1. 맥도날드 빅맥버거셋트 할인쿠폰 위장 기승


잉카인터넷 대응팀은 안드로이드 기반 스마트폰 이용자들을 집중 겨냥한 소액결제 사기목적의 문자 메시지(SMS) 주의보를 여러차례 발령한 바 있다. 그런 와중에 근래들어 유사한 소액결제사기 피해자가 폭발적으로 급증하고 있어, 매우 각별한 주의가 요망된다. 최근들어 ▶맥도날드 빅맥버거셋트 할인쿠폰 ▶스타벅스 어플 설치하면 카페라떼 공짜 ▶CGV 앱 설치시 주말영화 티켓 50%할인 ▶피자헛 50% 모바일 할인권 ▶롯데리아 한우불고기셋트 사용쿠폰 등등으로 교묘히 패스트푸드나 영화, 유명 외식업체 등을 모방 사칭한 악성 문자메시지(SMS)가 국내 불특정 다수의 스마트폰 이용자들에게 무차별적으로 배포되고 있는 상황이다. 특히, 안드로이드 악성파일을 이용한 휴대폰 소액결제 사기는 명의자 본인 확인을 위한 결제 승인문자 자체가 실제 피해자의 스마트폰 문자메시지에서는 보여지지 않도록 숨겨지기 때문에 피해사실 자체를 바로 인지하거나 즉시 대처하기란 현실적으로 쉽지 않다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

이 때문에 안드로이드 기반 사이버 범죄자들은 이러한 점을 역이용해서 불법적인 금전적 이득을 꾸준히 취하고 있는 매우 심각한 상황이다. 이러한 소액결제 사기는 악성파일 제작자들이 정상적인 승인절차를 이용하고 있기 때문에 선의의 피해자들에 대한 피해구제도 쉽지 않고, 악순환이 지속되고 있는 실정이다. 따라서 이용자들은 문자메시지로 수신된 쿠폰이나 이벤트 내용에 쉽게 현혹되지 않도록 주의가 필요하며, 단축URL 주소를 무심코 클릭하지 않는 보안습관이 필요하다. 더불어 모바일용 Anti-Virus 제품의 실시간 감시 등을 활성화하는 등 적극적인 차단과 예방 노력이 절실하다.

[주의]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
http://erteam.nprotect.com/394

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377


맥도날드 쿠폰으로 사칭한 소액결제 사기용 문자 메시지 피해가 증가하면서, 맥도날드 홈페이지에서는 아래와 같이 피해를 최소화하고, 예방차원의 주의 및 안내용 공지사항을 홈페이지에 접속한 고객들에게 제공하고 있다.


2. 악성파일 감염용 문자메시지(SMS) 정보

최근들어 아래와 같은 안드로이드 악성앱을 설치시키는 문자메시지가 다양하게 전파되고 있으므로, 안드로이드 기반 스마트폰 이용자들은 다음 사례를 유심히 살펴보고 비슷한 문자메시지나 유사한 소액결제범죄에 현혹되지 않도록 각별히 주의를 해야 한다.

잉카인터넷 대응팀의 보안관제 중 가장 많이 발견되고 있는 문자메시지는 다음과 같고, 계속해서 변형된 문자들이 지속적으로 수집되고 있다.

★맥도날드★
빅맥버거셋트 사용쿠폰 도착!
(전지역이용가능)
http://tiny.cc/생략





이외에도 스타벅스, 다빈치커피, 도미노피자, 베스킨라빈스, 비비큐치킨, 카페베네 등 매우 다양한 방식으로 위장하여 안드로이드 악성파일을 전파시키고 있다는 점에서 스마트폰 이용자들의 세심한 주의가 요구된다.

좀더 자세한 내용은 아래 링크를 통해서 확인해 볼 수 있다.

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

문자메시지(SMS)에 포함되어 있는 단축URL 을 클릭하여 악성앱(APK) 파일을 설치하게 되면 이용자에게 전송되는 승인결제용 문자메시지를 이용자에게 보여지지 않도록 조작한 후, 악의적인 사기범죄자들에게 몰래 전송하게 된다.

아래 화면은 실제로 결제대행업체에서 발송하는 승인문자 이지만 안드로이드 악성파일로 인해서 사용자에게 보여지지 않는다.


이 문자메시는 사기 범죄자들에 의해서 가로채기 되며, 승인번호를 입력하여 불법적으로 소액결제 승인을 완료하게 된다. 그 이후에 구매한 게임아이템이나 사이버머니 등을 다시 현금화하는 과정을 거쳐 금전적 이득을 챙기게 된다.

다음 화면은 이러한 소액결제 문자메시지로 인해서 피해를 입은 사용자의 실제 소액결제 내역이다. 보통 최대 30만원까지 적지 않은 금액의 피해로 이어지고 있는 매우 심각한 상황이다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(isarc@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


저작자 표시
신고
Posted by nProtect
1. 한국 맞춤형 Mobile DDoS 악성파일 활개


잉카인터넷 대응팀은 스마트폰용 모바일 서비스로 유명한 카카오(kakao) 업데이트와 관련된 내용으로 사칭한 안드로이드 악성파일이 2013년 01월 21일부터 국내에 다수 전파 중인 정황을 포착하였다. 악성파일은 기존의 KRFakePk 변종으로 DDoS 기능을 가진 대표적인 안드로이드 악성파일이다. 최근까지 변종이 꾸준히 제작되고 있으며, 국내 스마트폰 이용자들에게 문자메시지(SMS)로 전파되고 있어 각별한 주의가 필요하다. 특히, 한국내 이용자들을 주요 표적으로 Zombie Smart Phone Bot-Net 구성 목적의 공격이 감행되고 있다는 점에 주목된다. 좀비 스마트폰을 이용할 경우 GPS 기반의 이동형 위치 DDoS 공격이 가능하기 때문에 탐지 및 방어에 어려운 문제가 발생할 수 있다.

예를들면 특정 웹 서버가 운영중인 인터넷 데이터 센터(IDC) 주변의 좀비폰만을 이용해서 위치기반 공격을 한다거나 위치별 좀비폰 그룹화를 통해서 동시다발적인 이동통신 네트워크 망 서비스 거부공격을 한다거나 하는 공격 시나리오를 예상해 볼 수 있다. 이렇듯 Mobile 기반의 DDoS 공격은 기존의 PC기반 DDoS 공격과 다소 차별화된 특성을 이용한 특수공격을 수행할 수 있다.      



[주의]안드로이드 전용 모바일 보안업데이트로 가장한 좀비폰 미끼
http://erteam.nprotect.com/387

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협
http://erteam.nprotect.com/382

[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가
http://erteam.nprotect.com/368

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[주의]롯데리아 앱 위장 KRSpammer 변종 출현!
http://erteam.nprotect.com/361

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

2. 악성파일 정보

KRFakePK 악성파일은 기존에 구글 코리아와 폰키퍼, V3 모바일 보안제품 등으로 위장하여 국내에 집중적으로 유포된 바 있다.


이번에는 국내에서 널리 알려져 있는 카카오(kakao) 서비스로 위장해서 스마트폰 이용자들을 현혹시키고 있다는 점이 특징이다.

불특정 다수의 국내 스마트폰 이용자들에 아래와 같은 단문 문자메시지(SMS)가 전파되었고, 문자에 포함되어 있는 구글 단축 URL 서비스를 이용해서 사용자 클릭을 유도한다.

kakao 1월21일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://184.(생략).126/google.apk

kakao 1월25일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://192.(생략).132/Android.apk

kakao 1월27일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://ila.kr/생략 -> http://184.(생략).126/google.apk

kakao 1월29일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://ila.kr/생략 -> http://184.(생략).126/google.apk


일부 문자메시지(SMS)의 경우 아이폰(iOS) 이용자에게도 발송되었는데, 해당 악성파일은 안드로이드(Android OS) 기반의 악성파일이기 때문에 안드로이드 단말기 사용자에게만 영향을 미치게 되고, 아이폰 사용자는 단축 URL 주소의 링크를 클릭해서 파일을 실행하더라도 악성파일에 감염되지는 않는다.


구글 단축 URL 주소는 ila.kr 단축 주소 서비스로 연결되고, 다시 미국의 특정 서버로 연결된다. 이처럼 단축 URL 주소 서비스를 2중으로 사용한 경우는 처음으로 확인됐다.

공격자는 자신이 사용하는 단축 URL 주소 서비스가 지속적으로 차단되자, 다양한 방식을 시도하는 것으로 추정된다.

최종적으로 설치되는 "google.apk" 악성파일은 미국의 특정 서버에 등록되어 있고, 악의적인 기능을 수행하게 된다. 기존까지 변종은 모두 중국쪽 서버 IP 주소를 이용했고, 잉카인터넷 대응팀은 블로그를 통해서 해당 IP 대역폭에 대한 차단필요성을 언급한 바 있다. 이후 공격자는 IP 대역폭을 기존과 다르게 적용하기 시작했다.

- 103.21.208.0 ~ 103.21.211.255

유포지에 대한 IP주소 및 관련정보는 한국인터넷진흥원(KISA) 상황실에 신속하게 공유된 상태이다.


문자 메시지는 카카오(kakao)와 관련된 내용이지만 전파중인 악성파일은 "google.apk" 파일이며, 설치되면 다음과 같이 구글 앱스토어로 위장되어 작동된다.



설치된 App Store 아이콘을 실행하게 되면 실제 구글 플레이 마켓으로 연결하여 마치 정상적인 앱처럼 보이도록 조작한다. 이를 통해서 사용자가 악성 앱을 삭제하지 않도록 하며, 공격자의 명령을 대기하는 잠복기(Bot)에 들어가게 된다.


해당 악성 앱은 기존 변종과 동일하게 DDoS 기능을 보유하고 있는 것으로 파악된 상태이기 때문에 공격자는 꾸준히 좀비폰을 양산하기 위한 시도를 진행 중인것으로 예상된다.

아래 화면은 이번에 카카오 업데이트 문자로 위장하여 전파된 악성파일이 보유하고 있는 DDoS 공격 기능 코드부분이다.

 
3. 대응방법

대부분의 안드로이드 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하거나 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

* 대표 진단명 변경 Trojan/Android.KRFakePK -> Trojan/Android.KRDDoS
 
- Trojan/Android.KRFakePK.A (폰키퍼 위장)
- Trojan/Android.KRFakePK.B (구글 서비스 위장)
- Trojan/Android.KRFakePK.C (구글 서비스 위장)
- Trojan/Android.KRFakePK.D (구글 서비스 위장)
- Trojan/Android.KRFakePK.E (구글 서비스 위장)
- Trojan/Android.FakeV3.B (V3 제품 위장)
- Trojan/Android.FakeV3.C (V3 제품 위장)
- Trojan/Android.KRFakePK.F (카카오 및 구글 서비스 위장)
- Trojan/Android.KRFakePK.G (카카오 및 구글 서비스 위장) 외 다수

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


2013년 01월 30일 변종 추가 발견 (#Update 04)

다음과 같이 마치 114(이동통신사 고객지원센터) 발신자 번호로 위장하여 문자 메시지(SMS)로 변종이 다량 전파 중에 있다.

[긴급]안드로이드전용 모바일 보안업데이트
링크클릭
http://goo.gl/생략


악성파일은 "app8.apk" 파일이 전파되고 있고, V3 Mobile Plus 2.0 제품처럼 위장하고 있다. 이렇게 위장한 경우는 2013년 01월 24일 잉카인터넷 대응팀이 최초 보고한 바 있다.

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협
http://erteam.nprotect.com/382


저작자 표시
신고
Posted by nProtect