CLIEN

본문 바로가기 메뉴 바로가기 폰트크기변경 색상반전보기
톺아보기 공감글 추천글
커뮤니티 C 모두의광장 F 모두의공원 I 사진게시판 Q 아무거나질문 D 정보와자료 N 새로운소식 T 유용한사이트 P 자료실 E 강좌/사용기 L 팁과강좌 U 사용기 · 체험단사용기 W 사고팔고 J 알뜰구매 S 회원중고장터 B 직접홍보 · 보험상담실 H 클리앙홈
소모임 소모임전체 임시소모임 ·테니스친당 ·굴러간당 ·주식한당 ·아이포니앙 ·자전거당 ·가상화폐당 ·MaClien ·방탄소년당 ·일본산당 ·골프당 ·나스당 ·키보드당 ·디아블로당 ·야구당 ·안드로메당 ·육아당 ·바다건너당 ·테니스친당 ·개발한당 ·소셜게임한당 ·노젓는당 ·콘솔한당 ·날아간당 ·소시당 ·레고당 ·냐옹이당 ·리눅서당 ·걸그룹당 ·VR당 ·이륜차당 ·캠핑간당 ·축구당 ·클다방 ·땀흘린당 ·PC튜닝한당 ·덕질한당 ·와인마신당 ·패스오브엑자일당 ·포뮬러당 ·시계찬당 ·그림그린당 ·갖고다닌당 ·퐁당퐁당 ·오른당 ·3D메이킹 ·방송한당 ·소리당 ·활자중독당 ·심는당 ·스팀한당 ·사과시계당 ·빨콩이당 ·IoT당 ·개판이당 ·젬워한당 ·요리한당 ·DANGER당 ·찰칵찍당 ·안경쓴당 ·임시소모임 ·보드게임당 ·대구당 ·헌팅한당 ·여행을떠난당 ·스타한당 ·LOLien ·테스트당 ·블랙베리당 ·라즈베리파이당 ·총쏜당 ·물고기당 ·WOW당 ·e북본당 ·가죽당 ·날아올랑 ·영화본당 ·윈태블릿당 ·창업한당 ·동숲한당 ·블록체인당 ·X세대당 ·배드민턴당 ·농구당 ·곰돌이당 ·뽀록이당(당구) ·볼링친당 ·문명하셨당 ·클래시앙 ·쿠키런당 ·이브한당 ·패셔니앙 ·도시어부당 ·FM한당 ·맛있겠당 ·차턴당 ·내집마련당 ·하스스톤한당 ·히어로즈한당 ·인스타한당 ·KARA당 ·어학당 ·Mabinogien ·미드당 ·땅판당 ·MTG한당 ·노키앙 ·적는당 ·소풍간당 ·품앱이당 ·리듬탄당 ·Sea마당 ·SimSim하당 ·심야식당 ·미끄러진당 ·나혼자산당 ·파도탄당 ·공대시계당 ·터치패드당 ·트윗당 ·WebOs당 ·윈폰이당
© CLIEN.NET
공지외부공격 및 접속장애 안내 더보기
n

새로운소식

Google Play에서 인기있는 한국 버스 앱 시리즈, 개발 5년 만에 멜웨어 발견 65

108
BBangSik
54,041
2019-02-08 23:26:25 수정일 : 2019-02-08 23:40:56 117.♡.19.4

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malbus-popular-south-korean-bus-app-series-in-google-play-found-dropping-malware-after-5-years-of-development/


 McAfee의 모바일 연구 팀은 최근 한국 개발자가 개발한 교통 애플리케이션 시리즈의 플러그인으로 위장한 새로운 악성 Android 앱을 발견했습니다. 이 시리즈는 버스 정류장 위치, 버스 도착 시간 등 한국의 각 지역에 대한 다양한 정보를 제공합니다. 이 시리즈에는 총 4 개의 앱이 있으며 그 중 3개는 2013년부터 Google Play에서 이용가능 했으며 다른 하나는 2017년부터 이용가능 했습니다. 현재 4개의 앱이 모두 Google Play에서 삭제되었으며 가짜 플러그인 자체는 스토어에 업로드되지 않았습니다. 가짜 플러그인을 분석하는 동안 우리는 초기 다운로더와 추가 페이로드를 찾고있었습니다. 우리는 이 시리즈의 각 앱의 특정 버전(동일한 날짜에 업로드 됨)을 발견했는데, 이 버전이 멜웨어를 설치한 장치에 심고 있었고, 이는 개발 5년 만에 Google Play에서 제거된 것을 설명합니다.


그림 1. 이 시리즈 중 하나인 '대구 버스' 앱의 캐싱된 Google Play 페이지


 악성 교통 앱이 설치되면 해킹당한 웹 서버에서 추가적으로 페이로드가 다운로드되는데, 이 서버에는 원래 획득되어야 할 가짜 플러그인이 포함되어 있습니다. 가짜 플러그인이 다운로드되어 설치된 후, 그것은 완전히 다른 일을 하는데, 그것은 교통 앱의 플러그인 역할을 하며 장치에 트로이 목마를 설치하고 사용자들이 Google 계정 비밀번호를 입력하도록 유도하여 장치를 완전히 장악하려고 시도합니다. 흥미로운 것은 악성코드가 네이티브 라이브러리를 사용하여 장치를 탈취하고 또한 탐지를 피하기 위해 라이브러리를 삭제한다는 점입니다. 이것은 네이버, 카카오톡, 다음, SKT와 같은 인기 있는 한국 서비스의 이름을 사용합니다. 우리의 원격측정 자료에 따르면, 감염된 장치의 수가 상당히 적었기 때문에 최종 페이로드가 소수의 대상 그룹에만 설치되었음을 시사합니다.


캠페인 : 다음 다이어그램은 맬웨어 배포에서 장치 감염까지의 전체 흐름을 설명합니다.



그림 2. 디바이스 감염 프로세스


 교통 앱의 악성 버전이 설치되면 가짜 플러그인이 이미 설치되어 있는지 확인하고 그렇지 않은 경우 서버에서 다운로드하여 설치합니다. 그 후, 가짜 플러그인에 의해 떨어진 트로이 목마와 유사한 추가 네이티브 트로이 목마 바이너리를 다운로드하고 실행합니다. 모든 작업이 완료되면 C2 서버와 연결되어 수신 된 명령을 처리합니다.


초기 다운로더 : 다음 표는 교통 앱 시리즈의 각각의 악성 버전에 대한 정보를 보여 줍니다다. Number of Installs가 표시하는 것처럼 이러한 앱이 많은 디바이스에서 다운로드 되었습니다.



 앱의 클린 버전과 달리 악성 버전에는 "libAudio3.0.so"라는 네이티브 라이브러리가 포함되어 있습니다.



그림 3. 악성 네이티브 라이브러리가 포함된 교통 앱 버전


 앱의 BaseMainActivity 클래스에서 악성 라이브러리를로드하고 startUpdate() 및 updateApplication()을 호출합니다.


그림 4. 악성 라이브러리가 앱에서 로드되고 실행됨.


 startUpdate()는 "background.png"라는 특정 플래그 파일의 존재 여부와 가짜 플러그인이 이미 설치되어 있는지 여부를 확인하여 앱이 제대로 설치되었는지 확인합니다. 장치가 아직 감염되지 않은 경우 가짜 플러그인은 해킹 된 웹 서버에서 다운로드되어 피해자에게 토스트 메시지를 표시한 후 설치됩니다. updateApplication()은 해킹 된 동일한 서버에서 기본 바이너리를 다운로드하고 동적으로 로드합니다. 다운로드 된 파일(libSound1.1.so로 저장됨)은 메모리에 로드 된 후 삭제되고 마지막으로 트로이 역할을 하는 내보내기 기능을 실행합니다. 이전에 설명했듯이 이 파일은 이 게시물의 뒷부분에서 설명하는 가짜 플러그인에 의해 떨어진 파일과 유사합니다.


그림 5. 추가 페이로드 다운로드 서버


가짜 플러그인 : 이 가짜 플러그인은 파일 확장자 .mov로 해킹된 웹 서버에서 다운로드되며 미디어 파일처럼 보입니다. 설치 후 실행되면 플러그인이 성공적으로 설치됐다는 토스트 메시지를 (한국어로) 표시하고 playMovie()라는 네이티브 함수를 호출합니다. 가짜 플러그인의 아이콘은 곧 화면에서 사라집니다. asset 폴더 안에 저장된 LibMovie.so에 구현된 네이티브 기능은 libpng.2.1.so 파일로 가장하여 현재 실행 중인 앱의 디렉토리에 악의적인 트로이 목마를 떨어뜨립니다. 투하된 트로이 목마는 원래 LibMovie.so xor'ed에 내장되어 있으며 런타임 시 디코딩 됩니다. 권한을 부여한 후, 떨어뜨린 트로이 목마에서 내보낸 함수 "Libfunc"의 주소를 dlsym()을 사용해 동적으로 검색합니다. 파일 시스템에 떨어뜨려진 바이너리는 탐지를 피하기 위해 삭제되고, 최종적으로 Libfunc이 실행됩니다.


그림 6. 멜웨어가 설치 되었을 때 나오는 토스트 메시지


 다른 포크로 연결된 프로세스에서는 설치된 SD 카드에 있는 "naver.property" 파일에 액세스하려고 시도하며, 만약 파일이 있다면, 구글 피싱 페이지(자세한 내용은 그 다음 섹션에서)를 표시하는 ".KakaoTalk" 활동을 시작하려고 합니다. 드로퍼의 전체적인 흐름은 다음 다이어그램에 설명되어 있습니다.


그림 7. 드로퍼의 실행 흐름


 다음은 ".KaKaoTalk"활동이 내보내졌음을 보여주는 매니페스트 파일의 조각입니다.


그림 8. ".KaKaoTalk" 활동을 내보낸 것으로 정의하는 Android 매니페스트


 JavaScript에서 피싱 : KakaoTalk 클래스는 감염된 장치에 등록된 사용자의 이메일 주소를 자동으로 기입한 로컬 HTML 파일인 javapage.html을 열어 자신의 계정에 로그인하도록 유도합니다.


그림 9. KakaoTalk 클래스가 악성 로컬 HTML 파일을 로드합니다.


 피해자의 이메일 주소는 페이지 로드가 완료된 후 JavaScript함수 setEmailAddress를 통해 로컬 페이지에 기입됩니다. 가짜 한국 Google로그인 웹 사이트가 표시됩니다.


그림 10. 악의적인 JavaScript는 사용자 계정으로 만들어진 Google 로그인 페이지를 보여줍니다.


 우리는 맬웨어 작성자가 Google의 합법적인 서비스를 이용하려는 다음과 같은 시도를 발견했습니다.


- 피해자의 Google 계정과 패스워드 훔치기

- 특정 계정에 대한 패스워드 복구 요청

- 새 Google 계정을 만들 때 복구 이메일 주소 설정


 피싱 공격의 흥미로운 요소는 맬웨어 작성자가 Google의 합법적인 서비스에 복구 주소로 자신의 이메일을 설정하려고 시도했다는 것 입니다. 예를 들어 사용자가 피싱 페이지에서 새 Google 계정 만들기 링크를 클릭하면 맬웨어 작성자의 이메일 주소가 RecoveryEmailAddress의 매개 변수로 사용 된 제작 된 링크가 열립니다.



그림 11. 조작된 JavaScript는 새로운 Google계정 생성을 위한 복구 이메일 주소를 설정하려고 시도합니다.


 다행히도 최종 사용자의 경우 위의 악의적인 시도는 성공하지 못합니다. 맬웨어 작성자의 이메일 주소가 있는 매개 변수는 계정 생성 단계에서 간단히 무시됩니다.


트로이 목마 : Google 피싱 페이지 외에도 가짜 플러그인이나 서버에서 다운로드 한 트로이 목마의 "Libfunc"기능이 실행되면 휴대 전화가 완전히 손상됩니다. 그것은 C2 서버의 하드 코딩 된 리스트에서 명령을 받습니다. 트로이의 주요 기능은 "doMainProc()"함수에서 구현됩니다. 다른 기능을 가진 트로이 목마의 몇 가지 변종이 있지만 전반적으로는 거의 동일합니다.


그림 12. C2서버의 하드 코딩된 목록


하드 코드 된 C2 서버의 위치 정보는 다음과 같습니다.



그림 13. C2 서버의 위치


 doMainProc() 내에서 트로이 목마는 C2 서버로부터 명령을 수신하고 적절한 핸들러를 호출합니다. 아래의 스위치 블록의 일부는 이 트로이 목마가 어떤 종류의 명령을 지원하는지 우리에게 알려줍니다.


그림 14. 떨어뜨려진 트로이 목마에서 구현된 명령 처리기의 하위 집합


 보시다시피, 그것은 보통의 트로이 목마가 가지고 있는 모든 기능을 가지고 있습니다. 단말기의 파일 다운로드, 업로드, 삭제, 원격 서버 등에 정보유출 등. 다음 표는 지원되는 C2 명령을 설명합니다.


그림 15. C2 명령어


 명령 핸들링 루프로 들어가기 전에 트로이 목마는 서버에 장치 정보 파일을 보내고 장치의 UID를 확인하는 등 일부 초기화를 수행합니다. UID 체크가 1을 반환한 후에만 루프로 들어갑니다.


그림 16. 명령 루프에 들어가기 전 연결된 서버


 이 명령들 중에서 특히 디렉토리 인덱싱이 중요합니다. 디렉토리 구조는 "kakao.property"라는 파일에 저장되며 사용자 장치에서 지정된 경로를 인덱싱 하는 동안 특정 키워드로 파일을 검사하고 일치하는 경우 파일을 원격 업로드 서버에 업로드합니다. 이 키워드는 한국어이며 번역 된 영어 버전은 다음 표와 같습니다.



그림 17. 검색 파일 키워드


 키워드를 보면 맬웨어 제작자들이 군사, 정치 등과 관련된 파일을 찾고 있었다는 것을 알 수 있습니다. 이 파일들은 별도의 서버에 업로드됩니다.


그림 18. 키워드가 일치하는 파일이 업로드 되는 서버


결론


 앱들은 사용자의 중요한 정보를 유출하기 전 쉽게 사용자를 속여서 설치하도록 유도할 수 있습니다. 또한 맬웨어가 공식 Google Play 스토어에 몰래 들어가 사용자가 자신의 기기를 보호하기 어려워지는 것은 흔하지 않은 일이 아닙니다. 이 맬웨어는 일반적인 피싱 시도가 아니라 매우 명확한 대상을 공격 하도록 작성되었으며, 피해자의 장치에서 군사 및 정치 관련 파일을 검색하여 기밀 정보 유출을 시도 할 가능성이 있습니다. 사용자는 신뢰할 수 있는 출처에서 다운로드 한 경우에도 완전히 신뢰할 수 있는 앱을 설치해야합니다.


 McAfee Mobile Security는이 위협을 Android/MalBus로 탐지하고 이 위협이 있는 경우 모바일 사용자에게 경고하여 데이터 손실로부터 보호합니다. McAfee Mobile Security에 대한 자세한 내용은 https://www.mcafeemobilesecurity.com을 참조하십시오.


해시 (SHA-256)


초기 다운로더 (APK)
• 19162b063503105fdc1899f8f653b42d1ff4fcfcdf261f04467fad5f563c0270
• bed3e665d2b5fd53aab19b8a62035a5d9b169817adca8dfb158e3baf71140ceb
• 3252fbcee2d1aff76a9f18b858231adb741d4dc07e803f640dcbbab96db240f9
• e71dc11e8609f6fd84b7af78486b05a6f7a2c75ed49a46026e463e9f86877801

가짜 플러그인 (APK)
• ecb6603a8cd1354c9be236a3c3e7bf498576ee71f7c5d0a810cb77e1138139ec
• b8b5d82eb25815dd3685630af9e9b0938bccecb3a89ce0ad94324b12d25983f0

트로이 목마 (추가적인 페이로드)
• b9d9b2e39247744723f72f63888deb191eafa3ffa137a903a474eda5c0c335cf
• 12518eaa24d405debd014863112a3c00a652f3416df27c424310520a8f55b2ec
• 91f8c1f11227ee1d71f096fd97501c17a1361d71b81c3e16bcdabad52bfa5d9f
• 20e6391cf3598a517467cfbc5d327a7bb1248313983cba2b56fd01f8e88bb6b9


BBangSik 님의 게시글 댓글
  • 주소복사
  • Facebook
  • Twitter
108명
댓글 • [65] 을 클릭하면 간단한 회원메모를 할 수 있습니다.
BBangSik
LINK
#98203653
IP 117.♡.19.4
02-08 2019-02-08 23:27:11
·
사족 : 역대 번역 중 가장 길었던 것 같습니다.........
레드셀
LINK
#98209678
IP 119.♡.224.9
02-09 2019-02-09 09:23:04
·
감사합니다. 덕분에 중요한 소식을 알게 됐네요.
삭제 되었습니다.
슬리퍼
LINK
#98203828
IP 110.♡.52.236
02-08 2019-02-08 23:33:16
·
실수로 잘못된 라이브러리를 링크했거나 장난 좀 쳐본 정도가 아니라 작정하고 털려고 만든 앱이었네요;
삭제 되었습니다.
hojin0425
LINK
#98203840
IP 121.♡.220.44
02-08 2019-02-08 23:33:39 / 수정일: 2019-02-08 23:34:06
·
근데 탈취 키워드들이 왜저럴까요?
북한소행인가
아름다운별
LINK
#98204091
IP 27.♡.92.38
02-08 2019-02-08 23:43:51 / 수정일: 2019-02-09 00:02:49
·
그럴 가능성이 높은 것 같은데요.
대구, 창원, 전주, 광주 버스 앱이라고 위장한 앱들인데 앞에 두 도시만 보더라도

대구 - 2작사, 50사단 등 규모 좀 되는 육군 부대 + K-2, 방공포병학교 등 각종 공군 부대들
창원 - 육군 종합정비창, 39사단 (사령부가 함안으로 이사갔지만) + 진기사를 비롯한 해군 부대들 + 공단에 있는 방산업체들

위치해있는 걸 생각해보면요.... (생각나는대로 적은 것이라 더 있을 겁니다)
고미-
LINK
#98209384
IP 223.♡.30.221
02-09 2019-02-09 09:05:30
·
군사목적이면 계룡대가 있는 대전을 노려야 하는거 아닌가요

너무들 쉽게 단정하는듯
삭제 되었습니다.
fed224
LINK
#98210755
IP 125.♡.142.220
02-09 2019-02-09 10:12:41
·
대전에는 각종 학교 교육시설밖에 없지않나용..?
요켠
LINK
#98211448
IP 211.♡.130.179
02-09 2019-02-09 10:45:01
·
아크틱님 //
육군본부가 계룡대인데요...
아름다운별
LINK
#98212986
IP 27.♡.92.38
02-09 2019-02-09 11:44:40 / 수정일: 2019-02-09 11:47:06
·
@고맙습니당님

일단 본문 설명대로 수집한 키워드가 전부 군사목적이기도 하고
그리고 대전을 노려야 하는 거 아니냐고 하셨는데
실제로 국방데이터센터 망혼용 실수로 2년동안 모르고 해커에게 뚫린 시기 (2015~2017) 와도 겹칩니다.

원 개발자분이 대전버스 앱을 미리 만들지 않아서 다행이지, 만약 대전버스 앱을 만드셨다면 역시 공격에 포함됐을 가능성이 크다고 생각합니다.
건어물육식공룡
LINK
#98204119
IP 49.♡.201.24
02-08 2019-02-08 23:44:42
·
대구에 뭐 군사비밀이라도 있나요
BBangSik
LINK
#98204141
IP 117.♡.19.4
02-08 2019-02-08 23:45:29 / 수정일: 2019-02-08 23:45:49
·
2작사가 있습니다 ㅎㅎ 공군 11비랑 방공학교도 있고 육군 50사단 사령부도 있네요..... 아 미군 기지도 있구요....
시금치무침
LINK
#98205062
IP 222.♡.50.216
02-09 2019-02-09 00:25:42
·
대구가 사실상 하삼도 총괄하는 총본산입니다.
대구 무너지면 삼남 다 무너져요
딸기우유l
LINK
#98223722
IP 59.♡.217.252
02-09 2019-02-09 19:44:22
·
@rins님 후방에서 제일 중요한 지역이죠. 육군 2작사에 공군 k2안에 있는 부대들만해도... 미군에게도 중요한 지역이구요
BeoPlay
LINK
#98204261
IP 118.♡.243.175
02-08 2019-02-08 23:50:41
·
리명훈이가 악성코드 심었던건가요? ㅎㅎ
치킨두말
LINK
#98204288
IP 175.♡.37.58
02-08 2019-02-08 23:51:52
·
와 5년이나 ㄷㄷ;;
BBangSik
LINK
#98204332
IP 117.♡.19.4
02-08 2019-02-08 23:53:41
·
처음부터 악성앱으로 올라온건 아니고 멀쩡한 앱으로 있다가 특정 버전부터 맬웨어로 바뀐듯 합니다. 그래서 구글도 인지를 못한것 같구요.
sunshower
LINK
#98204304
IP 128.♡.18.138
02-08 2019-02-08 23:52:47
·
..어썸 ㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷ 안걸린 앱들도 많을텐데 ㄷㄷ
삭제 되었습니다.
BBangSik
LINK
#98204396
IP 117.♡.19.4
02-08 2019-02-08 23:56:36
·
네 앱 자체가 악성 기능을 수행하는게 아니라 추가적인 트로이 목마를 통해 작업을 수행해서 그런 것 같습니다.
Valhalla
LINK
#98204486
IP 1.♡.148.149
02-09 2019-02-09 00:00:45
·
키워드 상태가..?
까만거북이
LINK
#98204550
IP 220.♡.98.97
02-09 2019-02-09 00:03:52 / 수정일: 2019-02-09 09:57:33
·
엄청나네요. 어쩐지 광역시급도 아닌데, 왜 버스 앱을 열심히 만드는걸까 의문이 들기도 했습니다.
- - - -
잘못된 정보입니다. 아래 투비세오님 대댓글 참고해주세요.
투비세오
LINK
#98207103
IP 67.♡.72.226
02-09 2019-02-09 02:48:44
·
학생 시절 시민들의 편의를 위해 선의로 만든 앱이라고 합니다. 계정 관리 실수로 문제가 되었지만 공익을 위해 노력하신 부분까지는 폄하되면 안될 것 같습니다.

https://www.clien.net/service/board/park/13142907?od=T31&po=0&category=&groupCd=CLIEN
까만거북이
LINK
#98210215
IP 220.♡.98.97
02-09 2019-02-09 09:50:49 / 수정일: 2019-02-09 09:58:02
·
@투비세오님
아이고.. 제가 오해를 했군요.

구글 계정이 털렸을까? 생각을 하기는 했는데, 소스 코드도 문제고, 키스토어 파일과 비밀번호는 어떻게.. 했는데, 깃 계정에 개발자 개발툴까지..... 작정하고 덤빈 셈이었군요.
구글 2차 인증 로그인은 역시 필수네요.

@투비세오님, 대댓글 정말 고맙습니다. (_ _)
정하(Jeong_Ha)
LINK
#98204577
IP 125.♡.82.141
02-09 2019-02-09 00:05:07 / 수정일: 2019-02-09 00:05:47
·
북한해커들의 치밀함은 알고있었지만 이정도 공작을 할줄이야..
naxxing
LINK
#98204659
IP 211.♡.50.195
02-09 2019-02-09 00:09:14 / 수정일: 2019-02-09 02:30:21
·
저분과 관련 없이 앱 자체가 털렸다는거군요ㄷ
FrostBliz
LINK
#98204725
IP 175.♡.45.152
02-09 2019-02-09 00:11:56
·
이건 확실히 북한과 관련된 것 같군요...
삭제 되었습니다.
세르시
LINK
#98204768
IP 1.♡.194.37
02-09 2019-02-09 00:13:43 / 수정일: 2019-02-09 00:59:35
·
저희하고 경쟁하고있는 앱 중 하나인데 몇달전에 플레이스토어에서 지워졌길래 뭔일인가 했는데 이제야 밝혀졌군요 ㄷ ㄷ 저 개발자가 이 앱 다시 올린것으로 알고있습니다. 그리고 이명훈이란 사람 전주시에서 상받은 이력이 있습니다.
A2007
LINK
#98204844
IP 14.♡.225.55
02-09 2019-02-09 00:16:43
·
와 이건 개발자가 해명을 해야겠는데요 ㅋㅋㅋㅋㅋ
삭제 되었습니다.
김선규
LINK
#98204995
IP 211.♡.193.182
02-09 2019-02-09 00:22:55 / 수정일: 2019-02-09 00:49:30
·
그렇다면 해당인이 의도적으로 했을 것 같진 않고, 북한이 한국 내 여러 개발자들을 타겟으로 공격을 해서 개발자가 인식하지 못하게,
https://www.bodnara.co.kr/bbs/article.html?num=125539
이런것과 같이 해킹된 android studio등으로 바꿔치기를 해서 빌드시에 악성코드가 숨어들어가게 했을 수도 있을 것 같네요.
혹은 계정이 종합적으로 털려서 git과 구글 계정 등이 다 털려서 해커가 최신 빌드 소스를 받아서 악성코드를 심고 다시 빌드해서 업로드를 했다던지요. 아니면 rdp가 털려서 자기도 모르는 새에 원격으로 작업이 이뤄졌다던지...
여튼 의도치 않은 사고일 것 같습니다.
미리르
LINK
#98205512
IP 211.♡.244.144
02-09 2019-02-09 00:47:47
·
@세르시님‍ // 경쟁 중이신거라고 하는거 보니 M사 이신가보군요. 경쟁사가 다시 올라온건 보긴 했었는데... 저도 전주시 OpenAPI로 버스 정보 받아서 1인 개발로 서비스 하나 운영중입니다 :)
@김선규님‍ // 저도 그 쪽일 것 같습니다. 그래서 개발툴은 항상 공식사이트에서만 받아야 하는데...왠지 공식사이트가 아닌 곳에서 받다가 생긴 참사가 아닐까 싶습니다 -_-;
김선규
LINK
#98205619
IP 211.♡.193.182
02-09 2019-02-09 00:52:23 / 수정일: 2019-02-09 00:55:10
·
@미리르님
사실 애초에 컴이 털린 상태라면 프록시 서버를 심어서 & ssl 인증서를 조작해서 공홈에서 받아도 해킹된 버전이 받아지도록 조작할수도 있겠지요. 여튼 평소에 컴퓨터의 해킹 여부를 꼼꼼히 살펴봐야 할 것 같습니다.
삭제 되었습니다.
미리르
LINK
#98205728
IP 211.♡.244.144
02-09 2019-02-09 00:59:05
·
@김선규님 // 그렇긴 합니다. 중간자 공격을 한다던지... 이왕이면 다운로드 SHA-256 체크섬도 꼼꼼하게 확인하고 그러면 털릴 일은 없을텐데... 좀 이래저래 어찌 털린건지 궁금하긴 하네요.
투비세오
LINK
#98207074
IP 67.♡.72.226
02-09 2019-02-09 02:46:29
·
@eyebrow님 앱 개발자 분이 해당 내용에 대한 글을 올리셨네요. 계정 관리를 허술하게 한 것은 개인의 잘못이지만 잘못된 정보로 개발자분이 매도되는 일은 없으면 합니다.

https://www.clien.net/service/board/park/13142907?od=T31&po=0&category=&groupCd=CLIEN
prop
LINK
#98209771
IP 110.♡.51.224
02-09 2019-02-09 09:28:46 / 수정일: 2019-02-09 09:28:56
·
이름 지워주시는게 좋을거 같습니다
모른다
LINK
#98204923
IP 115.♡.168.216
02-09 2019-02-09 00:19:36
·
개발자는 진짜 간첩혐의를 받겠군요.
Hoosiers
LINK
#98205013
IP 223.♡.8.198
02-09 2019-02-09 00:23:26 / 수정일: 2019-02-09 01:19:18
·
이건 무슨 ㅋㅋㅋㅋㅋㅋ 충격적이네요
가리어
LINK
#98205197
IP 121.♡.108.191
02-09 2019-02-09 00:32:33
·
개발자 조사해봐야겠군요
리명훈씨 ㄸㄸ
나무우
LINK
#98205254
IP 221.♡.5.128
02-09 2019-02-09 00:35:12
·
제가 쓰고 있는 앱이랑 똑같은 이름에 디자인도 같은데 개발자가 다르네요..혼란스럽습니다 허허..앱이 편해서 좋긴했는데..
https://play.google.com/store/apps/details?id=com.busexpert.dgbus
세르시
LINK
#98205484
IP 1.♡.194.37
02-09 2019-02-09 00:46:37 / 수정일: 2019-02-09 00:47:04
·
나무우님이 다운받으신게 저 개발자가 계정바꿔서 새로 올린 앱입니다.
나무우
LINK
#98205534
IP 221.♡.5.128
02-09 2019-02-09 00:48:21
·
@세르시님 어우..바로 삭제해야겠네요;; 제꺼 개인정보 다 털렸을듯요 ㅜㅜㅜ
아름다운별
LINK
#98205627
IP 91.♡.174.174
02-09 2019-02-09 00:53:08 / 수정일: 2019-02-09 03:04:55
·
보니까 이 앱 출시일은 2018년 9월 22일이네요....
개발자라는 분이 내곡동에서 조사받고 계시는지는 모르겠으나 해명이 아직 없다는 것도 좀 문제 같고요

(+새벽 2시 넘어서 개발자분이 직접 올리셨네요. 경황이 없으셨다고 합니다)
삭제 되었습니다.
나무우
LINK
#98205697
IP 221.♡.5.128
02-09 2019-02-09 00:57:03
·
@-이도-님 아 그럼 지금 배포하는건 다행히도 악성코드는 없는거군요..근데 저 이 앱 초창기부터 썼었는데 언제 한번 다시 받으라고 공지 떴던거 같은데 하하하하하ㅏ하하.....내 정보...
여긴누구나는어디
LINK
#98205382
IP 121.♡.240.191
02-09 2019-02-09 00:41:42 / 수정일: 2019-02-09 00:42:16
·
와 키워드 ... 이건 빼박 북한소행이네요... ㄷㄷ
콜드보리차
LINK
#98205459
IP 223.♡.27.48
02-09 2019-02-09 00:45:33
·
겁나네요 ㅎㄷㄷ
소으
LINK
#98205561
IP 124.♡.185.159
02-09 2019-02-09 00:49:35
·
북한 사이버전사 소행인가요...
삭제 되었습니다.
미리르
LINK
#98205768
IP 211.♡.244.144
02-09 2019-02-09 01:00:37
·
문제의 프로그램을 만든 분이 전주시 공공데이터 공모전 초기의 최우수작이라 전주시에서 '직접' 표창 받았을겁니다.
저도 얼마 전 장려상 받을 때 장려상은 직접 표창할지 안할지 아직 모르겠다고 하다가 무산되어서 -_-;
애초에 공모전 신청할 때 연락 가능한 번호, 주소 제출해야해서... 전화로 수상 했다는 연락이랑 표창 혹시나 직접 못주게 되면 어떻게 받을지 물어보는 등등 전화 연락이 오니까 아마 개발자 본인은 확실하긴 할겁니다. 그러니 명예훼손에 걸릴 부분은 각도기 지참하시고 다들 조심하는게 나을 것 같습니다.
텔레토비
LINK
#98206680
IP 14.♡.237.169
02-09 2019-02-09 02:09:16
·
모바일은 잘 모르는디 컴터처럼 가상의 샌드박스같은데서 동적 분석하는걸 못하는건가요.
그런데 어찌 이제밝혀진건지 ㄷㄷ 맥아피 보안프로그램에 이상행위 탐지되서분석 한걸까요 ㄷㄷ
진짜메뚜기
LINK
#98206814
IP 211.♡.36.205
02-09 2019-02-09 02:20:31
·
모공에 개발자분이 글 올리셨어요
좋은별명
LINK
#98206831
IP 115.♡.139.41
02-09 2019-02-09 02:21:34
·
이건 구글을 족쳐야되는건데요. 거듭 주장하지만 스마트폰이 흔히 손안의 컴퓨터라지만 컴퓨터보단 더욱 개인화된 기기라서 보안에 영향주는 기능은 의도적으로 막아야되는데 공돌이 마인드로 접근하려고 하니 이런 참사가 끊이지 않는것으로 봅니다. 그나마 보안에 신경 쓴다는 애플 디바이스도 간간히 취약점 소식이 들려오는데 안드로이드는 스마트폰을 공돌이들의 장난감으로 다루려고해요
돼지삼계탕
LINK
#98206911
IP 122.♡.215.97
02-09 2019-02-09 02:29:25
·
https://www.clien.net/service/board/park/13142907?od=T31&po=0&category=&groupCd=CLIEN

모공에 개발자분이 글 올리셨나 보네요.

구글 계정 해킹에
인증서 해킹에
개발툴 악성코드까지 심어져있었다고.. ㄷㄷ
님최고
LINK
#98207139
IP 116.♡.155.16
02-09 2019-02-09 02:52:01
·
으허허.. 맨날 말도안되는 북한소행만 듣다가 이거 보니 진짜 북한 소행 같네요.
SpaceFunk
LINK
#98207574
IP 124.♡.220.22
02-09 2019-02-09 04:00:50 / 수정일: 2019-02-09 04:01:26
·
모공 개발자분 글을 보니 의아한 게...
git으로 소스 관리할 때
gradle 파일은 ignore 설정하지 않나요?
까만거북이
LINK
#98210303
IP 220.♡.98.97
02-09 2019-02-09 09:54:14
·
@SpaceFunk님 그게 저 같은 경우에는 때때로 귀찮으면 그냥 올리곤 하기도 해서.. 용량별로 과금되는 구조가 아니니까 개인 프로젝트 같은 경우에는 크게 신경 안 쓰기도 합니다.
다오니즘
LINK
#98208289
IP 61.♡.51.205
02-09 2019-02-09 07:13:11
·
북한이 북한했네유....
갈잎
LINK
#98208975
IP 203.♡.109.76
02-09 2019-02-09 08:33:24
·
안드로이드는 역시 보안이... 흠
삭제 되었습니다.
rexmir
LINK
#98209795
IP 223.♡.173.112
02-09 2019-02-09 09:30:00
·
어플 삭제하면 괜찮은가요? ㅜㅜ
네이처
LINK
#98209933
IP 211.♡.16.121
02-09 2019-02-09 09:36:48
·
정교하네요. 그럼 개발자분은..
백숙
LINK
#98210126
IP 175.♡.125.152
02-09 2019-02-09 09:46:01
·
엌 ㅋㅋㅋㅋㅋ
삭제 되었습니다.
babyvox
LINK
#98210551
IP 203.♡.188.115
02-09 2019-02-09 10:04:41
·
국정원, 기무사 단어가 눈에 확 들어 옵니다.

2개개 댓글 댓글 작업한 곳인데.....

국정원 아르씨에스(RCS), 이탈리아도 떠오르고...
으음15
LINK
#98214486
IP 14.♡.197.74
02-09 2019-02-09 12:48:36 / 수정일: 2019-02-09 12:48:42
·
이건 북한이 한거죠
좋은날왔으면
LINK
#98216342
IP 125.♡.98.59
02-09 2019-02-09 14:03:19
·
과연 일본과 중국은 혐의에서 자유로울 수 있을까요...
킬라시
LINK
#98218860
IP 211.♡.150.14
02-09 2019-02-09 15:47:04
·
결론까지 전부다 가져오면 저작권 위반인거아닌가요
BBangSik
LINK
#98222510
IP 221.♡.152.153
02-09 2019-02-09 18:48:20
·
Limited Copyright Permission: Subject to the terms of an applicable software or service license or other written agreement, McAfee grants You permission under its copyrights to display, copy, or download the Materials from a McAfee Site for personal, non-commercial and informational use only, provided that You DO NOT:
Modify the Materials;Remove or alter any copyright or other proprietary notices contained in the Materials;Frame or utilize framing techniques, to display the Materials at a domain not owned by McAfee; orUse any McAfee-owned mark or product name as a meta-tag or other “hidden text” for search engines in a manner that does not inure benefit to McAfee.
ck노움
LINK
#98220257
IP 117.♡.13.159
02-09 2019-02-09 16:59:46
·
개발자의 보안 인식이 이렇게 중요합니다.
J2J2
LINK
#98222517
IP 221.♡.222.217
02-09 2019-02-09 18:48:34
·
북한보다 전 왜 국정원이 의심가는걸까요.


삭제 되었습니다.
진짜메뚜기
LINK
#98244660
IP 211.♡.36.205
02-10 2019-02-10 17:05:47
·
다들 글을 제대로 안읽으시는듯..
삭제 되었습니다.
새로운 댓글이 없습니다.
이미지 최대 업로드 용량 15 MB / 업로드 가능 확장자 jpg,gif,png,jpeg
지나치게 큰 이미지의 크기는 조정될 수 있습니다.
목록으로
글쓰기
글쓰기
목록으로 댓글보기 이전글 다음글
아이디·비번 찾기 회원가입
이용규칙 운영알림판 운영소통 재검토요청 도움말 버그신고
고객지원
  • 게시물 삭제 요청
  • 쪽지 신고
  • 닉네임 신고
  • 제보 및 기타 제안
개인정보처리방침 이용약관 책임의 한계와 법적고지 청소년 보호정책
©   •  CLIEN.NET