안녕하세요 보안대응팀 입니다.
PC에서 Mobile로 감염을 시도하는 악성코드가 발견되었습니다.

이번 사례는 최신 보안패치를 하지 않은 사용자가 해커가 변조한 사이트에 방문 시, OS의 보안 취약점을 악용하여 드라이브 바이 다운로드 (Drive-By-Download) 방식으로 침투하여 1차적으로 PC를 감염 시킵니다. 그 후, 감염된 PC와 연결이 되어 있거나 혹은 새로 연결된 안드로이드 스마트폰을 체크하여, 연결이 활성화 된 기기에 악성앱을 강제로 내려주고 사용자의 동의 없이 설치하는 2차 감염작업을 진행합니다.

사용자 스마트폰에 설치된 악성앱은 스마트폰 내의 정보들을 유출하며, 수신되는 전화 및 문자도 차단합니다. 동시에 안드로이드 스마트폰에 설치되어 있는 인터넷 뱅킹앱을 가짜 뱅싱앱으로 대체하고, 사용자가 허위 뱅킹앱에 입력한 각종 금융관련 정보들을 탈취합니다.

해당 악성코드의 특징은 'USB 디버깅 모드'가 설정된 안드로이드 기기에 한해 감염되는 것입니다.

일반적으로 안드로이드의 기본 설정은 'USB 디버깅 모드'가 해제 되어있지만, PC와 안드로이드 스마트폰의 연결이 원활하지 않을 경우 해결책으로 'USB 디버깅 모드'를 활성화 하도록 안내하는 경우가 많아 예상보다 많은 사람들이 이번 공격에 노출되었을 가능성도 있습니다. 또한 안드로이드 앱 개발자들은 개발하는 안드로이드 앱을 디버깅 하기 위하여 'USB 디버깅 모드'를 활성화 하기 때문에 특히 주의가 요구됩니다.

이번 악성코드는 안드로이드 앱 개발자를 타겟으로 하는 공격이라고 보기는 힘드나, 이런 형태의 공격방식은 향후 안드로이드 앱을 전문으로 개발하는 개발사나 협력사의 내부정보를 탈취하는 악성코드로 발전할 가능성도 충분히 높습니다.

현재 알약 PC버전과 알약 안드로이드 에서는 해당 악성앱에 대하여 각각 'Trojan.Downloader.Agent.34304', 'Trojan.Android.SMS.Stech.Gen'으로 탐지하고 있으며,
변종이 발견되는 대로 추가로 업데이트 할 예정입니다.

감사합니다.