1. 소액결제사기형 스미싱 위협 지각변동?


잉카인터넷 대응팀은 안드로이드 소액결제사기 위협동향을 예의주시 하던 중에 최근까지 국내에서 확인된 소액결제사기 유형과는 전혀 다른 새로운 스미싱 악성앱을 최초로 발견하였다. 이전에는 범죄자들이 직접 악성앱을 제작하여 마치 정상적인 앱처럼 보이도록 위장수법을 사용했고, 악성앱을 실행시 가짜 오류메시지나 접속불가 내용을 보여주어 마치 일시적인 서비스 장애문제로 보이게 하는 단순 속임수 방법을 동원했다. 그러나 이번에 발견된 유형은 실제 2013년 02월 18일 국내에 정식출시된 "맥도날드 맥모닝 알람 앱"을 리패키징하였기 때문에 실제 정상앱 기능이 문제없이 작동된다. 그렇기 때문에 이용자는 자신이 악성앱에 노출되었다는 것 자체를 인지하기 어렵다. 이처럼 정상앱을 리패키징하여 악성앱 기능을 추가하는 방식은 이미 해외에서는 널리 악용되었지만, 한국 맞춤형 스미싱에서 발견된 경우는 이번이 처음이다.

이번 신호탄을 계기로 정상앱을 리패키징한 악성앱이 국내에도 증가될 우려가 커진만큼 이용자들의 철저한 주의가 필요하다. 특히, 정상앱을 변조하는 경우 스미싱 수법 뿐만 아니라, ▲"인터넷 웹 커뮤니티를 통한 다양한 유통이 가능"해지기 때문에 신속한 탐지와 차단이 어렵고, 잠재적 위협요소로 이어질 수 있다. 이처럼 모바일 범죄자들은 언제든지 유출된 개인정보(이름, 휴대폰번호, 주민번호)와 명의를 도용하여, 악성앱과 결합시킨 새로운 범행을 저지를 수 있다는 점에서 만반의 대비태세가 필요하다.

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 변종여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk



2. 한국형 안드로이드 악성앱 리패키징 이상징후?

스미싱 소액결제사기 범죄가 우후죽순으로 급증하고 있는 가운데 2013년 03월 08일 새로운 종류가 발견되었다. 이번 소액결제사기용 악성앱은 맥모닝 알람앱 처럼 사칭하고 있으며, 정상앱의 기능을 그대로 보여주기 때문에 이용자는 쉽게 현혹되며, 자신이 악성앱에 감염된 사실도 모른채 소액결제사기 피해(최대 30만원)를 입을 수 있다. 

문자메시지(SMS)를 통한 다단계 스미싱 사기가 기하급수적으로 늘어나면서 금전적인 피해도 비례적으로 증가하는 추세이다. 자칫 호기심과 스미싱 문자에 현혹되어 심각한 피해를 입을 수 있다는 점을 명심해야 한다.

금번 새롭게 발견된 악성앱은 아래와 같이 마치 맥도날드에서 무료커피 쿠폰을 주는 모바일 알람 앱으로 사칭하여 사용자를 유혹하며, 단축URL 서비스를 통해 소액결제사기용 악성앱(KRSpammer) 설치를 유도하게 된다.

발신번호 사칭 : 02-1544-5553
★ 맥 도 날 드 ★ 무 료 커 피 쿠폰 주는 모바일 알람 앱 http://***********

스미싱 문자메시지에 포함되어 있는 인터넷 주소를 클릭할 경우 아래와 같이 "my.apk" 파일이 다운로드된다.


맥모닝으로 위장한 악성파일은 겉으로 보기에는 정상앱과 거의 똑같기 때문에 육안상으로 악성여부를 구분하기는 어렵다. 다만, 악성앱이 파일용량에서 사이즈가 다소 크다는 것을 비교해 볼 수는 있다. 


다운로드 완료된 파일을 사용자가 클릭하여 설치를 시작하면 아래와 같은 설치권한을 보게 된다.

 


[설치]버튼을 누르고 설치가 완료되면, 스마트폰 바탕화면에 아래와 같이 "맥모닝알람" 이라는 이름과 아이콘이 생성된다. 악성앱은 정상앱 기능을 모두 도용해서 사용하였기 때문에 앱의 모든 기능은 정상적으로 작동되며, 저작권 위반에 해당되기도 한다.


사용자가 해당 앱을 실행하면 아래와 같이 정상적인 맥모닝 알람 프로그램이 실행되고, 사용자는 정상앱 설치로 인식하게 되지만, 악성앱은 은밀하게 악의적인 소액결제사기 행위를 수행하게 된다.

 


대부분의 스미싱 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다는 점을 기억해 두는 것이 좋다. 

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

3. 스미싱 피해 예방법

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요

 

 잉카인터넷 대응팀은 최근 해외 웹 사이트에서 다량의 안드로이드 악성 애플리케이션이 제작되고 서버에 업로드 되어 있는 정황을 포착하였다. 해당 사이트에 업로드 되어 있는 안드로이드 애플리케이션들은 모두 동일한 재패키징 형태의 악성 애플리케이션이며, 이미 잉카인터넷에서는 모든 악성 애플리케이션에 대한 진단/치료 기능을 제공하고 있다. 업로드 되어 있는 악성 애플리케이션들은 대부분 채팅형 애플리케이션이거나 잘 알려진 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 감염될 수 있는 위험이 있다.

물론, 해당 애플리케이션은 러시아에서 제작되고 그 대상도 러시아 사용자들을 주 타겟으로 하고 있어 국내에서의 감염 피해는 크지 않을 것으로 판단된다.

다만, 최근 국내에서도 안드로이드 악성 애플리케이션이 정식 마켓을 통해 유포가 이루어지는 등 향후 보안 위협성이 상당히 큰만큼 사용자들은 안드로이드 애플리케이션의 다운로드 및 설치에 각별한 주의를 기울여야할 것으로 보인다.

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

2. 유포 경로 및 악성 애플리케이션 정보

아래의 그림은 현재 특정 해외 사이트에 대량으로 안드로이드 악성 애플리케이션이 업로드된 상태를 보여주고 있다.

 

해당 사이트의 하위경로에 모두 위와 같은 악성 애플리케이션들이 업로드되어 있으며, 손쉽게 코드상으로 해당 애플리케이션에 대한 추가적인 다운로드 및 설치를 유도할 수 있다. 업로드된 해당 악성 애플리케이션들은 모두 아래와 같은 패키지 코드가 동일하게 추가되어 있다.

추가적으로 등록된 위와 같은 패키지는 해당 악성 애플리케이션들이 실행됨과 동시에 특정 번호로 사용자 몰래 SMS 무단 발송을 시도하게 된다. 아래의 코드는 내부에 포함된 XML파일에서 SMS를 수신할 번호와 내용을 추출하여 무단 발송 시도하는 코드를 보여주고 있다.

또한, 업로드되어 있는 악성 애플리케이션들은 모두 재패키징된 형태의 악성 애플리케이션으로 실행화면이 아래의 그림과 같이 대부분 유사한 것이 특징이다.(유명 스마트폰 게임 등의 아이콘으로 위장한 경우도 있다.)

 


3. 마무리

이러한 재패키징 형태의 악성 애플리케이션들은 누구나 손쉽게 만들 수 있고 다량 제작도 가능하다. 또한, 정상적인 애플리케이션을 수정하여 재배포도 가능하기 때문에 상당히 보안상 취약할 수 있다. 문제는 현재 해외를 중심으로 이러한 재패키징 형태의 악성 애플리케이션이 무분별하게 제작되어 유포되거나 유포를 앞두고 있다는 것이다.

안드로이드 애플리케이션의 경우 다운로드시 일반 사용자들은 공식적인 구글 마켓을 이용할 수도 있고, 비공식적인 서드파티 마켓을 이용할 수도 있기 때문에 이러한 형태의 악성 애플리케이션이 국내에 유입되거나 제작이 이루어질 경우 감염 범위는 걷잡을 수 없이 늘어날 수 있을 것이다.

현재로서는 이러한 악성 애플리케이션들의 다운로드 차단 등의 수단은 한계가 있을 수 있다. 때문에 다양한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
 



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요

 

최근 발견되고 있는 악성 애플리케이션들은 단순 정보 수집 단계에서 이제는 사용자 몰래 특정 악성 기능들을 수행하여 이용 과금을 유발해 금전적 피해를 줄 수 있는 단계로 위험 범위가 확산되고 있다. 이러한 와중 중국의 SMS 프리미엄 서비스 가입을 통한 과금을 유발하는 악성 애플리케이션이 발견되어 사용자들의 각별한 주의가 요망되고 있다.

[[주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견]

http://erteam.nprotect.com/181
  

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 현재 구글 안드로이드 마켓에는 존재하지 않으며, 중국의 블랙마켓, 3rd Party 마켓등을 중심으로 유포될 수 있다.

위와 같은 악성 애플리케이션은 설치 시 아래의 그림과 같은 권한 요구 화면을 출력할 수 있다.


※ 전체 권한

- android:name="android.permission.READ_CONTACTS"

- android:name="android.permission.RESTART_PACKAGES"

- android:name="android.permission.INTERNET"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.RECEIVE_SMS"

- android:name="android.permission.WRITE_EXTERNAL_STORAGE"

- android:name="android.permission.ACCESS_NETWORK_STATE"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.READ_SMS"

- android:name="android.permission.WRITE_SMS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘을 생성하며, 해당 아이콘을 클릭 시 아래의 그림과 같은 실행화면을 출력한다.
  

▶ 실행 아이콘


▶ 실행 화면

  

■ 상세 분석

해당 악성 애플리케이션은 SMS 관리를 위해 아래와 같은 1개의 리시버를 등록하며, 높은 우선순위를 책정해 놓을 수 있다.

※ Receiver 등록

- com.talkweb.comm.SmsReceiver


또한, 해당 악성 애플리케이션은 감염 후 특정 이동통신 등의 프리미엄 서비스 가입을 진행할 수 있으며 가입 절차는 해당 프리미엄 서비스 가입 요청 전화번호로 SMS 전송을 통해 이루어진다.

※ 세부 가입 절차

- 서비스 공급자에게 서비스 가입 SMS 전송
- 서비스 공급자는 해당 SMS에 대한 상세 설명 등의 응답(SMS 회신)
- 사용자는 서비스 공급자의 응답 SMS에 "Y" 문장을 포함한 SMS 회신이 필요하다.

위와 같이 프리미엄 서비스 가입 절차가 이루질 경우 해당 악성 애플리케이션은 사용자 몰래 해당 서비스 공급자로부터 회신되는 SMS를 확인 후 "Y" 등의 SMS 회신을 통해 사용자의 인증 없이 가입 절차를 마무리할 수 있다. 또한, 이러한 진행 상황을 사용자가 알 수 없도록 아래의 일부 코드를 통해 관련 SMS에 대한 삭제를 진행한다.


지난번 이슈가 되었던 프리미엄 서비스 가입 악성 애플리케이션과는 조건문에 서비스 번호가 한개더 추가된다는 차이점있다.

3. 예방 조치 방법

해당 악성 애플리케이션은 중국 사용자들을 타겟으로 제작되었기 때문에 당장 국내에서 피해 사례가 발생하진 않을 것으로 예상된다. 다만, 악성 애플리케이션은 언제든지 재패키징을 통해 또다른 악성 애플리케이션으로 "재탄생"이 가능하기 때문에 언제든지 피해가 발생할 수 있다.

이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이 될 수 있을것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.GO108.A


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect