1. 개요


잉카인터넷 대응팀은 국내 유명 정치관련 사이트은밀히 변조되어 현재까지 마이크로 소프트(MS)사의 정식 보안패치가 제공되고 있지 않은 IE Zero-Day (CVE-2012-4969) 취약점 공격이 진행 중인 정황을 확인하였다. 지금까지 국내 특정 웹 사이트가 중개 경유지로 악용된 사례는 몇건 보고된 바 있지만 실제 국내 이용자들을 대상으로 한 본격적인 공격이 발견되기는 처음이다. 특히, 악성파일의 유포지와 경유지 등이 모두 정치 관련 사이트라는 점에서 주목되며, 인터넷 익스플로러의 웹 브라우저 사용자가 사이트 접속만으로 악성파일에 노출될 수 있다는 점과 인터넷 익스플로러 이용자가 매우 많다는 점에서 특별한 주의가 요구된다.

또한, 이번 주말기간 다양한 국내 웹 사이트를 통해서 불특정 다수를 대상으로 한 다양한 공격이 진행될 것으로 예상되고 있는만큼, 철저한 대비와 준비가 필요할 것으로 보여진다.

마이크로 소프트사의 공식보안 업데이트가 출시되기 전까지 응급 취약점 제거파일(Microsoft Fix it)을 설치하거나 IE 브라우저가 아닌 크롬이나 파이어폭스 등의 별도 웹 브라우저를 임시로 대체하여 사용하는 것도 하나의 대응책이라 할 수 있다. 



2. 악성파일 유포 정보

[긴급]국내 웹 사이트를 통해서 IE 0-Day (CVE-2012-4969) 공격 진행 중
http://erteam.nprotect.com/335

[주의]새로운 Internet Explorer Zero-Day 취약점 발견
http://erteam.nprotect.com/334

국내 특정 정치 관련 사이트의 메인 페이지 하단부분에 다음과 같은 아이프레임 명령어가 불법적으로 포함되어져 있고, 해당 파일에 의해서  4개의 또 다른 htm 파일이 연결된다.


"IF.htm" 파일은 윈도우 운영체제 버전, 언어팩, 웹 브라우저 버전 등의 다양한 타깃 플랫폼을 사전 체크하고 언어별 조건에 따라서 각기 다른 Exploit 코드를 실행하도록 선언한다.


악성파일 제작자는 최종 Exploit 코드를 4개로 구분하여 사용하였는데 영어(EN), 중국어(ZH), 일어(JA), 한국어(KO) 등의 순서로 조건문이 실행되도록 작성하였다.


각각의 htm 파일들은 language=navigator.browser Language 선언부분만 다르게 구성되어 있으며, 나머지 코드영역은 모두 동일하다.



또한, 공통적으로 포함되어 있는 "iframe.html" 파일에 의해서 CVE-2012-4969 취약점이 연동되도록 제작되어 있고 기존의 SWF 플래시(flash) 파일을 이용하지는 않고, html 파일로 통합한 기법을 이용했다.


보안 취약점이 정상적으로 작동하게 되면 국내의 또 다른 사이트로 접속하여 암호화되어 있는 "inst.cab" 파일을 다운로드하여, 정상적인 EXE 파일 형태로 복호화하고 실행한다.

"inst.cab" 파일은 마치 CAB 압축포맷처럼 파일명을 위장하고 있지만, 실제로는 HEX 값으로 XOR 연산 암호화(0x95)가 되어 있는 exe 실행파일이다.


악성파일이 다운로드와 복호화 과정을 정상적으로 수행하고, 실행이 되면 임시폴더(Temp)에 "cacheclr.exe" 라는 파일명으로 복사본을 생성하여 두고, 재부팅시 자동실행되도록 만든다.



파일은 실행되는 즉시 국내 보안업체 도메인과 유사(모방)하게 만들어진 미국의 특정 호스트(alyac.flnet.org, ahalab.4irc.com, alync.suroot.com)로 접속하여 추가 명령을 대기하며, 레지스트리를 추가해서 재부팅시 자동실행되도록 한다. 재부팅시에는 inst.exe 대신에 cacheclr.exe 파일이 연결된다.




원격 C&C(Command and Contro) 호스트 서버에 접속되면 일반적인 원격제어 기능 등의 다양한 보안위협에 놓이게 될 수 있으며, 사용자의 모든 컴퓨터 권한이 공격자에게 노출되어 예기치 못한 피해를 입을 수 있게 된다.

3. 마무리

잉카인터넷 대응팀은 새로운 IE Zero-Day 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 변종 보안위협에 대한 이상징후를 예의주시하고 있다. 또한, 금일 변종을 다수 발견되어 nProtect Anti-Virus 제품군에 지속적으로 추가를 진행하고 있는 상황이다.

마이크로 소프트사는 해당 취약점에 대한 공식패치 파일 배포 이전에 취약점을 제거하기 위한 Microsoft Fix it 파일을 공식적으로 배포하고 있다. 아래 사이트에 접속하여 설치용인 Microsoft Fix it 50939 버튼을 클릭하여 설치하면 된다. 참고로 50938 버튼은 Fix it 을 제거할 때 사용하는 파일이다.


새롭게 유포되는 악성파일 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.


위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://erteam.nprotect.com/334


Posted by nProtect & TACHYON
1. 개요


잉카인터넷 대응팀은 2012년 09월 18일 공식블로그를 통해서 보고한 IE 0-Day 취약점 공격국내 웹 사이트를 악용해서 추가로 공격이 진행되는 것을 발견하였다. 현재 변형된 공격이 꾸준히 발견되고 있고, 아직 공식적인 보안 업데이트(패치)가 일반에 배포되고 있지 않은 상태이므로, 인터넷 이용자들의 각별한 주의가 필요한 상황이다. 따라서 사용자들은 보안패치가 출시되기 전까지 당분간 만이라도 인터넷 익스플로러(IE)가 아닌 별도의 웹 브라우저를 임시로 사용하는 것도 하나의 방법이다. 현재 악성파일이 발견된 국내 사이트는 K대학교 부동산 대학원으로서 악성파일 중개지 역할로 악용되고 있다.



마이크로 소프트사에서는 해당 취약점에 대한 보안권고문을 정식으로 게시한 상태이고, 인터넷 익스플로러 6~9 버전의 원격 코드 실행 문제점을 조사하고 있다고 밝힌 상태이다. 잉카인터넷 대응팀은 변종 악성파일들에 대한 탐지 및 치료 기능을 nProtect 제품군에 긴급 업데이트 하는 한편 보안 모니터링을 한층 강화하고 있다.

[Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점]
http://technet.microsoft.com/ko-kr/security/advisory/2757760
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4969

2. 악성파일 정보

[주의]새로운 Internet Explorer Zero-Day 취약점 발견
http://erteam.nprotect.com/334

아직 보안패치가 공식적으로 출시되지 않은 이른바 Zero-Day 공격(2012년 09월 19일 현재)형태로 진행 중이며, 국내외 웹 사이트 등에서 악용이 증가하고 있다. 2012년 09월 19일에는 국내 사이트를 경유지로 악용되는 경우가 2건(이상) 발견되고 있어, 시간이 지남에 따라 많은 사이트가 악용될 가능성이 높을 것으로 예상된다.

이번에 발견된 "index.html" 파일은 처음 보고된 형태와 거의 동일한 코드가 사용되었고, 플래시 악성파일명도 "Moh2010.swf" 이름으로 동일하다. 

index.html
https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a820d814ee4dd50d64cddf039c2a06463a5/analysis/

Moh2010.swf
https://www.virustotal.com/file/151ce6cb46a03c6f3e0196fd7e0047ee3d41c0dc76367e50f5dce039c0172a2d/analysis/

Miralbus.html
https://www.virustotal.com/file/e89f30448878088b5c0f4585f0e91634dbe81257056016df5606d8d622433de8/analysis/


"Moh2010.swf" 플래시 파일은 내부 액션스크립트를 통해서 "Miralbus.html" 파일 실행을 하도록 구성되어 있다.


"Miralbus.html" 파일은 IE 7.0과 8.0 버전을 감염 대상으로 구성되어 있고, 다음과 같은 악성 스크립트 기능을 수행한다.


Exploit 코드가 실행되면 K대학교 대학원 사이트에 등록되어 있고 XOR 연산으로 부분 암호화(0x70)되어 있는 "pp.exe" 파일이 다운로드 감염이 시도된다.


"pp.exe" 악성파일이 정상적으로 실행되면 특정 조건에 따라서 가변적인 위치에 "wlupdate.exe" 파일을 생성하고 실행한다. 폴더 조건에 따라 생성되는 경로는 임의로 변경되기 때문에 악성파일이 존재하는 위치는 감염된 컴퓨터마다 각기 다를 수 있다.

또한, 동일한 경로에 "user.dll" 파일과 "LISFL.dll" 이름의 파일도 함께 생성한다.


"LISFL.dll" 파일에는 다음과 같은 특정 사이트 정보가 등록되며, 악성파일이 접속하는 명령 서버로 이용되며, 감염 컴퓨터의 물리적 MAC 주소가 전송 시도된다. 이것만으로도 이미 국내 사이트 2곳이 악성파일 제작자에게 관리자 권한이 탈취되어 악용되고 있다는 것을 확인할 수 있다.


악성파일은 공격자와 호스트 C&C 서버의 추가 명령 및 통신조건 등에 따라서 다양한 공격을 수행할 수 있으므로, 악성파일에 감염되지 않도록 세심한 주의가 필요하다.

3. 마무리

잉카인터넷 대응팀은 새로운 IE Zero-Day 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 변종 보안위협에 대한 이상징후를 예의주시하고 있다. 또한, 금일 변종을 다수 발견되어 nProtect Anti-Virus 제품군에 지속적으로 추가를 진행하고 있는 상황이다.

새롭게 유포되는 악성파일 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://erteam.nprotect.com/334



 

Posted by nProtect & TACHYON
1. 개요


2012년 09월 14일 이탈리아의 특정 사이트에서 마이크로소프트사의 웹 브라우저인 인터넷 익스플로러(Internet Explorer) 제품에서 악성파일 유포 등에 악용될 수 있는 새로운 Zero-Day 취약점 코드가 발견되었다. Zero-Day Exploit 코드는 아직 공식적인 보안패치가 발표되지 않은 취약점을 이용하는 악성파일로서 짧은 시간에 파급효과가 커질 수 있는 위험성을 가지고 있으므로, 용자들의 각별한 주의가 요구된다. 마이크로 소프트사는 현재 해당 취약점을 분석하고 있는 것으로 알려져 있다. 악성파일들은 이탈리아의 겨울용품 사이트에서 처음 보고되었으며, 현재는 Exploit Code 파일들은 모두 제거된 상황이다. 또한, 국내에서는 해당 이탈리아 사이트 접속 자체가 차단 조치된 상태이다.



2. 악성파일 정보

이번에 보고된 IE 0-Day 기능을 가진 악성파일은 이탈리아의 겨울용품 사이트의 특정 경로에 등록된 상태로 처음 발견되었다.

2012년 09월 14일에 악성파일들이 등록되었으며, 09월 16일에 악성파일들이 제거되었다. 현재는 exp.txt 파일만 등록되어 있는 상태이다.



보고된 악성파일들의 바이러스토탈 진단현황은 다음과 같다.

[exploit.html]
https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a820d814ee4dd50d64cddf039c2a06463a5/analysis/

[Moh2010.swf]
https://www.virustotal.com/file/70f6a2c2976248221c251d9965ff2313bc0ed0aebb098513d76de6d8396a7125/analysis/

[Protect.html]
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/

[111.exe]
https://www.virustotal.com/file/85ad20e922f5e9d497ec06ff8db5af81fbdcbb6e8e63dc426b8faf40d5cc32c6/analysis/

"exploit.html" 파일은 Moh2010.swf 플래시 파일을 실행하게 되는데, Moh2010.swf 파일은 DoSWF(http://www.doswf.com/) 프로그램으로 플래시 파일이 암호화되어 있고, 내부에는 아이프레임 스크립트 명령어를 통해서 "Protect.html" 파일이 실행되도록 구성되어 있다.



"Protect.html" 파일은 인터넷 익스플로러 버전 7과 8 을 타깃으로 작동하며, 추후 "111.exe" 파일을 설치시도한다. "111.exe" 파일은 일부분이 XOR 연산방식으로 암호화되어 있다.



"111.exe" 파일이 실행되면 시스템폴더 경로에 "mspmsnsv.dll" 이름의 악성파일을 추가로 설치하고, 특정 호스트로 접속을 시도한다.

3. 마무리


잉카인터넷 대응팀은 새로운 IE Zero-Day 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 유관 보안위협에 대한 이상징후를 예의주시하고 있다.

새롭게 유포되는 악성파일 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/


 

Posted by nProtect & TACHYON
1. 개 요

 

잉카인터넷 대응팀은 국내 인터넷뱅킹용 악성파일(KRBanker)을 제작하여 유포 중인 금융 사이버범죄 조직들의 활동을 지속적으로 추적관제 하고 있다. 그런 가운데 2012년 09월 12일 국내 다수의 웹 사이트를 해킹하여 원격제어(Remote Control) 기능을 탑재한 악성파일을 추가로 배포 중인 정황을 포착하였다. 해당 사이버범죄 조직들은 꾸준히 국내 인터넷 뱅킹 사용자들을 주요 표적으로 원격제어와 피싱(파밍) 기능의 악성파일 변종을 끊임없이 제작하여 유포하고 있다. 이번에 새롭게 변경된 서버에는 실제 인터넷뱅킹용 악성파일이 다수 존재하지만 아직 직접적인 배포는 시작하지 않고 있고, 원격제어 기능을 가진 Gh0st RAT(Remote Administration Tool) 변종을 사용하여 감염된 사용자들의 정보수집 및 원격제어(감시)를 시도하고 있다. 공격자들은 초기부터 KRBanker 종류와 Backdoor 기능의 악성파일을 복합적으로 사용하고 있다. 





2. 악성파일 정보

현재 악성파일은 해킹된 국내 다수의 웹 사이트에 IFRAME 코드가 삽입된 형태로 로딩되며, 난독화된 JSXX 0.44 VIP 악성 스크립트(index.html)를 링크하여 실행되도록 만든다.

 
연결되어 있는 악성 index.html 파일은 다시 JAVA 프로그램의 보안취약점인 CVE-2012-1723 Exploit 코드를 이용하여 사용자 컴퓨터에 악성파일 설치를 시도한다.


보안취약점이 정상적으로 작동되면 사용자 컴퓨터에 "abcdef.exe" 라는 이름의 악성파일이 사용자 몰래 설치되고 실행된다. 악성파일이 실행되면 시스템폴더에 "bits.dll" 이름의 악성파일이 숨김속성으로 설치된다.

"bits.dll" 파일은 svchost.exe 프로세스에 [Background Intelligent Transfer Service] 이름으로 등록되며, 서비스 이름은 BITS 이다.


서비스가 정상적으로 동작하게 되면 IP주소 199.188.105.75 호스트로 접속을 시도하며, 공격자의 추가적인 명령을 대기하게 된다. 해당 악성파일은 중국에서 개발되어 소스코드가 공개되어 있는 Gh0st RAT 종류로 다양한 원격제어 기능을 수행할 수 있다.

 
공격자는 아래와 같은 서버관리 프로그램을 통해서 악성파일에 감염된 사용자(일명 좀비PC)들을 원격으로 제어할 수 있는 권한을 획득하게 된다. 사용할 수 있는 권한은 다음과 같다.


대표적으로 File Manager (파일 관리자)기능을 통해서 감염된 사용자의 각 드라이브를 검색해 볼 수도 있으며 그외 실시간 스크린캡처, 키로깅, 리모트 쉘 명령, 시스템 프로세스 체크, 웹캠 감시, 오디오 저장, 컴퓨터 종료/재시작, 추가 악성파일 다운로드 등 일반 컴퓨터 사용자가 수행할 수 있는 거의 모든 명령을 공격자가 진행할 수 있다.

 




3. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.



Posted by nProtect & TACHYON

1. 개 요


최근 해외 보안 업체에 의해 안드로이드 OS 기반의 스마트기기 사용자 중 일본 여성 사용자들을 대상으로한 악성 애플리케이션에 대한 보고가 있었다. 보통 이성을 대상으로 하거나 선정적인 주제로 사용자들을 현혹시킬 목적을 가지는 경우 대부분 그 대상이 남성이 주를 이뤘으나 이번 악성 애플리케이션은 여성 사용자들을 대상으로 했다는 점에서 주목할만 하다. 또한, 해당 악성 애플리케이션은 일본 여성 사용자들을 대상으로 유포가 이루어지고 있지만 애플리케이션 자체는 국내 환경의 스마트폰에서도 설치가 이루어질 경우 개인정보 등에 대한 유출이 이루어질 수 있는 만큼 애플리케이션의 선별적인 설치에 있어 사용자들의 각별한 주의가 요망되고 있다.

  

2. 유포 및 감염 증상


해당 악성 애플리케이션은 2가지의 유포 방식을 가진다고 알려져 있다.


하나는 돈을 쉽게 벌 수 있는 방법과 관련한 제목의 스팸성 이메일을 발송하여, 내부에 포함된 링크 클릭을 유도하는 방법이며, 또다른 하나의 방법은 다른 남성과의 소개를 주선하는 스팸메일의 링크 클릭을 유도하는 방법이다. 두가지 방법 모두 링크 클릭을 통해 악성 애플리케이션에 대한 다운로드 및 설치를 유도하게 된다.

▶ 분석 정보

※ 전체 악성 동작 요약

- IMEI 정보 수집 및 외부 유출 시도
- 주소록 정보 수집(이름, 전화번호, 이메일 계정) 및 외부 유출 시도
- 특정 사이트 접속 [http://58.(생략).(생략).229//(생략)/addressBookRegist] (정보유출 URL)


해당 악성 애플리케이션은 설치 시 아래의 그림과 같이 특정 권한을 요구하게 된다.


아래의 그림은 "AndroidManifest.xml" 파일 내부에 선언된 전체 권한을 보여주고 있다.


해당 악성 애플리케이션은 "환경설정" -> "응용프로그램" -> "응용프로그램 관리"를 통해 아래의 그림과 같이 설치 여부를 확인할 수 있다.

  

해당 악성 애플리케이션은 내부에 별도의 리시버나 서비스는 등록되어 있지 않으며, 실행 시 아래의 그림과 같이 1 -> 0 으로 카운팅 후 특정 메시지를 메인 액티비티에 뿌려주는 것으로 생명주기를 다하게 된다.


위의 카운팅은 아래의 일부 코드를 통해 반복 실행 형식으로 구현되어 있으며, 이와 함께 개인 정보 및 단말기 정보를 수집하여 외부 특정 사이트로 유출을 시도하게 된다.


아래는 각종 정보 수집 및 수집된 정보의 외부 유출을 시도하는 코드의 일부분을 보여주고 있다.

클릭할 경우 확대된 화면을 보실 수 있습니다.


※ 정보 유출 코드의 상세 정보

빨간색 박스는 아래의 일부코드와 같이 타 클래스 참조를 통해 IMEI 정보를 수집하고 있다.


초록색 박스는 감염된 스마트폰의 전화번호를 수집하고 있다.

파란색 박스는 안드로이드 OS 버전의 분기점이 존재하는데 Android 1.6 이전과 이후 버전으로 분기하게 된다. 그 이유는 안드로이드 OS가 버전업 되면서 주소록 수집에 사용되는 API의 변경이 있었기 때문이다. 해당 악성 애플리케이션은 이와 같이 분기점을 두어 모든 버전에서 주소록 정보를 수집할 수 있도록 구성되어 있다.

아래의 코드는 감염된 스마트폰이 Android 1.6 버전 이상일 경우일때, 주소록 정보를 수집하기 위한 코드의 일부를 보여주고 있다.

클릭할 경우 확대된 화면을 보실 수 있습니다.


위 코드를 통해 주소록 정보에서 이름, 전화번호, 이메일 계정 정보를 수집하고 있는 것을 확인할 수 있다.


해당 악성 애플리케이션은 추가적인 스팸발송 등의 악의적인 목적을 위해 각종 정보(주소록, IMEI 등의 개인/단말기 정보)를 불법 수집하는 기능을 수행하는 것으로 추정되고 있다.

3. 예방 조치 방법

점점 세계 각국에서 실질적으로 금전적 목적 등을 가지는 악성 애플리케이션의 유포 및 감염 사례가 보고되고 있다. 위의 악성 애플리케이션 또한 국내 스마트폰 환경에서도 정보 수집 및 유출 등의 악성 동작이 충분히 가능하다.

우리나라도 언제까지 스마트폰 악성 애플리케이션으로 부터 안전하다는 보장이 없다는 것이다. 현재까지는 스마트폰의 안전한 사용을 위한 인식 등이 제대로 갖춰져 있지 않은 상태에서 각종 마켓 등 웹을 통해 전세계에 보급되고 있는 애플리케이션의 설치가 가능하다. 그러므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.Loozfon.A
- Trojan-Spy/Android.Loozfon.B





Posted by nProtect & TACHYON
1. 국내 인터넷뱅킹 이용자를 겨냥한 보안위협 기승

잉카인터넷 대응팀은 국내 시중은행의 전자금융정보를 집중적으로 공략하고 있는 사이버범죄 조직에 대한 추적을 꾸준히 추진하고 있고, 거의 매일 새롭게 제작된 악성파일 유포지와 샘플들을 수집하여 금융보안 강화체계를 상시유지하고 있다. 그런 가운데 금융전문 사이버범죄 조직들은 유출된 개인정보를 남용하여 불특정다수의 스마트폰 이용자들에게 SMS 금융피싱 문구를 끈질기게 무단 배포함과 동시에 악성파일과 호스트파일 변조기법을 통한 피싱, 파밍공격도 동시다발적으로 확대하고 있는 상황이다. 


최근 수개월 사이에 전자금융 사기형태의 보안위협이 눈에 띄게 급증하고 있다는 점과 나날이 정교화, 다양화되고 있다는 점도 반드시 유념하여야 한다. 이용자들은 이미 알려져 있는 주요 보안취약점을 제거하는 등 개인보안을 강도 높게 유지하고 철저히 대비해야만 자신의 금융계좌에 안전하게 보관되어 있는 소중한 예금이 악의적 사이버범죄 조직들에 의해서 불법적으로 무단 인출되는 피해를 미연에 예방할 수 있다. 이처럼 전자금융 서비스가 새로운 보안위기에 직면하고 있지만, 사이버범죄 조직들이 상습적으로 사칭하여 악용하고 있는 ["보안승급(강화)서비스"는 모두 거짓]이라는 내용을 사전에 충분히 인지하고 있는 것이 무엇보다 중요하며, 국내 금융사에서는 평상시와 다르게 과도하게 금융정보 입력을 요구하지 않는다는 점도 반드시 명심해야 할 부분이다.

2. 불법적 웹 해킹과 악성파일 유포는 기본

그동안 해외 인터넷뱅킹 사용자들을 표적으로 한 악성파일들은 꽤 오래전부터 문제를 일으키고 있었지만, 국내 인터넷뱅킹 사용자들을 집중적으로 노린 악성파일 형태는 그리 오래되지 않았다. 앞서 2011년 05월 경 잉카인터넷이 그 실체를 첫 공식보고한 이후 약 1년이 지난 2012년 05월 경부터 호스트파일(hosts) 변조를 이용한 인터넷뱅킹용 악성파일 형태가 급격히 증가하고 있는 상황이다. 


개인 금융정보 탈취를 목적으로 한 사이버범죄 조직은 정상적으로 운용중인 국내 웹 사이트를 무단 해킹하여 실제 배포 중인 정상적인 미디어 재생프로그램 설치본에 악성파일을 교묘하게 포함시키거나 파일공유서비스 중에 하나인 웹하드 전용프로그램에 악성파일을 포함하여 배포하는 등 지능적인 해킹수법과 결합하여 악성파일을 유포시킨 바 있다.

그외에도 다수의 국내 웹 사이트를 변조하여 악의적인 스크립트를 삽입하여 보안이 취약한 이용자들이 웹 사이트 접근만으로 자동으로 악성파일에 노출되도록 만드는 수법을 통해서 다수의 이용자들을 공격하고 있는 심각한 상황이 거의 매일 이어지고 있다.

2012년 09월 03일에는 공격자가 악성 스크립트를 Mass Web Injection Attack 과정에서 공격명령을 잘못 입력하여 실제 정상적인 공격으로 연결되지 못하는 사례도 발견된 바 있다. "iframe src=http" 명령어 형태로 삽입되지 않아 코드명령이 정상적으로 처리되지 않는다.


또한, 악성파일 제작자가 한글 Windows 운영체제를 자유자재로 사용하고 있다는 정황도 다수 포착되고 있다. 그동안 악성파일을 제작할 때 사용하는 프로그래밍 언어로는 한국어, 중국어 등이 복합적으로 쓰이고 있으며, 2012년 09월 03일에 발견된 관련 파일의 내부코드에서는 다음과 같이 한글 경로가 포함된 문구가 발견되기도 하였다.

 


더불어 한국내 금융보안 솔루션 모듈처럼 위장하거나 Kaspersky 보안기업의 허위 디지털 서명을 포함했던 경우도 존재한다.


3. 호스트파일(hosts) 변조를 통한 피싱(파밍)사이트로 바꿔치기

인터넷뱅킹용 악성 파일류를 조직적으로 배포하고 유포하는 범죄자들은 대체로 윈도우 운영체제에서 사용하는 호스트파일(hosts)을 변조하여 국내 대표 금융사이트 도메인을 피싱사이트 IP주소로 연결되도록 변경하는 수법을 사용하고 있다.


피싱 IP주소는 유관기관에서 지속적으로 차단조치하고 있지만, 공격자들도 계속해서 새로운 IP주소를 만들어 사용하고 있는 상황이다. 인터넷뱅킹 이용자가 악성파일에 의해서 호스트파일이 위와같은 악의적인 IP주소로 강제 연결될 경우 정교하게 조작된 가짜 인터넷뱅킹 사이트로 접속하게 되며, 사전에 치밀하게 준비된 금융정보 입력 요구화면을 접하게 된다. 그러나 자세히 보면 일부 오타가 존재하는 등 허술한 모습도 존재한다.


4. 보안승급(강화)서비스 = 전자금융사기 => 금융계좌 불법 해킹시도

전자금융사기를 진행하기 위해서 사이버범죄 조직들은 정상적인 인터넷뱅킹 사이트를 정교하게 모방하여 피싱사이트를 만든 후 아래와 같이 인터넷뱅킹 보안서비스라는 명목으로 사용자들을 현혹한다.

실제 정상적인 인터넷뱅킹 사이트에서는 보안프로그램 배포 등의 서비스를 진행하고 있지만, 아래와 같이 보안강화서비스 또는 보안승급서비스라는 이름으로 사용자의 개인정보를 입력하도록 요구하지는 않는다. 따라서 인터넷뱅킹 이용자들은 아래와 같은 허위 서비스에 현혹되지 않도록 하는 것이 무엇보다 중요하고, 아래 화면을 잘 숙지해 두어 유사한 보안위협에 노출되지 않도록 하여야 한다.


특히, 아래와 같인 주민번호 외에 인터넷뱅킹에 필요한 거의 모든 정보를 과도하게 요구하여 탈취를 시도하기 때문에 각별한 주의가 필요하고, 보안카드의 모든 번호는 절대로 입력하거나 외부에 노출시켜서는 안된다. 



5. 전자금융사기 아는 것이 힘!

인터넷 뱅킹 이용자를 노린 새로운 악성파일이 거의 매일 새롭게 출현하고 있는 심각한 상황이다. 나 자신도 모르게 악성파일에 노출될 수 있다는 점과 전자금융의 보안위협이 급격히 증가하고 있다는 점에서 아래와 같은 정보들을 숙지하여 예금인출 피해를 예방하도록 하자.

[긴급]전자금융거래 위협 가속화, 무료백신 업데이트 방해공작 수행
http://erteam.nprotect.com/328

[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장
http://erteam.nprotect.com/326

[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
http://erteam.nprotect.com/324

[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
http://erteam.nprotect.com/294

[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
http://erteam.nprotect.com/320

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
http://erteam.nprotect.com/313

[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
http://erteam.nprotect.com/258

[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
http://erteam.nprotect.com/160

 

Posted by nProtect & TACHYON
1. 개요


잉카인터넷 대응팀은 2012년 08월 31일 국내 인터넷뱅킹 사용자들을 노린 또 다른 악성파일이 국내 다수의 웹 사이트가 해킹되어 중개지로 악용된 채 유포 중인 정황을 포착하였다. 이번에 새롭게 유포 중인 악성파일은 중국에서 개발되어 최근 다양한 악성파일 유포에 널리 사용되고 있는 "JSXX 0.44 VIP" 자바스크립트 난독화 Exploit 코드와 접목을 시작했으며, JAVA 취약점과 Flash 취약점 등을 꾸준히 이용하고 있는 상태이다. 특히, 이번에는 인터넷뱅킹용 악성파일을 배포하기 이전 시점에 사전침투용 악성파일을 지능적으로 먼저 투입시켜 국내에 사용자가 가장 많은 알약(ALYac)과 V3Lite 무료 백신제품들의 정상적인 업데이트 방해 등을 우선시도한다. 이는 본격적인 인터넷뱅킹용 악성파일을 유포하기 이전에 악성파일 자신의 보호와 사전 정보수집, 사이버범죄 활동에 필요한 교두보 확보를 위한 치밀한 계획으로 볼 수 있다.

이처럼 국내 전자금융거래에 대한 보안위협이 심각한 상태로 부상하고 있다는 것을 유념해야 한다. 그리고 국내 인터넷뱅킹 사용자들은 보안의 중요성을 인식하여 전자금융거래용 악성파일에 대한 대비가 철저하게 요구된다. 잉카인터넷 대응팀은 해당 내용을 정부 유관기관에 유포지 및 경유지 목록 등을 제공하여 국내에서의 접속차단 협조를 요청한 상태이다.



[필수 보안 업데이트 권고]
※ 현재 악성파일 유포에 남용되는 보안취약점은 대표적으로 JAVA 와 Flash Player 이므로, 아래의 사이트에서 최신버전으로 업데이트를 하면 충분한 사전예방 효과가 있다. 물론 새로운 (0-Day) 취약점이 지속적으로 보고되고 있으므로, 정기적으로 최신버전을 설치하는 습관이 중요하다.

A. JAVA 최신 업데이트

http://www.java.com/ko/

B. Flash Player 최신 업데이트
http://get.adobe.com/kr/flashplayer/

[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장
http://erteam.nprotect.com/326

[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
http://erteam.nprotect.com/324

[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
http://erteam.nprotect.com/320

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
http://erteam.nprotect.com/313

[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
http://erteam.nprotect.com/258

[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
http://erteam.nprotect.com/294

[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
http://erteam.nprotect.com/160

2. 악성파일 대응 및 전파 수법

잉카인터넷 대응팀은 국내 인터넷뱅킹용 악성파일(KRBanker 류) 전파에 대한 집중 모니터링을 유지하고 있으며, 현재 해당 사이버 범죄자들의 활동반경을 지속적으로 추적하고 있다. 이를 통해서 새로운 악성파일 유포를 시작하는 즉시 긴급대응을 상시체계로 진행하고 있으며, 각 금융고객사에 제공되는 nProtect 금융보안 솔루션에 즉각적인 업데이트를 제공하고 있다.

아래 사례는 신문기사를 제공하는 국내 특정 인터넷 언론사이트이며 현재 이 시간 해킹되어 방치된 상태로, 인터넷뱅킹용 악성파일이 전파 중인 상황이다. 물론 이외에도 교회, 학교, 기업, 개인커뮤니티 등 다수의 사이트가 동시다발적으로 새롭게 해킹되고 있는 심각한 상황임을 감안하면 앞으로도 꾸준한 보안위협이 진행될 것으로 예상된다.

악성파일은 특정 보안취약점이 존재하는 불특정 다수를 대상으로 전파를 시도하며, 국내의 특정 웹 사이트들이 다수 불법해킹되어 아이프레임(iframe src) 코드가 삽입되고 있는 상태이다.


해당 사이트의 중간부분에 불법적으로 아이프레임 코드가 삽입되어, 또 다른 악성파일 중개지로 연결되는 것을 확인해 볼 수 있다.


강제로 연결되는 사이트는 호스트 위치가 중국 베이징이며, 아래와 같이 JSXX 0.44 VIP 라는 일종의 자바스크립트 암호화(Encrypt) 도구를 이용해서 난독화되어 있다. 보통 악성파일 유포자들은 보안제품들의 유사변종 탐지우회와 분석가들의 신속한 분석방해 등을 목적으로 악성 자바스크립트 코드를 이처럼 암호화하여 유포하게 된다.


해당 스크립트는 또 다시 플래시와 자바 취약점을 연결하여 공격을 진행하며, 1차 침투목적의 서버파일인 "shuli.exe" 을 사용자 몰래 은밀하게 설치시킨다. 악성파일은 마이크로 소프트사의 Console IME(conime.exe) 파일처럼 아이콘과 등록 정보 등을 위장하고 있다. 


악성파일은 내부적으로 중국어로 제작되어 있으며, 국내에서 사용자가 많은 대표 무료백신인 이스트소프트의 알약(ALYac)과 안랩의 V3Lite 제품의 업데이트 방지 기능 등을 수행하여, 이후 유포되는 인터넷뱅킹용의 악성파일 대응을 무력화하는데 초점을 두고 있어, 차후 유사변종 유입에 대한 철저한 대비가 필요할 것으로 예상된다.


악성파일은 1차 악성파일의 기능을 수행한 후 조건에 따라 본격적인 인터넷뱅킹용 악성파일을 설치하게 된다. 또한, 공격자는 실시간으로 악성파일 설치수(감염자수)를 조회하면서 지능적인 범죄활동을 수행한다. 

아래 화면은 잉카인터넷 대응팀이 악성파일 제작자들의 서버를 추적하여 역으로 파악한 내용이고, 2012년 08월 31일 오전 11시 20분경 기준 189명이 악성파일에 노출되었다는 것을 확인해 볼 수 있다.


시간에 비례하여 감염자는 꾸준하게 증가하고 있으며, 11시 30분 경 600 여명이 유포 사이트로 접근되었고, 208명으로 감염자가 증가하였다. 공격자는 이것을 통해서 실시간으로 악성파일이 얼마나 효과적으로 전파 중인지 파악할 수 있고, 차단이 될 경우 즉시 새로운 서버를 가동할 수 있는 모니터링 환경을 구축하고 있다.


2012년 08월 31일 오후 12시 40분 현재 약 800 여명이 악성파일 유포지로 접근한 상태이다.


또한, 악성파일도 시간차에 따라 계속해서 변종이 제작 유포 중에 있으므로, 운영체제 최신 보안업데이트는 물론 JAVA, Flash Player 버전을 최신으로 업데이트하는 것이 필수이다. 더불어 nProtect Anti-Virus 제품군을 이용해서 악성파일을 검사/치료할 수 있다.

인터넷뱅킹용 악성파일이 추가로 설치되면 임시폴더(Temp) 경로에 다음과 같이 "ncsoft.exe", "adobe_update.exe", "NEWCONFIG.INI" 파일 등이 설치되고, 인터넷뱅킹용 공인인증서(NPKI) 탈취 등의 기능을 수행한다.
 


다음으로 호스트(hosts) 파일을 변경하여 정상적인 인터넷뱅킹 사이트로 접속시 가짜 사이트로 접속을 바꿔치기 한다.

66.85.175.199 (피싱 사이트 IP주소 - 계속 변경 중)
www.kbstar.com (국민은행)
banking.nonghyup.com (농협)
banking.shinhan.com (신한은행)
www.wooribank.com (우리은행)
www.ibk.co.kr (기업은행)
mybank.ibk.co.kr (기업은행)
www.epostbank.go.kr (우체국)
ibs.kfcc.co.kr (새마을 금고)
www.hanabank.com (하나은행)
bank.keb.co.kr (외환은행)

 


가짜 금융사이트에서는 아래와 같이 보안강화(승급)서비스 명목으로 과도한 금융정보 입력을 요구하고, 탈취를 시도하게 된다. 따라서 보안승급이나 보안강화 서비스라는 것을 보게 될 경우 절대로 금융정보를 입력하지 않도록 하는 것이 중요하다.


3. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/


Posted by nProtect & TACHYON

1. 개요


잉카인터넷 대응팀은 최근 며칠동안 페이스북(Facebook)에서 발송한 이메일처럼 교묘하게 조작되어 전파 중인 악성파일을 다수 발견하였다. 페이스북은 2004년에 개설한 미국의 대표적인 글로벌 소셜 네트워킹 서비스(SNS)로 컴퓨터나 모바일로 주변 인맥들과 실시간으로 정보와 사진 등을 공유할 수 있는 기능을 제공한다. 현재까지도 가장 성공한 소셜 네트워크 서비스 중 하나로 2011년 09월 기준 전 세계 약 8억명 이상의 액티브 유저가 활동하고 있는 것으로 추산되고 있다. 이와 같이 많은 사용자들을 보유한 서비스이기 때문에 그 만큼 더 많은 보안위협에 꾸준히 표적이 되고 있는 것도 사실이다. 따라서 페이스북 사용자들은 이런 보안정보를 충분히 숙지하고 유사한 형태의 이메일을 수신할 경우 첨부파일이나 본문에 포함되어 있는 URL링크 주소를 무의식적으로 클릭하지 않는 보안습관이 무엇보다 중요하겠다.

이처럼 사회적인 관심사나 중요 이슈를 역이용하여 악성파일 전파에 악용하는 이른바 사회공학기법이 끊이지 않고 있다는 점도 명심하여 사전에 악성파일이 유입되는 통로를 인지하고 방어하는 노력이 필요하다.


2. 악성파일 전파 수법

[주의]사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가
http://erteam.nprotect.com/286

[긴급]조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입
http://erteam.nprotect.com/281

[주의]페이스북 채팅창을 이용한 악성파일 유포 시도
http://erteam.nprotect.com/246

트위터나 페이스북에서 발송한 것처럼 모방한 형태의 사기성 이메일은 잊을 만하면 다시 등장하는 수법 중에 하나이다. 매우 고전적인 방식이지만 아직까지도 많은 사용자들에게 악성파일을 쉽게 전파시킬 수 있는 효력을 가지고 있다는 것을 반증하기도 한다.

먼저 2012년 08월 28일 해외에서 보고된 형태는 아래와 같고, 국내에 유입된 것이 확인되지는 않았지만, 보통 이런 형태는 불특정 다수의 사용자들에게 스팸메일처럼 무작위로 발송되는 경우가 많기 때문에 국내와 국외를 구분지어 의미를 부여하는 것은 사실 큰 의미는 없다.

악성파일을 제작하고 전파하는 조직들은 예전과 다르게 매우 지능화되어 있다. 예전에는 고정적이거나 동일한 패턴의 이메일이 전파에 사용되었지만 근래에는 이메일 형태가 매우 다양하게 설계되어 동시에 전파되고 있기 때문에 유사한 형태에 대한 대비가 필요하다. 아래는 2012년 08월 29일에 해외에서 발견된 동일한 보안위협 형태로 디자인이나 문구 등이 변경된 것을 비교해 볼 수 있다.

또한, 특징적으로 수신자(받는 사람)의 이메일 주소가 보이지 않도록 조작하여 불특정 다수의 수신자들이 각기 다른 이메일 주소로 표기되어 오히려 수신자가 의심할 수 있는 경우가 발생하지 않도록 만들었다.


각각의 이메일에는 악성파일이 ZIP 형태로 압축되어 첨부되어 있고, 파일명은 "New_Photo_with_You_on_Facebook_PHOTOIDJKG3JSP0.zip", "Your_Friend_New_photos-updates_id929690899.zip" 처럼 조금씩 다르다.

압축파일명은 수신자가 관심을 가질 수 있도록 친구의 사진파일처럼 꾸며져 있고, 압축파일 내부에는 다음과 같은 실행파일 형태의 악성파일이 포함되어 있다.


압축이 해제되면 "New_Photo_with_your_friend_on_Facebook.jpeg.exe", "Your_Friend_New_Photos-and-Updates.jpeg.exe" 등의 EXE 파일이 포함되어 있고, 폴더옵션에서 "확장명 보이지 않기"를 설정한 사용자들에게는 JPEG 라는 사진파일처럼 보이도록 하기 위해서 2중 확장명을 사용하고 있다. 또한, 악성파일은 각각 다른 아이콘을 사용하는 등 변종에 따라 다양한 특성을 가지도록 제작되어 있다.


악성파일이 실행되면 "All Users" 경로에 "svchost.exe" 파일명으로 복사본을 생성하고, 공격자 명령이나 변종에 따른 기능에 따라서 사용자 정보 수집 및 유출 등의 일반적인 악의적 기능을 수행할 수 있다.


잉카인터넷 대응팀은 해당 악성파일들에 대한 탐지 및 치료기능을 nProtect Anti-Virus 제품군에 이미 모두 포함하였으므로, 사용자들은 최신 버전으로 업데이트하여 완벽하게 진단/치료 서비스를 제공받을 수 있다.

3. 마무리

이메일의 첨부파일을 통한 악성파일 전파수법은 매우 오래된 구식적인 방식이지만, 아직도 많은 이용자들이 아무 의심없이 이러한 악성파일을 너무나 쉽게 열어보고 있다. 그로인해 각종 보안위협에 노출되는 피해가 반복되고 있는 것이다. 이러한 때문에 악성파일 제작자들들도 끊임없이 이메일 첨부파일 전파 수법을 공격방식으로 꾸준히 사용하는 이유이기도 하다.

사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/


Posted by nProtect & TACHYON
1. 개요


국내 인터넷뱅킹 이용자들을 겨냥한 악성파일이 기존보다 한단계 진일보한 형태로 다변화를 시도하고 있다. 이번에 새롭게 발견된 형태는 최근까지 악용되고 있는 호스트(hosts)파일 조작기법을 사용하지 않고, 독립적으로 악성파일 자체가 은행사이트의 도메인을 감지하여 조작된 가짜 은행(피싱)사이트로 연결을 시도하는 수법을 사용하고있다. 따라서 악성파일에 감염된 사용자가 정상적인 인터넷뱅킹 사이트에 접속을 하여도 조작된 가짜 도메인으로 접속을 가로채기 때문에 도메인 주소를 유심히 살펴보지 않을 경우 조작된 웹 사이트에 현혹되어, 예기치 못한 피해를 입을 수 있다. 사이버 범죄자들이 국내 인터넷뱅킹 사이트를 모방하여 만든 피싱사이트에는 실제로는 존재하지 않는 일명 [보안승급서비스]라는 이름으로 금융거래시에 반드시 보호되어야 하는 주요 금융정보를 거의 모두 입력하게끔 유도하고, 수집된 자료는 사용자 모르게 외부로 유출하여 불법적인 예금인출 시도를 하게 된다.

실제 금융사이트 도메인과 유사하게 모방한 이 수법은 금융사기 범죄자들이 초기에 사용했던 스마트폰 문자피싱의 허위 [보안승급서비스] 유도와 동일한 방식이다.

[자료]신종 금융정보 탈취 기법 주의보
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120823112056



나날이 시중 인터넷뱅킹용 악성파일이 증가하고 있어 금융 사이버 범죄자들의 활동 반경이 점차 넓어지고 있는 것으로 추정되며, 금융고객의 예금인출 피해사고로 연결되지 않을까라는 우려의 목소리가 커지고 있는 상황이다. 잉카인터넷 대응팀은 금융사기용 악성파일에 대한 전방위적 모니터링과 함께 신속한 대응체계를 유지하고 있다.

2. 악성파일 정보

[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
http://erteam.nprotect.com/324

[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
http://erteam.nprotect.com/320

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
http://erteam.nprotect.com/313

[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
http://erteam.nprotect.com/258

[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
http://erteam.nprotect.com/160

호스트(hosts)파일을 변조하여 국내 금융권의 이용자들을 표적으로 제작된 악성파일 변종이 거의 매일 새롭게 발견되고 있는 가운데, 호스트파일을 사용하지 않고 독립적인 악성파일 자체 기능으로 사용자의 접속 도메인을 감시하고 있다가 정상적인 인터넷뱅킹 웹 사이트에 접속시 피싱사이트로 접속을 변경하는 신종기법이다.

참고로 아래는 2012년 08월 23일 국내에 유포된 인터넷뱅킹 악성파일에 의해서 조작된 호스트(hosts)파일 화면이다.


다시 본론으로 돌아와 호스트(hosts)파일을 사용하지 않는 방식으로 새롭게 발견된 악성파일은 아래 화면과 같이 내부 코드가 모두 중국어로 제작되어 있다.


 국내 특정 인터넷뱅킹 사이트 1곳을 표적으로 삼고 있는데, 앞으로 다양하게 추가될 가능성이 높다.


악성파일에 감염된 상태에서 정상 인터넷뱅킹 사이트에 접속할 경우 미국과 중국의 특정 호스트로 접속을 시도하는 것을 확인할 수 있다. 


더불어 다음과 같이 가짜 도메인으로 연결된다. 아래 사이트는 실제 금융사 홈페이지처럼 교묘하게 조작된 가짜 사이트이며, 실제 금융사 사이트를 모방해서 제작했기 때문에 매우 흡사하므로 유심하게 살펴보지 않을 경우 정상 사이트로 오해할 소지가 많다.

도메인도 kbstrr.com 으로 실제 국민은행 도메인인 kbstar.com 을 모방한 것을 확인할 수 있다.


실제로는 존재하지 않는 [보안강화 서비스 신청하기]라는 팝업창이 출력되어 사용자로 하여금 클릭을 유도한다. 보안강화 서비스 신청하기 부분을 클릭하면 다음과 같이 국내 인터넷뱅킹용 악성파일이 사용하고 있는 보안승급서비스 화면을 보여준다.

가장 처음으로 이름(실명)과 주민등록번호 등을 입력하도록 유도한다. 모두 허위내용이므로 절대 입력해서는 안된다.


1차 개인정보를 입력하고 확인버튼을 클릭하면 세부적인 중요 금융정보 입력을 추가로 요구한다. 정상적인 인터넷뱅킹 사이트에서는 보안승급서비스보안강화서비스 명목으로 보안카드의 모든 암호를 입력하라고 요구하는 경우는 절대로 없으므로, 이와 유사한 경우를 목격할 경우 100% 악의적인 피싱사이트로 보아도 무방하다.


이렇게 입력되는 정보는 금융 사이버 범죄 조직들에게 유출되어 예금인출 시도로 연결될 수 있으므로, 절대로 개인 금융정보를 입력하여서는 안된다.


3. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/

 


Posted by nProtect & TACHYON

1. 개 요


최근 해외에서 SMS Zombie로 일컬어지는 악성 애플리케이션이 발견되어 화제가 되고 있다. 악성 애플리케이션에 대한 스마트폰 보안 위협의 민감성이 약화되고 있는 시점에 중국에서는 약 50만대 가량의 단말기가 해당 악성 애플리케이션에 감염된것으로 추산되고 있으며, 이에 따른 막대한 금전적 손실이 있을것으로 예상되고 있다. 물론 해당 악성 애플리케이션은 중국의 안드로이드 OS기반 스마트폰 사용자만을 대상으로 동작하고 있는 만큼 국내에서 별다른 피해는 발생하지 않을 것으로 예상된다. 다만, 해외에서는 이미 금전적 이득을 목적으로 이러한 악성 애플리케이션의 실제 유포 및 감염 동작이 이루어지고 있다는 점에서 상당히 주목할만 하다고 할 수 있다.

  
2. 유포 및 감염 동작



해당 악성 애플리케이션은 아래의 그림과 같이 현재도 중국의 비공식 마켓 등을 통해서 유포가 이루어지고 있다.

위와 같은 비공식 마켓을 통해 다운로드 및 설치가 가능한 악성 애플리케이션은 실제로 SMS 무단 발송, 각종 정보 수집 등의 악성 동작을 하는 추가적인 악성 애플리케이션에 대한 설치를 유도하는 동작을 수행한다.

아래의 그림은 해당 악성 애플리케이션에 대한 설치 화면이다.

위 화면을 보면 설치 시 필요 권한이 나타나 있지 않고 설치 완료 후 "열기" 버튼도 비활성화 되어 있다. 이는 해당 악성 애플리케이션이 월페이퍼 형태로 제작되어 있고 기능 동작에 필요한 추가적인 권한은 메니페스트 정의가 아닌 코드상의 동적 등록 절차에 따른 것이다. 또한, 서비스로만 동작되기 때문에 별도의 런처가 등록되지 않아 "열기" 버튼도 활성화 되지 못한 것이다.

아래의 그림은 해당 악성 애플리케이션에 대한 AndroidManifest.xml 코드중 권한과 관련된 일부이다.

▶ Dropper 형태의 숙주 악성 애플리케이션 분석

해당 코드를 살펴보면 월페이퍼의 서비스 동작에 필요한 권한 이외에는 따로 등록된것이 없다. 결국 해당 악성 애플리케이션은 설치만으로는 스스로 동작하지 못하며, 아래의 그림과 같이 "배경화면" -> "라이브 배경화면"의 붉은색 월페이퍼를 선택해야 동작하게 된다.

위의 절차와 같이 해당 월페이퍼를 실행하면 아래의 그림과 같이 추가적인 애플리케이션 설치를 유도하는 AlertDialog가 화면에 출력된다.

위 그림의 오른쪽 버튼은 "취소", 왼쪽 버튼은 "확인" 버튼이다. 확인 버튼을 클릭하게 되면 아래의 그림과 같이 해당 악성파일 내부에 포함되어 있는 추가적인 파일의 설치를 시도하게 된다.

위 그림과 같이 해당 파일은 그림파일로 위장하고 있지만 실제로는 APK 파일이다. 결국 "확인" 버튼 클릭을 통해 그림파일로 위장된 추가적인 악성 애플리케이션의 설치가 진행될 수 있으며, Dropper 형태의 숙주 악성 애플리케이션의 악성 동작은 여기까지가 전부이다.

▶ 실제적인 악성 동작을 수행하는 추가적인 악성 애플리케이션 분석

아래의 그림은 내부에 포함되어 있던 추가적인 악성파일의 설치 화면이다.

해당 악성 애플리케이션 또한 서비스로만 동작되므로 위 그림과 같이 "열기" 버튼은 비활성화 되어 있다. 아래의 그림은 해당 악성 애플리케이션의 권한을 확인할 수 있는 AndroidManifest.xml 파일의 일부 코드이다.

설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같이 서비스로 로드되어 있는 것을 확인할 수 있다.

또한, 기기관리자 권한을 얻기 위해 아래의 그림과 같이 기기 관리자 활성화 창을 출력하게 된다.

위 그림과 같이 "활성화", "취소" 버튼이 모두 존재하고 있으나 실제로는 "활성화" 버튼만이 정상적으로 동작한다. "취소" 버튼을 클릭하게 될 경우 아래의 일부 코드에 의해 지속적으로 위 그림과 같은 기기 관리자 활성화 창만을 출력하게 된다.

결국 해당 악성 애플리케이션은 "활성화" 버튼 클릭 유도를 통해 기기 관리자 권한을 얻게되며, 이를 통해 애플리케이션 삭제 등과 같은 권한을 획득하게 된다.

※ 기기 관리자 권한 획득

보통 악성 애플리케이션이 기기 관리자 권한을 획득하는 경우는 자신의 생명력 유지를 위함이 대부분이다. 기기 관리자 권한을 획득할 경우 일반적인 언인스톨 과정을 통해서는 아래의 그림과 같이 삭제가 불가능하다.


※ 삭제 방법

이러한 종류의 애플리케이션은 악성과 정상 모두 존재할 수 있으며, 삭제를 위해서는 아래의 그림과 같은 방법이 필요하다.

☞ "환경 설정" -> "장소 및 보안" -> "기기 관리자 선택"


위 그림과 같이 해당 메뉴로 이동한 후 클릭 -> "비활성화"를 진행한다. 물론 "비활성화"를 클릭하여도 해당 악성 애플리케이션의 경우는 비활성화 체크 화면에서 다음 단계로 넘어가지 않는다. 이는 악성 애플리케이션의 내부 코드에 의해 비활성화에 대한 클릭리스너로 인한 증상이므로 신경쓰지 말고 홈버튼을 길게 누른 후 "작업 관리자" -> "실행중인 프로그램 모두 종료" -> 프로그램 탭에서 "해당 악성 애플리케이션 삭제"를 진행한다.

위와 같이 기기 관리자 권한 획득, 프로세스 로딩과 함께 해당 악성 애플리케이션은 설치 후 아래의 그림과 같은 특정 경로에 "phone.xml" 파일을 생성하게 된다.

해당 파일("phone.xml")은 아래의 일부 코드에 의해 내부에 특정 키워드를 포함해 생성되며, 중국어 간자체로 인코딩되어 있다.

아래의 그림은 phone.xml의 내부에 실제로 포함된 내용을 보여주고 있으며, 해당 파일의 파싱 작업 등을 통해 은행계좌 정보와 같은 금융권 정보 및 모바일 거래 정보에 대한 탈취를 시도할 수 있다.(SMS 감시에 의해 수행된다.)

위와 같은 절차가 마무리된 후 해당 악성 애플리케이션은 아래의 그림과 같이 감염된 스마트폰의 내부 정보를 수집하여 특정 번호(13093632006)로 SMS를 사용자 몰래 무단으로 발송하게 된다.

※ SMS 발신 상세 내용

- 1.5V:Model(모델정보:sdk);os(os버전정보);Language(사용언어);NET(네트워크사용정보:3G/wifi)

또한, 네트워크가 사용불가능 하거나 wifi가 아닌 3G를 사용하고 있을 경우는 아래의 일부 코드에 의해 특정 문구가 포함된 SMS를 동일한 번호로 사용자 몰래 무단 발송하게 된다.

이외에도 해당 악성 애플리케이션은 감염된 스마트폰의 루팅 여부를 확인한 후 아래의 일부 코드를 통해 동일한 번호로 SMS를 무단으로 발송하게 된다.

해당 악성 애플리케이션은 본격적인 정보 탈취 기능 수행을 위해 SMS 감시 기능도 수행하게 된다. AndroidManifest.xml상에는 이를 위한 권한이 선언되어 있지 않다. 그럼에도 불구하고 이와 같은 기능이 수행 가능한 이유는 AndroidManifest.xml이 아닌 아래와 같이 내부 코드상에 SMS 감시 관련 리시버를 동적으로 등록해 놓았기 때문이다.

해당 악성 애플리케이션은 SMS 감시를 위한 리시버가 AndroidManifest.xml에 포함될 경우 여러가지 보안 솔루션에 의해 Filter될 가능성이 존재하기 때문에 이와 같은 동적 등록 절차를 따랐을 가능성이 높다.

이렇게 등록된 SMS 관련 리시버는 수신되는 모든 SMS에 대한 감시를 수행하며, 미리 생성된 "phone.xml" 내부에 포함된 키워드와 파싱 비교 작업 후 조건이 충족될 경우 아래의 일부 코드를 통해 특정 번호로 해당 SMS를 사용자 몰래 무단 발송하게 된다.

위와 같이 악성 애플리케이션 입장에서 특정 조건이 충족되는 SMS는 특정 번호로 무단 발송된 후 사용자가 알 수 없도록 아래의 일부 코드를 통해 몰래 삭제 조치 된다.

3. 예방 조치 방법

위와 같이 실제적으로 악성 동작을 수행하는 악성 애플리케이션을 1차적인 Dropper가 내부에 포함하고 있는 경우 해당 Dropper가 수정될 경우 지속적인 보안 위협을 가지고 있을 수 있다. 더불어 감염될 경우 기기 관리자 권한 획득을 요구하는 위와 같은 악성 애플리케이션의 경우는 Zombie란 진단명에 어울리게 일반 사용자의 경우 삭제하기 조차 어렵다.

때문에 이러한 수많은 보안 위협으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단명 현황

- Trojan/Android.SMSZombie.A
- Trojan/Android.SMSZombie.B
- Trojan/Android.SMSZombie.C



 

Posted by nProtect & TACHYON