'소액결제사기 피해 구제모임'에 해당되는 글 1건

  1. 2013.05.16 [주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장 (1)
1. 경찰청앱으로 둔갑한 Trojan/Android.KRFakeCop


잉카인터넷 대응팀은 모바일 보안관제를 진행 중에 "대한민국 경찰청" 앱처럼 위장한 안드로이드 스마트폰용 악성앱을 최초로 발견하여 nProtect Mobile for Android 제품을 통해 유일하게 치료서비스를 제공 중에 있다. 해당 앱은 마치 경찰청 관계자들이 사용하는 앱처럼 위장하고 있으며, 지금까지 국내에서 주로 발견되었던 휴대폰 소액결제사기 방식과는 구별되는 다목적 형태의 악성기능을 수행할 수 있도록 제작되었다는 점과 국내에서 개발된 것으로 보여지는 부분이 주목된다. 이번 악성앱은 설치되는 과정에 국내 특정 모바일 보안제품처럼 위장한 악성앱을 별도로 추가 설치하는 기능으로 사용자를 속인 후 동작하게 되며, 처음 실행화면에서는 경찰청 지문인식 시스템화면을 보여주어, 마치 일반 사용자들은 사용할 수 없는 것처럼 보여지지만, 숨겨져 있는 특정 조건이 성립되면 지문인식 과정이 정상적으로 작동된다.

하지만 이 모든 과정은 단순히 경찰들이 사용하는 공식적인 앱처럼 보여지지 위한 은폐방식으로 의심되며, 내부적으로는 △문자메시지 감시 및 유출시도 △통화내용 녹음 및 유출시도 △GPS 기반의 이동경로 감시 및 유출시도 △통화내역 및 문자메시지 내역 감시시도 등 매우 다양하고 민감한 사생활 침해목적의 기능을 포함하고 있는 것으로 분석되었다.

[SBS 8시 뉴스 단독보도]통화 탈취에 GPS 추적도…교묘한 신종 사기
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001791592
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001792069


- 감염된 스마트폰 이용자의 일거수일투족을 감시
- 국가기관 앱을 사칭한 지능화된 모바일 보안위협의 신호탄
- 전문화된 모바일 보안관제 및 솔루션의 필요성 대두

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. "해양경찰청" 피싱캅" "바이로봇 모바일 3S" 정보를 조합한 악성앱

이번에 발견된 악성앱은 최초 설치 시 다음과 같이 "대한민국 경찰청" 이라는 이름으로 설치가 시작되며, 6가지로 부여된 권한(퍼미션)수행 내용을 보여주게 된다.

- 내 메시지 (문자 메시지를 수신합니다)
- 네트워크 통신 (모든 인터넷 기능을 사용할 수 있습니다)
- 저장소 (내장 메모리 컨텐츠 수정/삭제)
- 하드웨어를 제어합니다 (사진 및 동영상 촬영)
- 통화 (휴대폰 상태 및 ID 읽기)
- 요금이 부과되는 서비스 (문자 메시지를 전송합니다)


설치가 완료되면 다음과 같이 "대한민국 경찰청" 이름의 아이콘이 생성되며, 이용자가 처음 실행을 시도하게 되면 ViRobot Mobile 3S 타이틀의 새로운 앱이 다운로드되고, 추가 설치를 시도하게 된다.



더불어 설치된 아이콘의 경우 실제 구글 플레이에서 배포중인 "해양 경찰청 모바일" 아이콘에서 "해양"이라는 문구를 일부 제거하여 사용하였다. 수정된 이미지를 분석해 본 결과 조잡하게 일부분을 제거하고 사용한 것으로 파악되었다. 해양경찰을 상징하는 이미지는 천연기념물 제243호 흰꼬리수리와 전통 원형방패를 형상화한 아이콘이다. 현재 서울 지방경찰청을 상징하는 대표 이미지는 아래 좌측에 있는 것이며, 악성앱은 해양경찰청 아이콘을 대한민국 경찰청 아이콘으로 변조하여 사용하였다.

 


해당 악성앱에는 ▶내 개인 정보 ▶요금이 부과되는 서비스 ▶내 메시지 ▶현재 위치 ▶네트워크 통신 ▶저장소 ▶하드웨어를 제어합니다 ▶통화 등 더욱 더 민감한 기능에 접근하는 권한부여를 요구하게 된다.


이 또한, 악의적인 기능의 악성앱으로 바이로봇 모바일 3S 앱으로 위장하고 있으며, 비슷하긴 하지만 실제 구글 플레이에서 배포되는 "바이로봇 모바일 3S" 아이콘이 아닌 "바이로봇 모바일" 제품의 아이콘을 도용하였다. 실제 구글 플레이에 등록되어 있는 정상적인 바이로봇 제품군의 두 아이콘을 비교해 보면 아래와 같이 악성앱이 사용하는 아이콘과 이름이 서로 다르다는 것을 구분지어 알 수 있다.

 


설치된 이용자에게 대한민국 경찰청 앱처럼 보이도록 만들어진 Trojan/Android.KRFakeCop 악성앱은 작년 하반기 부산 남부경찰서에서 개발한 앱으로 화제가 된 바 있는 "피싱캅" 앱의 이미지 리소스를 일부분 동일하게 사용중인 것으로 분석되었고, 실제 피싱캅을 개발한 경찰관이 이에 대한 내용을 전혀 들은 바 없는 것으로 보인다. 이것으로 보아 악성앱 제작자는 사전협의 없이 피싱캅의 이미지를 도용하여 이용한 것으로 추정된다. 두가지 앱의 화면을 비교해 보면 다음과 같다.


Trojan/Android.KRFakeCop 악성앱은 [지문을 인식시켜주세요] 라는 부분을 통해서 사용자의 지문을 인식하도록 유도하고 있지만 단순히 클릭기능을 감지하도록 만들어져 있고, 경찰청 마스코트인 포돌이의 클릭조건에 따라서 아래와 같이 지문인식 과정을 통과하게 된다. 따라서 포돌이 아이콘은 숨겨져 있는 지문인식 기능을 인식하게 해 주는 버튼역할을 수행하게 되며, 선택되지 않은 경우 [지문인식에 실패하였습니다.] 내용의 문구를 보여주게 된다.


지문인식 과정이 통과되면 다음과 같이 아이디와 패스워드를 입력하도록 구성된 화면이 보여지고, [보안 인증]이라는 버튼을 통해서 로그인 절차가 진행된다. 하지만 이곳에 문자를 입력하거나 입력하지 않아도 특별히 로그인 검증기능이 존재하지 않기 때문에 자유롭게 로그인이 가능하다.


아이디와 패스워드를 입력하지 않고 [보안 인증]을 누르거나, 특정 문구를 넣어도 로그인이 가능하다. 아래는 아무런 아이디를 넣지 않고 로그인한 화면이다. 로그인이 수행되면 내부에는 [신원 조회], [차량 조회], [범칙금 부과], [순찰팀 전달 사항], [순찰 일지 작성] 등의 내용이 보여지며, 제일 하단에는 "2013년 5월 16일 광화문 시위 사전신고 접수되었습니다. 해당 경찰관들 모두 당일 안전 및 치한에 신경써주시기 바랍니다." 라는 문구가 보여지는데, 문맥상 치안을 치한으로 잘못 표기한 것으로 보여지는 부분도 존재한다.


상기 내용처럼 설치된 앱은 경찰관들이 사용하는 실제 기능처럼 위장하고 있지만, 바이로봇 모바일 3S 앱처럼 위장하여 추가로 설치된 악성앱에 의하여 다양한 악의적인 기능이 사용된다. 또한, 위장 설치된 바이로봇 모바일 3S 아이콘은 처음 실행시 스스로 삭제시켜 이용자가 작동 여부를 육안으로 쉽게 확인하지 못하도록 숨김기능을 이용하고 있다.

Trojan/Android.KRFakeCop 악성앱은 △문자메시지 감시 및 유출시도 △통화내용 녹음 및 유출시도 △GPS 기반의 이동경로 감시 및 유출시도 △통화내역 및 문자메시지 내역 감시시도 등 매우 다양하고 민감한 사생활 침해목적의 기능을 포함하고 있는 것으로 분석되었고, 잉카인터넷 대응팀이 내부적으로 분석 및 테스트한 결과 통화내용이 정상적으로 저장되었고, 오차범위 안에서 근접한 기지국을 이용한 GPS 이동좌표가 체크되는 것도 확인한 상태이다.

아래 화면은 통화기록을 저장하는 코드이다.


아래 화면은 전화번호부 내용을 저장하는 코드이다.


아래 화면은 GPS를 기능을 이용해서 감염된 스마트폰의 위치 및 이동경로를 추적하여 유출시도하는 코드이다.


아래 화면은 통화내역을 녹음하는 코드이다.


아래 화면은 문자메시지(SMS) 내용을 저장하여 외부로 유출시도하는 코드이다.


또한, 해당 악성앱의 제작자는 [경찰청 보안관제 시스템]이라는 내용의 조작된 웹 서비스도 만들어 둔 상태인데, 이것은 단순 백그라운드 이미지에 플래시 플레이어를 이용한 고정적인 내용이지만, 겉으로 보기에는 실제 성범죄자 실시간 화면 추적내용으로 오해하거나 현혹될 가능성이 높다. 이처럼 제작자는 나름대로 정교하고 치밀하게 악성앱을 개발했다는 것을 알 수 있다.


잉카인터넷 대응팀은 이 앱을 만든 사람으로 의심되는 개발자에 대한 정보를 추적하여 확보한 내용을 관계기관에 제공한 상태이고, nProtect Mobile for Android 제품에 탐지 및 치료 서비스를 무료로 제공 중에 있다. 이러한 악성앱에 노출될 경우 개인 신상정보 및 사생활 노출 등 다양한 보안위협에 놓이게 될 수 있어 앞으로 모바일 보안의 중요성은 더욱 더 높아질 것으로 예상된다.

더욱이 작년 하반기 부터 스미싱 형태의 피해가 급증하고 있다는 점을 간과해서는 안되며, 최근에는 스미싱을 통한 소액결제사기수법이 한단계 발전한 스마트뱅킹용 악성앱과 스파이앱들도 사회적인 문제로 대두되고 있다는 점을 안드로이드 기반 스마트폰 이용자들이 스스로 인식하고 명심해야 할 때이다. 특히, 전문적인 모바일 보안솔루션으로 가장하거나 흡사하게 제작된 허위 모바일 보안앱이 꾸준히 발견되고 있기 때문에 각별한 주의가 필요하다. 

이에 잉카인터넷 대응팀에서는 보안전문기업으로서 차별화되고 전문화된 모바일 보안관제 및 오랜기간 축적된 보안기술을 바탕으로 모바일 백신프로그램과 모바일 스미싱 원천 차단솔루션을 개발하여 일반에 무료로 배포하는 등 사회적 기업으로서 그 역할을 충실히 이행하고 있으며, 10년 이상 글로벌 보안사업을 영위하고 있는 신뢰할 수 있는 보안기업으로서 모범적인 활동을 꾸준하게 이어갈 예정이다.

Trojan/Android.KRFakeCop 악성앱은 문자메시지(SMS)를 통한 스미싱이나 각종 메신저, 이메일 등으로 특정 사용자를 겨냥하여 표적공격화 되어 전파될 수 있으므로 특별한 주의와 전문적인 방어솔루션이 필요하다. 스미싱기법을 이용한 악성문자는 잉카인터넷 대응팀에서 2013년 05월 09일 출시한 스미싱 원천 차단솔루션 "뭐야 이 문자" 무료 앱을 통해서 유입시점에 완벽하게 사전탐지 및 제거를 할 수 있다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop

 


혹시 이와 관련되어 있거나 유사한 스미싱 의심 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.


저작자 표시
신고
Posted by nProtect