 눈길을 끈다. ESET의 연구원 Lukas Stefanko는 점성술 앱으로 위장한 3개의 악성 앱을 발견했다. 이들은 SMS와 통화 기록 탈취, 피해자의 이름으로 SMS 전송, 사용자 동의 없이 다른 앱을 다운로드 및 설치, 은행 로그인 정보 탈취 등의 악성 행위를 수행한다. 설치 직후 '기기와 호환되지 않아 제거됐다'는 가짜 알림을 보이는 경우도 있다. 은폐를 위한 것으로 보인다. VirusTotal에서 확인한 결과를 보면 60여 개의 백신 중 7~12개에만 탐지되는 낮은 탐지율을 알 수 있다. 그리고 탐지명으로 볼 때, Banker류의 한 변종으로 보인다. 과도한 권한, 특히 관리자 권한을 요구하는 앱을 조심하면 Banker family의 트로이목마를 피하는 데 큰 도움이 된다. <그림 1> <그림2> <그림 3> 또한 Avast의 Nikolaos Chrysaidos는 비슷한 뱅킹 트로이목마를 품은 악성 앱을 5개 넘게 발견했다. 이들은 기기 성능 향상 앱으로 위장하고 있었다. 최근의 안드로이드 기기는 성능 자체가 충분히 좋고, 운영체제의 관리 효율성도 좋아 성능 향상 혹은 최적화 같은 데 신경 쓸 필요가 없다. 또한 펌웨어가 아닌 일반 앱으로 약간의 정리 효과 이상의 성능 향상을 가져온다는 것 자체가 말이 안된다. 이런 데에 혹하지 말기를 바랍니다. 관련 자료 악성코드 Trojan.Android.Banker, 정보 탈취의 대가 참고 자료 Banking Trojans and Shady Apps Galore In Google Play 그림 1: ht