1. 비아그라 판매 내용으로 유혹하는 음란 스미싱 등장

잉카인터넷 대응팀은 안드로이드용 악성앱 관제 중에 새로운 유형으로 악성앱 설치를 유도하는 스미싱 기법을 최초탐지했다. 과거에도 성인사이트 앱처럼 위장하여 개인정보 탈취 등을 시도한 사례가 있기는 했었지만, 자주 발견되는 종류는 아니었다. 문자메시지(SMS)를 통한 다양한 형태의 스미싱이 창궐하고 있는 가운데, 이용자들의 감염율을 높이기 위해서 다양한 기법이 동원되고 있는 추세이다. 해당 스미싱 내용은 보안협력이 체결되어 있는 이동통신사 SKT 보안팀에 전달하여 조속히 차단될 수 있도록 협력 중이며, 유관기관 등에도 공유한 상태이다.

특히, 이번에 발견된 사례처럼 음란하고 자극적인 이미지를 포함한 경우, 표적공격용으로 활용이 가능하고, 호기심 유발로 인한 악성앱 접근 가능성이 높아질 수 있다. 더불어 미성년자들에게는 음란 사이트 접근 자체만으로도 정신적 피해로 이어질 수 있다. 이처럼 스미싱 문자메시지를 통한 잠재적 위협이 커지고 있고, 이용자들의 심리를 교묘하게 파고드는 지능적인 수법이라 할 수 있다.

추가로 공격자는 국내에 이용자가 많은 특정 A사 스미싱 차단앱이 탐지하지 못하도록 이미지 파일(logo.jpg)을 클릭할 경우에 악성앱(AV-cdk.apk)이 설치하도록 만들었고, 일부 스미싱 탐지 솔루션을 우회하는 기법을 도입해서 전파 중이기 때문에 각별한 주의가 요망된다.

잉카인터넷에서 무료로 배포 중인 "뭐야 이 문자" 스미싱 원천 차단 솔루션 이용자들은 별도의 추가 업데이트나 조작없이 이번 스미싱을 사전탐지하고 차단할 수 있으며, 유사한 스미싱 보안위협을 원천적으로 예방할 수 있다.

 

 "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.nprotect.antismishing  


[주의]정상적인 웹 사이트 화면을 무단도용하는 지능적 스미싱
☞ http://erteam.nprotect.com/457

[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입
☞ http://erteam.nprotect.com/449

[주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현
☞ 
http://erteam.nprotect.com/448

[정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황
☞ 
http://erteam.nprotect.com/445

[주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/442

[주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경
☞ 
http://erteam.nprotect.com/431

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ 
http://erteam.nprotect.com/428

[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ 
http://erteam.nprotect.com/425

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ 
http://erteam.nprotect.com/426

[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ 
http://erteam.nprotect.com/424

[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ 
http://erteam.nprotect.com/422

[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ 
http://erteam.nprotect.com/420

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ 
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ 
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ 
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ 
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ 
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ 
http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ 
http://erteam.nprotect.com/377


2. 음란 사이트에 숨겨져 있는 안드로이드 악성앱

먼저 공격자는 다음과 같은 내용의 문자메시지를 통해서 악성앱 설치를 유도하고 있고, 마치 비아그라 판매 내용처럼 조작된 내용으로 이용자들의 클릭을 유도한다. (일부 악성 사이트 주소 *표시)

남자의자존심새로운생명매우 강한 최근드문 비아그라판매http://*****.zz**.com

 
이용자가 문자메시지 내용에 현혹되어 링크를 클릭할 경우 아래와 같이 특정 음란 사이트로 연결된다. 그리고 이용자가 음란한 이미지를 클릭할 경우 "AV-cdk.apk" 이름의 악성앱이 다운로드된다. (일부 노출이 심한 화면은 강제 모자이크 처리)


이용자가 다운로드된 APK 파일을 한번 더 클릭하여 실행을 하면, 아래와 같이 앱 설치 화면이 보여진다. 악성앱은 안드로이드 단말기의 연락처, 문자메시지 전송, GPS 위치추적, 문자메시지 감시, 인터넷 통신, 내장메모리 접근, 통화상태, 사진 및 동영상 촬영, 오디오 녹음, 시스템 활성화 등 다양한 기능을 통해서 사생활 침해 및 개인정보 탈취를 시도하게 된다.

이른바 사이버 흥신소나 각종 사이버 범죄자들이 표적공격용으로도 충분히 활용할 수 있는 기능을 탑재하고 있어 스미싱 공격 범위가 점차 확대되고 있다는 것을 증명하고 있다. 다만, 기존의 소액결제사기 범죄자들이 사용했던 "다날" 앱으로 위장한 점이 유사하여 기존처럼 소액결제사기용으로 활용될 가능성도 배제하기 어렵다.

 
악성앱은 기존과 마찬가지로 [기기 관리자] 기능 실행을 유도하여 악성앱이 쉽게 제거되지 않도록 설정하게 만든다. 만약 이용자가 [기기 관리자] 기능을 실행할 경우 반드시 해당 기능을 해제해야만 악성앱 삭제가 가능하다. 따라서 이용자들은 이런 화면을 보게 될 경우 [취소] 버튼을 눌러 악의적인 기능이 작동되지 않도록 하여야 한다.


잉카인터넷 대응팀은 해당 악성앱 공격자가 국내 스미싱 탐지 솔루션들의 사전차단을 우회하기 위해서 음란성 웹 사이트에 이미지 파일(logo.jpg)로 링크한 것을 확인하였다. 현재 국내 일부 스미싱 탐지 제품이 정상적인 문자로 보여주고 있어 이용자들은 각별히 주의해야 한다.


잉카인터넷에서 무료로 배포 중인 스미싱 원천 차단 솔루션 "뭐야 이 문자" 앱은 이러한 지능적 수법의 스미싱 형태도 별도의 추가 업데이트 없이 정상적으로 탐지하고 있는 상태이다.

이외에도 최근 스미싱의 기법을 보면 차단회피 목적으로 도메인 주소의 일부만 조금씩 변경하면서 유포하는 다형성 기법과 IP주소를 이용하는 방식 등이 꾸준히 이용되고 있다. 아래와 같은 내용을 참고하여 유사한 스미싱 위협에 노출되지 않도록 하는 것도 필요하다. 또한, 실제 수신자의 이름을 도용한 경우가 많다는 점도 주목해야 한다. (보안상 일부 도메인 * 표시)

--EMS-- 고객님 택배 배송 도착예정▶ http://bjco.a-ems.****.net:8088/
--EMS-- 고객님 택배 배송 도착예정▶ http://iaya.m-ems.****.co/
--EMS-- 고객님 택배 배송 도착예정▶ http://raku.m-poems.****.co:8088/
--EMS-- 고객님 택배 배송2~3일도착예정 ▶ http://lupb.m-emskorean.****.co:8088/<우
--EMS-- 고객님 택배 배송2~3일도착예정 배송조회▶ http://1w.delos.****.co:86/
--EMS-- 우체국쇼핑주문완료 배송예정▶▶ http://ualp.m-poems.****.co/
11월 렌탈료50.000원 고객농협계좌 자동 입금처리되었습니다 http://goo.gl/u0**MV {웅진코웨이}
11월3일~12월3일 통신요금미납금 463,320원 결제.이용내역->126.65.***.22
12.16일 신한카드 일시불 370.392원 정상결제완료. 확인요망!http://joi.nu/**s
12월15일 대용와설화결혼식합니다 축하해주세요!! http://emnbs.vetecct.****.net:8087/ <<네
12월15일 대용와설화결혼식합니다 축하해주세요!! http://nyems.vetecct.****.net:8087/ <<네
12월15일 대용와설화결혼식합니다 축하해주세요!! http://ssems.appsle.****.net:8087/ <<네트
2013.12.12일 고객님 신한카드 22만원 정상결제완료되였읍니다.확인요망필요! http://linkee.com/SE**hQ
[CJ대한통운]G마켓에서 고객님에게 택배를 발송하였습니다 배송예정 확인http://me2.do/xp**r4jw
[GIRO] 김혜인님의 차량이 무인단속장비에 적발되었습니다 hangam**.com 확인후 처리바랍니다
[GIRO] 박기정님의 차량이 무인단속장비에 적발되었습니다 uplus-p**y.com 확인후 처리바랍니다
[GIRO] 유주형님의 차량이 무인단속장비에 적발되었습니다 hot**.net 확인후 처리바랍니다
[GIRO] 이상헌님의 차량이 무인단속장비에 적발되었습니다 call.yb**xx.net 확인후 처리바랍니다
[GIRO] 이재완님의 차량이 무인단속장비에 적발되었습니다 hotgir***04.com 확인후 처리바랍니다
[GIRO] 전재형님의 차량이 무인단속장비에 적발되었습니다 hot**.net 확인후 처리바랍니다
[GIRO] 홍석민님의 차량이 무인단속장비에 적발되었습니다 m-giro**.co.kr 확인후 처리바랍니다
[롯데마트] 카드결제가 성공하였습니다 사용내역 naver.**ri.net
[민원24] 장수빈님의 차량이 무인단속장비에 적발 highway-***.kr 확인후 처리바랍니다
[법무원]등기발송하였으나 전달불가 133.205.***.130 (부재중)하였습니다 간편조회
[응친] 친구맺기 요청이 도착하였습니다 friends****.kr 확인하고 응답해주세요
[정기모임] 자기계발에 꿈이 잇는 당신과의 행복한 동행을 기다립니다 goo.gl/O5**co
[한진택배] 고객님이 원하시는 택배 배송2~3일도착예정 http://opvci.minap.****.net:86
{우체국} 중요등기 부재중 전달불가: 간편확인: me2.do/F3R**l1C
{우체국} 중요등기 부재중 전달불가: 간편확인: me2.do/Gss**LYK
{우체국} 중요등기 부재중 전달불가: 간편확인: me2.do/xrY**CFY
고객님 택배 배송2-3일도착예정 배송조회http://0.gg/4**Gv
고객님 택배 배송2~3일도착예정 배송조회▶ http://Ayak.minap.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://Cmua.delos.****.co:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://Liaop.hgfbank.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://acda.seehosp.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://acems.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://adta.roaysms.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://annw.moaiko.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://buac.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://caoa.yes81.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://covae.epostems.****.net:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://cqc.info.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://crisp.m-emskorean.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ctae.taileifo.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dag.seehosp.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dca.andlei.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dtclk.seehosp.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dtcy.botems.****.co:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://eemss.mallor.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emms.8mg.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.andlei.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.ccaotinf.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.eponas.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.imlv.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.ccaotinf.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.mallor.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.ohseei.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.seehosp.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emts.hgfbank.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://eos.obast.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://eucy.m-emskorean.****.co:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://fas.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://gds.ohseei.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://goael.roaysms.****.net:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://goo.gl/i**3jg
고객님 택배 배송2~3일도착예정 배송조회▶ http://gowe.minap.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http://hab.kr-emss.****.net:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://hata.taileifo.****.net:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://hau.orgbey.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://hta.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://indws.konems.****.co:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ioa.kor-emsstb.****.co:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://kla.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://koems.info.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://koems.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://koems.telneao.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://kor.roaysms.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://kot.info.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://last.m-mems.****.net:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mar.a-ems.****.net:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mas.kor-emsstb.****.co:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://mbems.ccaotinf.****.co:88/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mel.kor-emsstb.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mn.yes81.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://moua.ofosmss.****.net:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://naga.ohseei.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://neac.ohseei.****.co:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://posho.kr-emss.****.net:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://towa.ccaotinf.****.co:88/
고객님 택배 배송2~3일도착예정 배송조회▶ http://uaci.absems.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://uiac.info.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ula.ohseei.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://van.andlei.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://vems.moaiko.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://vqc.ohseei.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://xcv.info.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://yoab.roaysms.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://zouie.delos.****.co:8085
고객님 택배 배송2~3일도착예정 배송조회▶ http://zouie.delos.****.co:86
고객님 택배 배송2~3일도착예정 배송조회▶ http:/acems.minap.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/ems.delos.****.co:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/hobox.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/koems.minap.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/piefs.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/tym.yes81.****.net:8085/
고객님이 원하시는 크리스마스커플 배송예정 http://kanbl.yes81.****.net:86 [CJ대한통운 택배]
고객님이 크리스마스커플 택배 배송예정 http://nbeay.epostems.****.net:88/ [CJ대한통운 택배]
고객서비스.12.11일 고객님 신한카드 22만원 정상결제완료되였읍니다.확인요망필요! http://joi.nu/**u
김규찬씨 12일 모임공지입니다. 망년회랑 같이하오니 꼭! 참석하세요 p.tl/f**F
롯데홈쇼핑 모바일 전용주소 로그인 쿠/폰 선물 5만원. http://b**.kr/sk
박종한씨 7일 모임일자입니다. 망년회도 같이 진행하오니 꼭 참석하세요 p.tl/b**s
서호정님의 차량이 무인단속장비에 적발되었습니다 www.giro**ll.kr 확인후 처리바랍니다
선물한 스타벅스받아러가기 [위메프Go▶ http://ems.eponas.****.net:8085 ]
안녕하세요 핸드폰 존재 보안 설치 파일 보호 주십시http://playotp.oi**.net/
여규혁씨 12월 망년회 모임 공지드릴테니 장소및 날짜 확인 부탁드립니다 is.gd/qw**DV
유가희 고객님 goo.gl/M6**Rt 친구요청확인하기.
이정우씨 12월 망년회모임 공지입니다 장소및 날짜시간 확인후 꼭 참석하세요 is.gd/tO**5m
저희 12월09일 결혼합니다. 많이많이 와서 축복해주세요. http://is.gd/pZ**qH
저희 12월11일 결혼합니다. 많이많이 와서 축복해주세요. http://is.gd/uA**V0
저희 12월12일 결혼합니다. 많이많이 와서 축복해주세요. bhttp://dwz.im/1**o
접수번호 moa.so/**s 번호클릭
지방경찰청입니다.출두해주세요 www.fantastic****.cox.kr
최병기씨 13일 금요일 모임공지입니다. 망년회랑 같이하오니 꼭! 참석하세요 p.tl/T**V
최첨단 무료 므흣자료 126.15.***.106 연예인/일반인
통신 임시 보수를 다운로받으세요http://sino.me/3**4
한겜 결제서비스 230,000원 정상 결제 되었습니다. 취소하기 http://camn.8mg.****.co/
확인해주세요 이벤트진 행중입니다.>http://180.178.**.213/


3. 스미싱 예방법 및 대응책


스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

 "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.nprotect.antismishing 

 "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.inca.nprotect

 

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat

 
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. VOD 영화관의 무료영화감상 내용으로 둔갑한 문자사기

잉카인터넷 대응팀은 안드로이드 기반 스마트폰 이용자를 겨냥한 새로운 내용의 스미싱(Smishing)을 발견했다. 물론 스미싱용 문자메시지(SMS)가 갈수록 다변화되고 있기 때문에 이용자들은 URL 이나 IP주소 등의 인터넷 주소가 포함된 경우 가급적 접근을 자제하고 의심해 보는 노력이 필요하다.

이번에 확인된 유형은 국내에서 실제 서비스 중인 특정 영화감상 웹 사이트의 화면을 무단도용하였다. 문자메시지(SMS) 내용에는 마치 10주년 기념 이벤트처럼 이용자의 심리를 교묘하게 파고들었고, 무료로 영화를 감상할 수 있는 인터넷 바로가기 주소처럼 위장한 후 이용자를 현혹시켰다. 그런 다음에 문자메시지에 포함된 인터넷주소(URL)를 클릭하도록 유도한 후, 만약 인터넷 주소에 접근할 경우 실제 이벤트처럼 보이도록 정교하게 조작된 가짜 웹 사이트로 연결시켜 신뢰도를 높이게 된다.

특히, 실제 서비스 중인 특정 웹 사이트의 화면을 그대로 보여주면서 악의적인 안드로이드 악성앱(APK)파일을 자동적으로 다운로드시키고, 이용자가 직접 악성앱을 설치하도록 유도한다. 따라서 이용자들은 호기심 유발이나 무료라는 내용에 쉽게 현혹되지 않아야 하며, 악성앱에 감염될 경우 문자메시지, 주소록, 사진, 메모, 공인인증서, 통화내역 등이 손쉽게 해커에게 탈취될 수 있고, 녹음기능을 통한 도청 등의 사생활 침해와 추가적인 악성앱 다운로드 설치 등의 피해를 입을 수 있다는 것을 명심해야 한다.

작년 하반기부터 유행한 한국 맞춤형 스미싱 범죄 초기에는 모바일 소액결제 승인문자를 몰래 가로채치한 금전 사기가 기승을 부렸으나, 최근에는 스마트 뱅킹용 악성앱을 추가 설치하여 금융정보를 탈취 후 전자금융사기에 활용되고 있어 피해금액이 갈수록 커질 전망이다.

참고적으로 국내에서 스미싱을 통해 유입되는 악성앱들은 대부분 Android OS 기반의 스마트폰 이용자를 대상으로 삼고 있으며, iOS 기반의 악성앱은 상대적으로 찾아보기 힘들다. 현재도 안드로이드 악성앱은 폭발적으로 증가하고 있고, 스미싱 기법의 공격도 꾸준히 이어지고 있으므로, 이용자들의 각별한 주의와 관심이 필요하다. 안드로이드 기반 악성앱은 스마트폰 범죄의 온상으로 자리잡고 있으므로 안드로이드 단말기 이용자들은 스미싱 차단 탐지 솔루션 등 모바일 보안솔루션을 적극적으로 활용하고, 이용자 스스로 호기심 유발이나 의심스러운 문자메시지에 쉽게 접근하지 않는 보안습관이 중요하다.

[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입
☞ http://erteam.nprotect.com/449

[주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현
☞ 
http://erteam.nprotect.com/448

[정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황
☞ 
http://erteam.nprotect.com/445

[주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/442

[주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경
☞ 
http://erteam.nprotect.com/431

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ 
http://erteam.nprotect.com/428

[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ 
http://erteam.nprotect.com/425

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ 
http://erteam.nprotect.com/426

[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ 
http://erteam.nprotect.com/424

[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ 
http://erteam.nprotect.com/422

[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ 
http://erteam.nprotect.com/420

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ 
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ 
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ 
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ 
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ 
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ 
http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ 
http://erteam.nprotect.com/377

2. 굿 다운로더 당신을 노리고 있는 스미싱의 미끼

이번에 발견된 스미싱 문자 메시지는 다음과 같이 국내에서 서비스 중인 "씨네폭스" 사이트의 내용처럼 사칭하여 전파되었다. (일부내용 모자이크 처리)

씨네폭스-10주년기념이벤트 국내최대편수 합법 인테넷영화관 굿다운로드, 스마트폰으로 실시간 무료영화감상 바로가기>> http://2.****nxon.com/


보통 국내에 전파되는 스미싱 문자의 경우 오타나 표현이 부자연스러운 경우가 많은데, 이번 경우에도 인터넷을 인테넷 등으로 잘못 표기하였고, 도메인의 경우도 실제 "시네폭스" 사이트가 아닌 다른 도메인이 이용되었다. 그러나 접속되는 사이트는 실제 "씨네폭스" 소스코드를 도용했기 때문에 동일한 화면으로 보여진다.

해당 문자메시지를 수신한 불특정다수의 이용자 중에 내용확인을 위해서 인터넷주소로 접근할 경우 다음과 같은 웹 사이트로 연결되고, 수초 후에 "korea_k-pop-2.apk" 이름의 악성 APK 파일이 다운로드된다.

 

다운로드된 악성앱(APK)을 이용자가 한번 더 클릭하면 설치가 진행되며, 다음과 같이 문자메시지 감시와 인터넷 기능권한 등을 요구하는 화면이 나타난다. 이 권한은 많은 안드로이드 악성앱들이 스마트폰 이용자의 정보를 탈취하기 위해서 보편적으로 사용하는 악성기능으로 악성앱 제작자들이 손쉽게 이런 기능에 접근하지 못하도록 개발 관계사들의 적극적인 차단노력도 절실하다.


설치된 악성앱이 실행되면 "씨네폭스" 이벤트 내용과는 전혀 무관한 백혈병 관련 문구와 입력화면을 보여주고, [확인]버튼을 클릭하면 바로 사라진 후 악의적인 기능이 유지된다.

 
이외에도 최근 스미싱의 기법을 보면 차단회피 목적으로 도메인 주소의 일부만 조금씩 변경하면서 유포하는 다형성 기법과 IP주소를 이용하는 방식 등이 꾸준히 이용되고 있다. 아래와 같은 내용을 참고하여 유사한 스미싱 위협에 노출되지 않도록 하는 것도 필요하다. 또한, 실제 수신자의 이름을 도용한 경우가 많다는 점도 주목해야 한다. (보안상 일부 도메인 * 표시)

--EMS-- 고객님 택배 배송 도착예정▶ http://bjco.a-ems.****.net:8088/
--EMS-- 고객님 택배 배송 도착예정▶ http://iaya.m-ems.****.co/
--EMS-- 고객님 택배 배송 도착예정▶ http://raku.m-poems.****.co:8088/
--EMS-- 고객님 택배 배송2~3일도착예정 ▶ http://lupb.m-emskorean.****.co:8088/<우
--EMS-- 고객님 택배 배송2~3일도착예정 배송조회▶ http://1w.delos.****.co:86/
--EMS-- 우체국쇼핑주문완료 배송예정▶▶ http://ualp.m-poems.****.co/
11월 렌탈료50.000원 고객농협계좌 자동 입금처리되었습니다 http://goo.gl/u0**MV {웅진코웨이}
11월3일~12월3일 통신요금미납금 463,320원 결제.이용내역->126.65.***.22
12.16일 신한카드 일시불 370.392원 정상결제완료. 확인요망!http://joi.nu/**s
12월15일 대용와설화결혼식합니다 축하해주세요!! http://emnbs.vetecct.****.net:8087/ <<네
12월15일 대용와설화결혼식합니다 축하해주세요!! http://nyems.vetecct.****.net:8087/ <<네
12월15일 대용와설화결혼식합니다 축하해주세요!! http://ssems.appsle.****.net:8087/ <<네트
2013.12.12일 고객님 신한카드 22만원 정상결제완료되였읍니다.확인요망필요! http://linkee.com/SE**hQ
[CJ대한통운]G마켓에서 고객님에게 택배를 발송하였습니다 배송예정 확인http://me2.do/xp**r4jw
[GIRO] 김혜인님의 차량이 무인단속장비에 적발되었습니다 hangam**.com 확인후 처리바랍니다
[GIRO] 박기정님의 차량이 무인단속장비에 적발되었습니다 uplus-p**y.com 확인후 처리바랍니다
[GIRO] 유주형님의 차량이 무인단속장비에 적발되었습니다 hot**.net 확인후 처리바랍니다
[GIRO] 이상헌님의 차량이 무인단속장비에 적발되었습니다 call.yb**xx.net 확인후 처리바랍니다
[GIRO] 이재완님의 차량이 무인단속장비에 적발되었습니다 hotgir***04.com 확인후 처리바랍니다
[GIRO] 전재형님의 차량이 무인단속장비에 적발되었습니다 hot**.net 확인후 처리바랍니다
[GIRO] 홍석민님의 차량이 무인단속장비에 적발되었습니다 m-giro**.co.kr 확인후 처리바랍니다
[롯데마트] 카드결제가 성공하였습니다 사용내역 naver.**ri.net
[민원24] 장수빈님의 차량이 무인단속장비에 적발 highway-***.kr 확인후 처리바랍니다
[법무원]등기발송하였으나 전달불가 133.205.***.130 (부재중)하였습니다 간편조회
[응친] 친구맺기 요청이 도착하였습니다 friends****.kr 확인하고 응답해주세요
[정기모임] 자기계발에 꿈이 잇는 당신과의 행복한 동행을 기다립니다 goo.gl/O5**co
[한진택배] 고객님이 원하시는 택배 배송2~3일도착예정 http://opvci.minap.****.net:86
{우체국} 중요등기 부재중 전달불가: 간편확인: me2.do/F3R**l1C
{우체국} 중요등기 부재중 전달불가: 간편확인: me2.do/Gss**LYK
{우체국} 중요등기 부재중 전달불가: 간편확인: me2.do/xrY**CFY
고객님 택배 배송2-3일도착예정 배송조회http://0.gg/4**Gv
고객님 택배 배송2~3일도착예정 배송조회▶ http://Ayak.minap.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://Cmua.delos.****.co:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://Liaop.hgfbank.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://acda.seehosp.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://acems.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://adta.roaysms.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://annw.moaiko.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://buac.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://caoa.yes81.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://covae.epostems.****.net:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://cqc.info.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://crisp.m-emskorean.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ctae.taileifo.****.net:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dag.seehosp.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dca.andlei.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dtclk.seehosp.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://dtcy.botems.****.co:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://eemss.mallor.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emms.8mg.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.andlei.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.ccaotinf.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.eponas.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.imlv.****.co:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ems.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.ccaotinf.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.mallor.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.ohseei.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emss.seehosp.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://emts.hgfbank.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://eos.obast.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://eucy.m-emskorean.****.co:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://fas.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://gds.ohseei.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://goael.roaysms.****.net:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://goo.gl/i**3jg
고객님 택배 배송2~3일도착예정 배송조회▶ http://gowe.minap.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http://hab.kr-emss.****.net:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://hata.taileifo.****.net:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://hau.orgbey.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://hta.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://indws.konems.****.co:8087/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ioa.kor-emsstb.****.co:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://kla.kor-emsstb.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://koems.info.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://koems.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://koems.telneao.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://kor.roaysms.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://kot.info.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://last.m-mems.****.net:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mar.a-ems.****.net:8088/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mas.kor-emsstb.****.co:8086/ <우체국택배
고객님 택배 배송2~3일도착예정 배송조회▶ http://mbems.ccaotinf.****.co:88/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mel.kor-emsstb.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://mn.yes81.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://moua.ofosmss.****.net:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://naga.ohseei.****.co:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://neac.ohseei.****.co:89/
고객님 택배 배송2~3일도착예정 배송조회▶ http://posho.kr-emss.****.net:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://towa.ccaotinf.****.co:88/
고객님 택배 배송2~3일도착예정 배송조회▶ http://uaci.absems.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://uiac.info.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://ula.ohseei.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://van.andlei.****.net:8086/
고객님 택배 배송2~3일도착예정 배송조회▶ http://vems.moaiko.****.co:81/
고객님 택배 배송2~3일도착예정 배송조회▶ http://vqc.ohseei.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://xcv.info.****.co:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://yoab.roaysms.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http://zouie.delos.****.co:8085
고객님 택배 배송2~3일도착예정 배송조회▶ http://zouie.delos.****.co:86
고객님 택배 배송2~3일도착예정 배송조회▶ http:/acems.minap.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/ems.delos.****.co:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/hobox.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/koems.minap.****.net:8085/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/piefs.taileifo.****.net:86/
고객님 택배 배송2~3일도착예정 배송조회▶ http:/tym.yes81.****.net:8085/
고객님이 원하시는 크리스마스커플 배송예정 http://kanbl.yes81.****.net:86 [CJ대한통운 택배]
고객님이 크리스마스커플 택배 배송예정 http://nbeay.epostems.****.net:88/ [CJ대한통운 택배]
고객서비스.12.11일 고객님 신한카드 22만원 정상결제완료되였읍니다.확인요망필요! http://joi.nu/**u
김규찬씨 12일 모임공지입니다. 망년회랑 같이하오니 꼭! 참석하세요 p.tl/f**F
롯데홈쇼핑 모바일 전용주소 로그인 쿠/폰 선물 5만원. http://b**.kr/sk
박종한씨 7일 모임일자입니다. 망년회도 같이 진행하오니 꼭 참석하세요 p.tl/b**s
서호정님의 차량이 무인단속장비에 적발되었습니다 www.giro**ll.kr 확인후 처리바랍니다
선물한 스타벅스받아러가기 [위메프Go▶ http://ems.eponas.****.net:8085 ]
안녕하세요 핸드폰 존재 보안 설치 파일 보호 주십시http://playotp.oi**.net/
여규혁씨 12월 망년회 모임 공지드릴테니 장소및 날짜 확인 부탁드립니다 is.gd/qw**DV
유가희 고객님 goo.gl/M6**Rt 친구요청확인하기.
이정우씨 12월 망년회모임 공지입니다 장소및 날짜시간 확인후 꼭 참석하세요 is.gd/tO**5m
저희 12월09일 결혼합니다. 많이많이 와서 축복해주세요. http://is.gd/pZ**qH
저희 12월11일 결혼합니다. 많이많이 와서 축복해주세요. http://is.gd/uA**V0
저희 12월12일 결혼합니다. 많이많이 와서 축복해주세요. bhttp://dwz.im/1**o
접수번호 moa.so/**s 번호클릭
지방경찰청입니다.출두해주세요 www.fantastic****.cox.kr
최병기씨 13일 금요일 모임공지입니다. 망년회랑 같이하오니 꼭! 참석하세요 p.tl/T**V
최첨단 무료 므흣자료 126.15.***.106 연예인/일반인
통신 임시 보수를 다운로받으세요http://sino.me/3**4
한겜 결제서비스 230,000원 정상 결제 되었습니다. 취소하기 http://camn.8mg.****.co/
확인해주세요 이벤트진 행중입니다.>http://180.178.**.213/


3. 스미싱 예방법 및 대응책


스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

 "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.nprotect.antismishing 

 "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.inca.nprotect

 

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. APK 파일 ZIP Format Header 조작을 통한 암호화 방식 도입

잉카인터넷 대응팀은 2013년 10월 01일 오후 5시 58분 경부터 국내 불특정 다수의 안드로이드 스마트폰 이용자를 겨냥한 스미싱기법의 악성문자가 전파되는 정황을 포착하였다. 그런데 이 스미싱을 통해서 설치되는 악성앱(APK)파일은 기존의 스미싱용 악성앱 형태와 다르게 APK 앱 파일 자체가 암호화 기능으로 설정되어 있었다. 안드로이드의 APK 파일은 압축 포맷인 ZIP 형태를 가지고 있어 압축 프로그램을 통해서 쉽게 압축을 해제하고 분석할 수 있으나, 이번과 같이 암호화 기능이 설정된 경우 내부에 존재하는 "classes.dex" 파일에 쉽게 접근하기 어려워 분석방해 등의 어려움을 겪을 수 있다.

이 암호화 방식의 기법은 2013년 03월 25일 해외에서 이슈가 공개되었던 내용으로, ZIP 파일 포맷의 Header 값을 조작하여 마치 암호화된 것처럼 보이도록 만든 기법이다. 그런데 안드로이드 APK Manager 에서는 ZIP 포맷의 Encrypted File Flag Bit 값을 무시하고 설치를 시도하기 때문에 안드로이드 운영체제의 단말기에서 악성앱이 정상적으로 설치되는 것이고, 얼마든지 악용 가능한 일종의 보안 취약점으로 남용될 위험성이 존재한다.



2. 스미싱 갈수록 탐지우회를 위한 노력 중 

악성앱 설치를 위한 스미싱 문자 메시지는 아래와 같이 단 시간에 다량으로 뿌려졌고, 이를 발견 즉시 한국인터넷진흥원(KISA)과 스미싱 정보공유 협력을 운영 중인 SKT 등의 이동통신사에 신속하게 정보공유와 함께 차단조치가 이뤄졌다. (일부 * 표시)

55000원 결제완료/익월 요금합산청구/잔액확인 http://955.cc/****
55000원 결제완료/익월 요금합산청구/잔액확인 http://vo.to/***


이번 스미싱 문자메시지 앱은 스미싱 전용 원천 차단 솔루션인 "뭐야 이 문자" 이용자를 통해서도 다수의 차단신고가 동시다발적으로 접수되었고, 별도의 추가 업데이트 없이 사전탐지가 이루어졌다. 계속해서 변종형태가 제작되어 유포되고 있는 상황이므로, 안드로이드 스마트폰 이용자들은 구글 플레이 마켓에서 "뭐야 이 문자"를 검색해서 설치해 두면 유사한 스미싱 문자를 예방할 수 있다.

◈ "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.nprotect.antismishing


3. 암호화 기법의 APK 파일 분석

스미싱을 통해서 전파된 악성앱은 955.cc 라는 특정 도메인을 통해서 클릭을 유도하였고, 다음(Daum) 사이트의 첨부기능을 통해서 전파되었다.

http://cfile235.uf.daum.net/attach/****5A4052487ED422**** (일부 * 표시)

다운로드되는 파일명은 "aaa.apk" 파일이며, 해당 파일을 압축 전문 프로그램으로 확인해 보면 암호화(* 표시) 압축 기능이 설정된 것을 확인해 볼 수 있다.


"aaa.apk" 파일의 코드 내부를 살펴보면 다음과 같이 ZIP Format Header 내용을 확인할 수 있고, Central Directory File Header의 처음 4바이트는 PKZip Signature 코드인 0x50, 0x4B, 0x01, 0x02 Hex 코드가 존재한다. 참고로 Local File Header 부분의 PKZip Signature 코드는 0x50, 0x4B, 0x03, 0x04 이다.


General Purpose Bit Flag:
Bit 00: encrypted file
Bit 01: compression option 
Bit 02: compression option 
Bit 03: data descriptor
Bit 04: enhanced deflation
Bit 05: compressed patched data
Bit 06: strong encryption
Bit 07-10: unused
Bit 11: language encoding
Bit 12: reserved
Bit 13: mask header values
Bit 14-15: reserved

00 00 => 2 바이트
00000000 00000000 => 16 비트

"aaa.apk" 파일 내부에 포함되어 있는 classes.dex 파일의 General Purpose Bit Flag 값은 아래와 같이 0x09, 0x08 이다.

09 08 => 00001001 00001000

인텔 x86 계열에서는 하위 바이트의 값이 메모리상에 먼저 표시되는 Little Endian 방식을 사용하므로 다음과 같이 변경된다. 그렇기 때문에 00 비트의 암호화 설정 플래그 값이 1로 설정되는 것이다.
 
08 09 => 0(15) 0(14) 0(13) 0(12) 1(11) 0(10) 0(09) 0(08) 0(07) 0(06) 0(05) 0(04) 1(03) 0(02) 0(01) 1(00) 


이 가운데 "classes.dex" 파일의 General Purpose Bit Flag 값을 0x09 내용에서 0x08 값으로 변경하고 저장하면 "aaa.apk" 파일의 classes.dex 파일의 암호화가 해제(* 표시 제거)된 것을 확인할 수 있다. 그외 다른 파일들도 Header 에서 해당 값을 변경하면 모두 압축을 해제할 수 있다.


악성앱은 암호화되어 있지만 안드로이드 스마트폰 단말기 등에서는 다음과 같이 정상적으로 설치되고, 스마트폰에 저장되어 있는 개인정보 탈취, 휴대폰 소액결제사기, 스마트뱅킹 위장 악성앱 설치 등 악의적인 사이버 범죄행위를 수행할 수 있게 된다.


이번 악성앱 역시 기기관리자 실행을 유도하여 이용자가 추후 악성앱 확인 및 삭제를 어렵게 방해한다. 따라서 이용자는 절대로 이런 기기관리자 기능을 실행하지 않는 것이 중요하다.


악성앱에 감염되면 해외의 특정 명령제어(C&C)서버로 접속하여 추가의 악성앱 설치 시도 등을 시도한다.



해당 악성앱 내부와 명령제어서버 웹 사이트는 중국어로 구성되어 있고, 현재는 한국인터넷진흥원(KISA) 등의 조치로 국내에서 접속이 차단된 상태이다.


아래 화면은 실제 공격자 서버에 등록되고 있는 스미싱 정보들로 많은 스마트폰 이용자들의 정보가 실시간으로 유출되고, 소액결제사기 등의 피해를 입고 있다.


4. 스미싱 예방법 및 대응책


스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.


안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

05. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

06. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

07. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

08. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

09. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 스미싱 문자 메시지 현재 진행형이며, 여전히 활개


잉카인터넷 대응팀은 국내 안드로이드 기반 스마트폰 이용자들을 겨냥한 악성앱(APK) 설치용 스미싱을 집중 관제 중이다. 상반기와 수치적으로 비교해 보아도 스미싱 문자메시지는 여전히 기승을 부리고 있고, 악성앱 변종도 꾸준히 증가 추세이다. 잉카인터넷 대응팀은 지난 5월 경 스미싱이 사회적인 문제로 대두되고, 피해가 증가함에 따라 스미싱 원천차단방지 솔루션인 "뭐야 이 문자" 앱을 개발하여 일반에 무료로 배포 중이다. "뭐야 이 문자" 앱은 스미싱의 피해가 급증함에 따라 단기간에 총 사용자 설치 수가 약 50,000 여명에 가깝게 설치하였고, 시간 차로 조금씩 차이가 있지만, 실시간으로 유포 중인 각종 스미싱을 차단하고 유포현황을 제공 받고 있다. 이처럼 스미싱과 각종 안드로이드 악성앱을 통한 스마트 범죄가 꾸준히 보고되고 있다는 점을 명심하고, 이용자들의 각별한 주의가 필요하다.

2. 단언컨데, 스미싱은 사이버 범죄자들의 高 수익원

스마트폰을 이용하고 있는 많은 사람들이 스미싱(Smishing)이라는 용어를 한번 쯤은 들어봤을 정도로 스미싱의 위협은 매우 가깝게 존재하며, 언론이나 방송 프로그램에서 다양한 소재로 활용될 정도이다.

[주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장
http://erteam.nprotect.com/442

[주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경
http://erteam.nprotect.com/431

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
http://erteam.nprotect.com/428

[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
http://erteam.nprotect.com/425

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
http://erteam.nprotect.com/426

[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
http://erteam.nprotect.com/424

[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
http://erteam.nprotect.com/422

[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
http://erteam.nprotect.com/420

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377


스미싱을 통한 안드로이드 악성앱(APK)설치는 문자메시지(SMS)로 수신된 다양한 URL주소를 무심코 클릭하는 순간 시작된다. 이용자가 악성앱을 설치하면 갖가지 악의적 행위를 수행하게 된다. 악성앱에 감염되면 문자메시지 편취, 전화번호부 유출, 통화내역이나 음성녹음에 위치추적까지 스마트폰의 기능을 교묘히 악용할 수 있어 개인신상 정보 유출 뿐만 아니라, 금전적인 피해로 이어지고 있는 상태이다.

국내에서는 이런 위협에 맞서 각종 스미싱을 조기 탐지하고 예방할 수 있는 다양한 서비스가 시행 중이다. 잉카인터넷 대응팀에서는 스미싱 원천차단방지 솔루션인 "뭐야 이 문자" 앱을 개발하여 무상으로 배포 중에 있고, 사회현상을 반영하듯 꾸준히 이용자가 늘고 있다. 아래 화면과 같이 약 5만 여명 가깝게 "뭐야 이 문자" 앱을 꾸준히 설치하고 있다.

 
"뭐야 이 문자" 앱의 이용자들을 통해서 접수되는 최신 스미싱 정보는 실시간으로 분석되며, SK텔레콤과 협력하여 신속하게 차단되고 있다. 아래 화면은 "뭐야 이 문자" 앱 이용자들에 의해서 실시간으로 접수되고 있는 현황의 일부 화면이며, 이통통신사별로 이용자 수는 SK텔레콤이 44.18%, KT 28.21%, LG U+ 24.61%, 나머지 기타의 비율을 보이고 있다.

 


스미싱 문자메시지는 보통 일상생활이 시작되는 오전 09시 경부터 오후 01시에 집중적으로 증가하는 모습을 보이고, 다시 오후 5시 경부터 오후 09시에 증가하는 경향이 있다. 또한, 평일보다 주말 기간에 유포 범위가 확대되는 경우가 많은 편이다.

스미싱을 통해서 감염된 안드로이드 악성앱은 보통 순식간에 사이버 범죄자들의 소액결제사기 위협에 노출된다. 그리고 스마트뱅킹 앱으로 위장한 형태는 이용자가 금융 정보를 입력하기 전까지 잠복기를 거치면서 잠재적인 보안 위협으로 작동하게 된다. 악성앱은 nProtect Mobile for Android 등 전문적으로 악성앱을 검색하고 제거할 수 있는 서비스를 이용할 수 있지만, 스미싱의 특성 상 유입 시점 이전에 차단하는 것이 예기치 못한 피해를 예방하고 최소화할 수 있다.

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ 
http://erteam.nprotect.com/400


 
"뭐야 이 문자" 앱을 통해서 수집되는 각종 스미싱 정보는 SK텔레콤과 협력을 통해서 해당 고객들에게 피해가 발생하지 않도록 정보공유체계를 구축하여 운용되고 있다.

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ 
http://erteam.nprotect.com/426
 
아래 화면은 2013년 09월 04일 발견되고 있는 스미싱 문자 정보들로 매우 다양한 형태로 유포 중인 사실을 볼 수 있다.


스미싱 원천차단 솔루션인 "뭐야 이 문자" 앱을 설치해 두면 현재 다량으로 유포 중인 각종 스미싱 문자메시지를 실시간으로 탐지하고 차단할 수 있다. 간혹, URL 링크가 차단된 스미싱 문자메시지의 경우 "뭐야 이 문자" 앱에서는 탐지대상에 포함하지 않는다.

왜냐하면, "뭐야 이 문자" 앱은 문자메시지에 포함된 단순 광고나 정상 문자를 일괄적으로 탐지하는 것이 아니라 실제 악성앱을 설치할 수 있는 조건에 부합되는 경우로 분석될 경우 차단한다. 따라서 실제 스미싱 문자라 할지라도 APK 링크가 존재하지 않을 경우 탐지하지 않을 수 있다.

  3. 스미싱 예방법 및 대응책


스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

 "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.nprotect.antismishing 

 "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ 
https://play.google.com/store/apps/details?id=com.inca.nprotect

 

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat

 



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 스미싱을 통한 개인정보 중국 이메일로 유출


잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 겨냥한 스미싱 사기범들이 개인정보 및 문자메시지(SMS) 수집 방식을 웹 서버에서 중국 무료 웹메일 서비스로 변경한 것을 다수 발견하였다. 웹 서버 기반의 정보수집 방식은 명령제어(C&C) 서버의 IP주소 차단을 통해서 조기에 무력화될 수 있다. 그렇다보니 공격자들은 노출된 서버의 IP 주소를 꾸준히 변경하거나 새로운 서버를 구축하여 사용하였다. 스미싱 공격자 측면에서는 자신들이 운영하는 서버가 국내에서 접속이 차단되는 것을 원하지 않기 때문에 웹 서버 방식에서 웹 메일 서비스 방식으로 교체하였고, 웹 서버를 구축하여 운용하는 것 보다 무료 웹 메일 서비스를 이용하는 방식이 상대적으로 편리하고 유용했기 때문인 것으로 해석된다.

이에 잉카인터넷 대응팀은 현실적으로 무료 웹 메일의 도메인 접속 자체를 차단하는건 무리가 있어 악성앱에 포함되어 있던 이메일 계정의 접속차단을 시켰지만, 스미싱 범죄자들은 자신의 계정이 변경되지 않도록 보호장치를 추가하는 등 갈수록 지능화되고 있는 추세이다. 특히, 조사과정 중 공격자가 스미싱 범죄를 하기 위해서 모의로 사전 테스트한 내용과 일부 신상정보의 정황으로 보아 중국내 거주하는 한국인이거나 조선족으로 의심된다.

2. 스미싱 악성앱 정보

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
http://erteam.nprotect.com/428

[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
http://erteam.nprotect.com/425

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
http://erteam.nprotect.com/426

[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
http://erteam.nprotect.com/424

[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가

http://erteam.nprotect.com/422

[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견

http://erteam.nprotect.com/420

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

스미싱용 문자메시지는 다음과 같이 결혼식과 관련된 내용으로 위장하여 불특정다수에게 전파되었다. 더불어 공격자는 이미 문자 수신 대상자들에 대한 개인정보(주민번호, 전화번호 등)를 다수 보유하고 있는 상태로 악성앱 설치를 유도하게 된다.


스미싱용 문자메시지에 포함되어 있는 단축 URL 주소를 클릭하게 되면 악성앱(APK)이 이용자 단말기에 다운로드된다. 그 다음에 이용자가 해당 앱을 클릭하여 설치를 계속 진행하면 다음과 같이 연락처, 문자메시지, 인터넷, 휴대폰 정보 등의 민감한 기능에 접근하는 권한요구 화면을 볼 수 있게된다. 안드로이드 스마트폰 이용자들은 특정앱을 설치할 때 다음과 같은 정보들을 요구하는 앱을 볼 경우 악성앱에 노출될 수 있으므로, 각별히 주의하는 습관이 필요하다.


[설치]버튼을 클릭하면 기기관리자 기능 실행여부를 물어보고, 실행할 경우 이용자가 악성앱을 쉽게 삭제하지 못하도록 방해하게 된다. 이 부분은 기기관리자 기능을 통해서 사용자가 해제할 수 있다.


악성앱이 정상적으로 설치되면 이용자의 전화번호부와 문자메시지 등을 수집하여 중국의 특정 웹 메일 주소로 이용자 몰래 발송하게 된다.

다음 화면은 실제 악성앱의 내부코드 화면으로 문자메시지 내용 등을 이메일로 발송하는 것을 확인할 수 있다.


스미싱 범죄자는 중국 웹 메일 서비스(163.com)에 계정을 생성하고, 악성앱에 감염된 사용자들의 정보를 수집하도록 만들어 두었다.


악성앱에 감염되면 개인정보 유출과 함께 다음과 같이 범죄자에 의해서 다수의 휴대폰 소액결제사기 피해를 입게 된다. 아래는 극히 일부의 피해현황이며, 실제로 엄청난 양의 피해가 발생하고 있는 상황이다.
 


악성앱 제작자는 자신의 스마트폰 단말기를 이용해서 악성앱이 정상적으로 정보를 유출하는지 모의 테스트를 수행했으며, 그로 인해서 이메일에는 제작자의 스마트폰 정보가 고스란히 남아 있다.



3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


 

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat

 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 악성앱 기기 관리자 활성화 실행 주의


잉카인터넷 대응팀은 한국내 안드로이드 스마트폰 이용자들을 집중 겨냥한 스미싱 사기수법이 갈수록 지능화되고 있다는 점을 실제 사례와 함께 여러차례 최초 공개한 바 있다. 해외에서 발견되고 있는 외국용 안드로이드 악성앱이 수십만종 이상 발견되고 있는 것에 비하면, 아직 한국내 이용자를 노린 악성앱은 상대적으로 적은 편이다. 그러나 한국 맞춤형 안드로이드 악성앱도 잉카인터넷 대응팀 자체 집계결과 이미 1,500 여종 가깝게 발견되고 있는 상황으로 피해확산이 우려되고 있는 실정이다. 소액결제사기 및 스마트뱅킹 사칭용 앱, 개인정보 탈취 및 음성녹음 목적의 도청용 사생활침해 기능까지 모바일 보안위협은 점차 우리 실생활 깊숙하게 파고들고 있는 추세이다. 더불어 소액결제사기 등 모바일 보안 침해사고를 입는 피해자 보고도 꾸준히 속출하고 있어, 다양한 대책마련에 부심하고 있다.

이에 잉카인터넷 대응팀은 스미싱용 악성문자를 원천적으로 차단할 수 있는 전문 모바일 솔루션을 개발하여 무료로 배포하고 있으므로, 안드로이드 스마트폰 이용자들은 "뭐야 이 문자" 앱을 구글플레이 마켓이나 T스토어나 등에서 검색하고 설치하여 두면 사전에 악성 문자메시지를 근본적으로 방어할 수 있는 효과를 기대할 수 있다.

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
http://erteam.nprotect.com/426

[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
http://erteam.nprotect.com/424

[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가

http://erteam.nprotect.com/422

[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견

http://erteam.nprotect.com/420

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

안드로이드 악성앱을 제작하여 유포하는 사이버범죄자들은 이용자들이 현혹되기 쉽도록 다양한 수법을 동원하고 있고, 모바일 백신 등의 탐지회피를 위해서 정교하게 변종을 개발하여 지속적으로 유포를 시도하고 있다. 거기에 악성앱을 육안으로 쉽게 발견하지 못하게 숨기거나 수동으로 삭제하지 못하도록 기기 관리자 기능을 역이용하고 있어 이용자들의 각별한 주의가 필요하다.

2. 기기 관리자 실행을 유도하여 악성앱 삭제방해

최근 국내 이용자들에게 유포 중인 안드로이드 소액결제사기용 악성앱의 가장 큰 변화는 스미싱 과정을 통해서 설치시 기기 관리자 실행화면을 보여주고 유도하여, 설치 후 악성앱 수동삭제가 어렵도록 방해하고 있다는 수법을 특징으로 꼽을 수 있다.

아래 4개의 그림은 최근 스미싱을 통해서 국내 이용자들에게 유포된 안드로이드 악성앱이 설치 될 때 보여지는 기기관리자 실행과정으로, 악성앱은 마치 정상적인 앱처럼 보이도록 하기 위해서 다양한 아이콘과 이름으로 위장하고 있는 것을 알 수 있다.


특히, 최근 발견되는 악성앱들은 대부분 문자메시지 탈취 기능은 기본적으로 가지고 있고, 녹음기능과 위치정보 등을 감시하는 것들이 일반화되고 있을 정도로 악성화되고 있는 경향이 커지고 있어, 안드로이드 스마트폰 이용자들은 세심한 관심과 주의가 요망된다.

아래는 모빌리언스 앱처럼 아이콘과 내용을 위장한 악성앱이 사용하는 정보들로 민감한 정보를 모두 수집하고 있는 것을 알 수 있고, 실행시 설치된 아이콘을 사라지게 하기 때문에 이용자가 악성앱을 찾아내기가 쉽지 않다.


이러한 사기와 범행에 노출되지 않기 위해서는 URL이 포함된 문구에 현혹되지 말아야 하며, 안드로이드 악성앱에 감염되지 않도록 공식적인 앱 마켓 외에서는 안드로이드 앱을 가급적 설치하지 않도록 하는 보안습관이 중요하다. 더불어 "nProtect Mobile for Android" 제품과 스미싱 원천 차단 솔루션인 "뭐야 이 문자" 등을 사전에 설치해 두면 악성앱과 스미싱을 예방하는데 도움을 받을수 있다.


"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


설치된 악성앱들은 기기관리자 권한 획득을 통해서 사용자가 직접 강제중지 및 삭제를 하지 못하도록 해당 기능의 버튼을 모두 비활성화시킨다. 따라서 이용자가 직접 수동으로 강제종료 및 제거가 어려워지게 된다.


해당 악성앱들의 변종이 매우 다양하게 발견되고 있기 때문에 이용자들은 수동으로 발견 및 조치가 거의 불가능에 가깝다. 삭제를 진행하기 위해서는 다음과 같은 과정을 진행한다.

[디바이스 관리 직접 해제] / 갤럭시S3 ICS OS 이며, 악성앱을 알고 있는 기준 

- 환경설정 -> 보안 -> 디바이스 관리자 -> 악성앱 V 체크 해제 -> 해제 -> 확인
- 환경설정 -> 애플리케이션 관리 -> 악성앱 탐색/선택 -> 강제 중지 및 삭제


[nProtect Mobile for Android 제품을 이용하는 경우] / 악성앱 탐지된 경우 기준

① 기기 관리자 권한으로 인해서 강제중지 및 삭제 버튼이 비활성화되어 수동삭제가 불가능하기 때문에 nProtect Mobile for Android 제품을 설치해서 최신버전으로 업데이트한다.

② nProtect Mobile for Android 제품에서 악성앱을 탐지한 경우 해당 목록을 클릭하여 삭제를 진행한다.

③ [기기 관리자 관리] 버튼을 클릭한다.

④  악성앱 이름의 V 체크박스를 해제한다.

⑤ 기기 관리자 화면에서 [해제]버튼을 클릭한다.

⑥ 메시지 창이 나오면 [확인] 버튼을 클릭한다.

⑦ 다시 악성앱 탐지화면에서 삭제를 한번 더 실행하면 제거 화면이 나오고 [확인]버튼을 클릭한다.

⑧ 악성앱을 정상적으로 제거완료할 수 있다.


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 음란앱의 유혹, 당신의 문자메시지를 훔쳐간다.


잉카인터넷 대응팀은 마치 일본 음란 사이트용 안드로이드 앱처럼 사칭한 악성앱을 발견하였다. 이 악성앱은 스미싱 문자메시지(SMS)로 전파된 정황이 포착되었다. 이미 변종도 발견된 상태이기 때문에 앞으로 유사한 형태의 악성앱 전파가 증가할 수 있다는 점에 주목하고 있으며, 모바일 보안위협과 관련하여 이상징후를 예의주시하고 있다. 스마트폰 이용자가 음란하고 자극적인 문구에 현혹되어 무심코 문자메시지에 포함된 단축 URL 등에 접근하여 APK 파일을 설치할 경우, 스마트폰에 수신되는 문자메시지 등이 외부로 실시간 유출되어 스마트폰 소액결제사기 등의 금전적인 피해를 입을 가능성이 있고, 예기치 못하게 개인정보가 외부로 노출되어 사생활침해 등의 피해로 이어질 수 있으므로, 이용자들의 각별한 관심과 주의가 필요하다.

특히, 기존처럼 모바일 쿠폰이나 문화상품권, 결혼식/돌잔치 초대내용이나 모바일 청첩장이 아닌 원색적인 내용의 성인용 앱으로 위장하고 있다는 점을 명심하고, 이용자 스스로 의심스러운 문자메시지에 쉽게 현혹되지 않도록 하는 보안습관이 중요하며, 잉카인터넷 대응팀이 개발한 스미싱 원천 차단솔루션인【뭐야 이 문자】등을 설치하면 유사한 형태의 모든 악성 문자메시지를 탐지하고 사전차단할 수 있는 효과를 기대할 수 있다.

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. 새로운 악의축 스미싱, 형식 제한없이 우후죽순 살포

금번 새롭게 발견된 악성앱은 문자메시지를 통해서 전파된 것이 일부 확인된 상태이며, 겉으로 보기에는 마치 일본의 특정 성인사이트에서 제작한 무료 앱처럼 보여지지만, 실제로는 안드로이드 스마트폰 이용자의 문자메시지를 몰래 훔쳐가는 악의적인 기능을 수행하고 있는 것으로 분석되었다. 설치된 앱을 설치(감염)하고 실행할 경우 단순히 일본 성인사이트로 연결하여 웹 사이트 화면을 보여주는 역할만 수행하게 된다. nProtect Mobile for Android 제품에서는 "Trojan/Android.KRSpyBot" 라는 진단명으로 알려진 변종에 대해서 탐지 및 치료가 가능하다.



이러한 사기와 범행에 노출되지 않기 위해서는 음란한 광고성 문구에 현혹되지 말아야 하며, 안드로이드 악성앱에 감염되지 않도록 공식적인 앱 마켓 외에서는 안드로이드 앱을 가급적 설치하지 않도록 하는 보안습관이 중요하다. 더불어 "nProtect Mobile for Android" 제품과 스미싱 원천 차단 솔루션인 "뭐야 이 문자" 등을 사전에 설치해 두면 악성앱과 스미싱을 예방하는데 도움을 받을수 있다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect




우선 악성앱(Free AV-GIRL)이 설치될 때는 다음과 같은 설치권한(퍼미션)을 요구하는 모습을 볼 수 있다.

- 내 메시지 (문자 메시지를 수신합니다)
- 네트워크 통신 (모든 인터넷 기능을 사용할 수 있습니다)
- 통화 (휴대폰 상태 및 ID 읽기)
- 요금이 부과되는 서비스 (문자 메시지를 전송합니다)


악성앱의 아이콘에는 (19)라는 성인용 표기와 Free AV-GIRL 이라는 이름의 이미지를 사용하고 있다. 수행 권한에는 문자메시지 수신 및 발신 등 이용자의 개인정보에 접근할 수 있다는 것을 예측할 수 있다.

설치된 후 아이콘을 실행하게 되면 다음과 같이 일본의 특정 성인사이트로 연결하여 화면에 음란한 이미지와 웹 사이트 내용을 보여준다. 기능자체적으로 매우 단순하게 제작되어져 있지만, 이용자에게 수신되는 문자메시지 등을 외부 호스트로 은밀히 탈취하는 기능을 몰래 수행하게 된다. (일부 모자이크 처리)



다음 화면은 실제 악성앱의 프로그램 내부 코드화면으로 단말기 정보와 문자메시지를 탈취하여 특정 호스트로 유출시도하는 기능을 보유하고 있으며, 악성앱 내부적으로 한글로 "설치성공." 이라는 문구가 포함된 것도 알 수 있다. 이처럼 한국인을 상대로한 악성앱이라는 것도 짐작해 볼 수 있는 부분이다.


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat


 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 소액결제사기형 스미싱, 스마트뱅킹 피싱과 결합


잉카인터넷 대응팀은 모바일 보안관제를 진행 중에 최근까지 소액결제사기범들이 다수 사용하는 한국내 스미싱(Smishing) 사기기법과 스마트 뱅킹 이용자만을 노린 맞춤형 피싱 악성앱이 결합된 정황을 새롭게 포착하였다. 기존에는 스마트 뱅킹 앱처럼 꾸며진 가짜 앱을 구글 플레이 등을 통해 실제 유포한 사례를 잉카인터넷 대응팀에서 여러차례 보고한 바 있었고, 감염 작동시 단순히 전자금융 피싱형태를 그대로 모바일로 옮겨진 방식이었다. 그러나 이번에 발견된 수법은 소액결제사기범들이 이용하는 문자메시지(SMS) 탈취 등을 기본적으로 수행함과 동시에 특정 금융사의 모바일 뱅킹 서비스 설치여부를 체크 후 조건이 성립되면, 정상적으로 설치되어 있던 금융앱을 이용자가 느끼기 어려울 정도로 매우 은밀하게 삭제해 버린 후, 스마트 뱅킹앱으로 위장한 악성앱을 교묘하게 설치하게 된다.

이 때문에 기존에 자신이 사용하던 정상앱이 악성앱으로 교체되었다는 것을 이용자 스스로가 바로 인지하기는 매우 어렵다. 악성앱은 정상적인 금융앱을 이용자 몰래 삭제하기 위해서 안드로이드 단말기의 루트권한을 획득하며, 기존 한국형 스미싱의 공격 성공율이 낮아짐에 따라 스마트 뱅킹 이용자로 공격범위를 점차 확대하고 있는 것으로 예상된다.

2. 스마트 뱅킹 보안의 지각변동

국내외 안드로이드 운영체제 기반의 모바일 보안위협이 갈수록 심각해지고 있다. 한국 맞춤형 소액결제사기는 2012년부터 최근까지 꾸준하게 이어지고 있어 사회적인 문제로 대두되고 있는 상황이다. 이와 더불어 외산용 안드로이드 악성앱은 이미 오래전에 20만개를 훌쩍 넘어가고 있는 실정이다. 

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

스미싱 문자 형태로 국내에 전파된 이번 악성앱은 기존 안드로이드 기반 스마트폰 이용자를 대상으로 한 소액결제사기 범죄가 가능한 문자메시지 탈취기능은 기본적으로 탑재함과 동시에 스마트폰 단말기에 한국내 시중은행의 스마트 뱅킹용 앱이 설치되어 있는 조건이 성립할 경우 금융 서비스에 필요한 개인정보를 입력하도록 요구하는 피싱용 악성앱으로 교묘하게 바꿔치기 하는 수법이 추가되었다. 기존 컴퓨터 기반에서 유행하고 있는 전자금융사기인 피싱과 파밍 형태가 점차 모바일 보안위협으로 확대 시도되고 있다는 것을 증명하는 사례이며, 초기 공격 모델과는 다르게 기법이 지능적으로 발전하고 있다는 점이 주목되는 부분이다.

악성앱은 다음과 같은 문자메시지 내용으로 불특정 스마트폰 이용자들에게 전파되었으며, 마치 뱅킹서비스와 관련된 서비스처럼 내용을 위장하고 있다. 또한, 보안점검을 보안정검으로 표기하는 등 오타가 포함되어 있기도 하다. (일부 주소 모자이크 처리)

● 휴대폰소액결제서비스 점검 완료 hxxp://xxxxxxxxxxx 안전한 뱅킹서비스 보안정검을 해주십시오
● 폰뱅킹 악성코드 백신 사칭 금융위원회에 업데이트 받고 이용하시기 바랍니다. hxxp://xxxxxxxxxxx


이용자가 문자메시지에 포함되어 있는 특정 웹 사이트에 접근하게 되면 "pvwmdkr.apk" 이름의 안드로이드 악성앱이 다운로드되고, 설치를 시도할 경우 다음과 같은 권한 부여 상황을 확인할 수 있는데, 이례적으로 어떠한 권한 요구도 없는 것이 특징이다.


아이콘은 마치 구글 플레이(Play) 스토어 앱으로 보이도록 위장하고 있지만, 악성앱의 경우에는 별도의 이름은 없이 아이콘만 추가로 설치된다. 아래 화면은 정상적인 구글 플레이 스토어 앱(좌측)과 구글 플레이 아이콘으로 위장한 악성앱(우측)이 동시에 설치되어 있는 화면이다.


악성 APK 파일 내부의 "assets" 폴더에는 "1.apk" ~ "8.apk" 이름으로 총 8개의 스마트 뱅킹앱으로 위장한 악성앱이 포함되어 있다.



각각의 악성앱은 국내 주요 금융권의 모바일 뱅킹앱처럼 위장되어 있고, 금융 서비스에 필요한 개인정보를 입력하도록 화면을 보여주게 된다. 그중 일부 위조된 스마트 뱅킹 화면은 다음과 같다. 악성앱은 감염된 스마트폰에 특정 금융앱이 설치된 경우 루트권한을 획득하여 강제로 삭제하고, 악성앱으로 교묘하게 설치를 하게 된다. 



8개의 악성앱은 국내에서 서비스 중인 8개사의 스마트 뱅킹앱으로 위장되어 있고, 디자인만 일부 다르고 모두 동일하게 다음과 같은 금융정보를 입력하도록 유도한다. 보안카드 일련번호 입력을 받은 후에는 보안카드의 전체 번호를 입력하도록 추가 요구한다. 이를 통해서 유출된 정보는 추후 공인인증서 재발급 등을 통하여 개인금융 서비스를 악의적으로 접근할 수 있는 권한을 탈취할 수 있게 된다.

- 이름
- 주민등록번호
- 핸드폰 번호
- 이용자 ID
- 이용자 PW
- 계좌번호
- 계좌 비밀번호
- 자금이체 비밀번호 확인
- 보안카드 일련번호
- 보안카드 전체번호


금융정보가 입력되면 다음과 같이 특정 사이트로 유출을 시도하게 된다.


아래 화면은 보안카드의 전체번호를 입력하도록 요구하고, 입력된 데이터를 외부로 유출시도하는 코드이다.


아래 화면은 루트권한을 획득한 후 정상앱이 설치되어 있는 Data 폴더에 접근하여 사용자 몰래 정상앱을 강제로 삭제하는 기능이다. 이 때문에 이용자는 삭제과정을 볼 수 없고, 악성앱에 의해서 은밀히 정상앱이 악성앱으로 교체된다.

 


아래 화면은 스마트폰 전화번호부를 탈취시도하는 기능의 코드이다.


아래 화면은 문자메시지를 유출 시도하는 기능의 코드화면이다.


악성앱은 상기 기능외에도 MMS 탈취, SMS 발송, 스마트 뱅킹앱 재설치 여부 확인 등 다양한 기능을 수행하게 된다. 이에 따라 스마트폰 이용자의 개인정보 유출 및 스마트 뱅킹 피싱 등의 피해를 입을 수 있으므로 각별한 주의가 필요하다.

이에 잉카인터넷 대응팀에서는 보안전문기업으로서 차별화되고 전문화된 모바일 보안관제 및 오랜기간 축적된 보안기술을 바탕으로 모바일 백신프로그램과 모바일 스미싱 원천 차단솔루션을 개발하여 일반에 무료로 배포하는 등 사회적 기업으로서 그 역할을 충실히 이행하고 있으며, 10년 이상 글로벌 보안사업을 영위하고 있는 신뢰할 수 있는 보안기업으로서 모범적인 활동을 꾸준하게 이어갈 예정이다.

Trojan/Android.KRBanker 악성앱은 문자메시지(SMS)를 통한 스미싱이나 각종 메신저, 이메일 등으로 특정 사용자를 겨냥하여 표적공격화 되어 전파될 수 있으므로 특별한 주의와 전문적인 방어솔루션이 필요하다. 스미싱기법을 이용한 악성문자는 잉카인터넷 대응팀에서 2013년 05월 09일 출시한 스미싱 원천 차단솔루션 "뭐야 이 문자" 무료 앱을 통해서 유입시점에 완벽하게 사전탐지 및 제거를 할 수 있다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 경찰청앱으로 둔갑한 Trojan/Android.KRFakeCop


잉카인터넷 대응팀은 모바일 보안관제를 진행 중에 "대한민국 경찰청" 앱처럼 위장한 안드로이드 스마트폰용 악성앱을 최초로 발견하여 nProtect Mobile for Android 제품을 통해 유일하게 치료서비스를 제공 중에 있다. 해당 앱은 마치 경찰청 관계자들이 사용하는 앱처럼 위장하고 있으며, 지금까지 국내에서 주로 발견되었던 휴대폰 소액결제사기 방식과는 구별되는 다목적 형태의 악성기능을 수행할 수 있도록 제작되었다는 점과 국내에서 개발된 것으로 보여지는 부분이 주목된다. 이번 악성앱은 설치되는 과정에 국내 특정 모바일 보안제품처럼 위장한 악성앱을 별도로 추가 설치하는 기능으로 사용자를 속인 후 동작하게 되며, 처음 실행화면에서는 경찰청 지문인식 시스템화면을 보여주어, 마치 일반 사용자들은 사용할 수 없는 것처럼 보여지지만, 숨겨져 있는 특정 조건이 성립되면 지문인식 과정이 정상적으로 작동된다.

하지만 이 모든 과정은 단순히 경찰들이 사용하는 공식적인 앱처럼 보여지지 위한 은폐방식으로 의심되며, 내부적으로는 △문자메시지 감시 및 유출시도 △통화내용 녹음 및 유출시도 △GPS 기반의 이동경로 감시 및 유출시도 △통화내역 및 문자메시지 내역 감시시도 등 매우 다양하고 민감한 사생활 침해목적의 기능을 포함하고 있는 것으로 분석되었다.

[SBS 8시 뉴스 단독보도]통화 탈취에 GPS 추적도…교묘한 신종 사기
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001791592
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001792069


- 감염된 스마트폰 이용자의 일거수일투족을 감시
- 국가기관 앱을 사칭한 지능화된 모바일 보안위협의 신호탄
- 전문화된 모바일 보안관제 및 솔루션의 필요성 대두

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. "해양경찰청" 피싱캅" "바이로봇 모바일 3S" 정보를 조합한 악성앱

이번에 발견된 악성앱은 최초 설치 시 다음과 같이 "대한민국 경찰청" 이라는 이름으로 설치가 시작되며, 6가지로 부여된 권한(퍼미션)수행 내용을 보여주게 된다.

- 내 메시지 (문자 메시지를 수신합니다)
- 네트워크 통신 (모든 인터넷 기능을 사용할 수 있습니다)
- 저장소 (내장 메모리 컨텐츠 수정/삭제)
- 하드웨어를 제어합니다 (사진 및 동영상 촬영)
- 통화 (휴대폰 상태 및 ID 읽기)
- 요금이 부과되는 서비스 (문자 메시지를 전송합니다)


설치가 완료되면 다음과 같이 "대한민국 경찰청" 이름의 아이콘이 생성되며, 이용자가 처음 실행을 시도하게 되면 ViRobot Mobile 3S 타이틀의 새로운 앱이 다운로드되고, 추가 설치를 시도하게 된다.



더불어 설치된 아이콘의 경우 실제 구글 플레이에서 배포중인 "해양 경찰청 모바일" 아이콘에서 "해양"이라는 문구를 일부 제거하여 사용하였다. 수정된 이미지를 분석해 본 결과 조잡하게 일부분을 제거하고 사용한 것으로 파악되었다. 해양경찰을 상징하는 이미지는 천연기념물 제243호 흰꼬리수리와 전통 원형방패를 형상화한 아이콘이다. 현재 서울 지방경찰청을 상징하는 대표 이미지는 아래 좌측에 있는 것이며, 악성앱은 해양경찰청 아이콘을 대한민국 경찰청 아이콘으로 변조하여 사용하였다.

 


해당 악성앱에는 ▶내 개인 정보 ▶요금이 부과되는 서비스 ▶내 메시지 ▶현재 위치 ▶네트워크 통신 ▶저장소 ▶하드웨어를 제어합니다 ▶통화 등 더욱 더 민감한 기능에 접근하는 권한부여를 요구하게 된다.


이 또한, 악의적인 기능의 악성앱으로 바이로봇 모바일 3S 앱으로 위장하고 있으며, 비슷하긴 하지만 실제 구글 플레이에서 배포되는 "바이로봇 모바일 3S" 아이콘이 아닌 "바이로봇 모바일" 제품의 아이콘을 도용하였다. 실제 구글 플레이에 등록되어 있는 정상적인 바이로봇 제품군의 두 아이콘을 비교해 보면 아래와 같이 악성앱이 사용하는 아이콘과 이름이 서로 다르다는 것을 구분지어 알 수 있다.

 


설치된 이용자에게 대한민국 경찰청 앱처럼 보이도록 만들어진 Trojan/Android.KRFakeCop 악성앱은 작년 하반기 부산 남부경찰서에서 개발한 앱으로 화제가 된 바 있는 "피싱캅" 앱의 이미지 리소스를 일부분 동일하게 사용중인 것으로 분석되었고, 실제 피싱캅을 개발한 경찰관이 이에 대한 내용을 전혀 들은 바 없는 것으로 보인다. 이것으로 보아 악성앱 제작자는 사전협의 없이 피싱캅의 이미지를 도용하여 이용한 것으로 추정된다. 두가지 앱의 화면을 비교해 보면 다음과 같다.


Trojan/Android.KRFakeCop 악성앱은 [지문을 인식시켜주세요] 라는 부분을 통해서 사용자의 지문을 인식하도록 유도하고 있지만 단순히 클릭기능을 감지하도록 만들어져 있고, 경찰청 마스코트인 포돌이의 클릭조건에 따라서 아래와 같이 지문인식 과정을 통과하게 된다. 따라서 포돌이 아이콘은 숨겨져 있는 지문인식 기능을 인식하게 해 주는 버튼역할을 수행하게 되며, 선택되지 않은 경우 [지문인식에 실패하였습니다.] 내용의 문구를 보여주게 된다.


지문인식 과정이 통과되면 다음과 같이 아이디와 패스워드를 입력하도록 구성된 화면이 보여지고, [보안 인증]이라는 버튼을 통해서 로그인 절차가 진행된다. 하지만 이곳에 문자를 입력하거나 입력하지 않아도 특별히 로그인 검증기능이 존재하지 않기 때문에 자유롭게 로그인이 가능하다.


아이디와 패스워드를 입력하지 않고 [보안 인증]을 누르거나, 특정 문구를 넣어도 로그인이 가능하다. 아래는 아무런 아이디를 넣지 않고 로그인한 화면이다. 로그인이 수행되면 내부에는 [신원 조회], [차량 조회], [범칙금 부과], [순찰팀 전달 사항], [순찰 일지 작성] 등의 내용이 보여지며, 제일 하단에는 "2013년 5월 16일 광화문 시위 사전신고 접수되었습니다. 해당 경찰관들 모두 당일 안전 및 치한에 신경써주시기 바랍니다." 라는 문구가 보여지는데, 문맥상 치안을 치한으로 잘못 표기한 것으로 보여지는 부분도 존재한다.


상기 내용처럼 설치된 앱은 경찰관들이 사용하는 실제 기능처럼 위장하고 있지만, 바이로봇 모바일 3S 앱처럼 위장하여 추가로 설치된 악성앱에 의하여 다양한 악의적인 기능이 사용된다. 또한, 위장 설치된 바이로봇 모바일 3S 아이콘은 처음 실행시 스스로 삭제시켜 이용자가 작동 여부를 육안으로 쉽게 확인하지 못하도록 숨김기능을 이용하고 있다.

Trojan/Android.KRFakeCop 악성앱은 △문자메시지 감시 및 유출시도 △통화내용 녹음 및 유출시도 △GPS 기반의 이동경로 감시 및 유출시도 △통화내역 및 문자메시지 내역 감시시도 등 매우 다양하고 민감한 사생활 침해목적의 기능을 포함하고 있는 것으로 분석되었고, 잉카인터넷 대응팀이 내부적으로 분석 및 테스트한 결과 통화내용이 정상적으로 저장되었고, 오차범위 안에서 근접한 기지국을 이용한 GPS 이동좌표가 체크되는 것도 확인한 상태이다.

아래 화면은 통화기록을 저장하는 코드이다.


아래 화면은 전화번호부 내용을 저장하는 코드이다.


아래 화면은 GPS를 기능을 이용해서 감염된 스마트폰의 위치 및 이동경로를 추적하여 유출시도하는 코드이다.


아래 화면은 통화내역을 녹음하는 코드이다.


아래 화면은 문자메시지(SMS) 내용을 저장하여 외부로 유출시도하는 코드이다.


또한, 해당 악성앱의 제작자는 [경찰청 보안관제 시스템]이라는 내용의 조작된 웹 서비스도 만들어 둔 상태인데, 이것은 단순 백그라운드 이미지에 플래시 플레이어를 이용한 고정적인 내용이지만, 겉으로 보기에는 실제 성범죄자 실시간 화면 추적내용으로 오해하거나 현혹될 가능성이 높다. 이처럼 제작자는 나름대로 정교하고 치밀하게 악성앱을 개발했다는 것을 알 수 있다.


잉카인터넷 대응팀은 이 앱을 만든 사람으로 의심되는 개발자에 대한 정보를 추적하여 확보한 내용을 관계기관에 제공한 상태이고, nProtect Mobile for Android 제품에 탐지 및 치료 서비스를 무료로 제공 중에 있다. 이러한 악성앱에 노출될 경우 개인 신상정보 및 사생활 노출 등 다양한 보안위협에 놓이게 될 수 있어 앞으로 모바일 보안의 중요성은 더욱 더 높아질 것으로 예상된다.

더욱이 작년 하반기 부터 스미싱 형태의 피해가 급증하고 있다는 점을 간과해서는 안되며, 최근에는 스미싱을 통한 소액결제사기수법이 한단계 발전한 스마트뱅킹용 악성앱과 스파이앱들도 사회적인 문제로 대두되고 있다는 점을 안드로이드 기반 스마트폰 이용자들이 스스로 인식하고 명심해야 할 때이다. 특히, 전문적인 모바일 보안솔루션으로 가장하거나 흡사하게 제작된 허위 모바일 보안앱이 꾸준히 발견되고 있기 때문에 각별한 주의가 필요하다. 

이에 잉카인터넷 대응팀에서는 보안전문기업으로서 차별화되고 전문화된 모바일 보안관제 및 오랜기간 축적된 보안기술을 바탕으로 모바일 백신프로그램과 모바일 스미싱 원천 차단솔루션을 개발하여 일반에 무료로 배포하는 등 사회적 기업으로서 그 역할을 충실히 이행하고 있으며, 10년 이상 글로벌 보안사업을 영위하고 있는 신뢰할 수 있는 보안기업으로서 모범적인 활동을 꾸준하게 이어갈 예정이다.

Trojan/Android.KRFakeCop 악성앱은 문자메시지(SMS)를 통한 스미싱이나 각종 메신저, 이메일 등으로 특정 사용자를 겨냥하여 표적공격화 되어 전파될 수 있으므로 특별한 주의와 전문적인 방어솔루션이 필요하다. 스미싱기법을 이용한 악성문자는 잉카인터넷 대응팀에서 2013년 05월 09일 출시한 스미싱 원천 차단솔루션 "뭐야 이 문자" 무료 앱을 통해서 유입시점에 완벽하게 사전탐지 및 제거를 할 수 있다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop

 


혹시 이와 관련되어 있거나 유사한 스미싱 의심 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 5월 결혼시즌 모바일 문자사기 주의보


최근들어 모바일 청첩장이 도착하였다는 내용으로 위장한 스미싱 모바일 사기범죄가 급격히 증가하고 있어 안드로이드 스마트폰 이용자들의 각별한 주의가 요망된다. 특히, 주말이 시작되는 금요일 저녁부터 토요일과 일요일에 집중적으로 스미싱 범죄가 급증하는 추이를 보이고 있다. 연말연시에는 무료 쿠폰 이벤트 등을 위장한 수법이 주로 이용되었지만, 본격적인 결혼시즌 등을 맞이하면서 모바일 청첩장 내용으로 사칭한 안드로이드 악성앱이 증가하고 있다는 점을 명심해야 할 것으로 보이며, 문자메시지도 다양한 수법이 동원되고 있다. 잉카인터넷 대응팀은 자체 모바일 보안관제 시스템과 "뭐야 이 문자" 등의 스미싱 원천 차단 솔루션 등의 이용자 제보 등을 통해서 최신 모바일 보안이슈를 실시간으로 대응하고 있다.

2. 모바일 청첩장으로 둔갑한 소액결제사기 범죄

매년 5월은 가정의 달이라는 특수와 함께 대표적인 결혼 성수기이다. 특히, 젊은 신세대 예비부부들은 모바일 청첩장을 이용해서 주변 지인들에게 결혼식 안내 및 초대장을 발송하는게 일반화되고 있는 추세이다. 그렇다보니 최근들어 모바일 청첩장 내용으로 위장한 악성 스미싱 범죄가 급증하고 있다. 아래는 최근 잉카인터넷 대응팀에서 발견한 실제 스미싱 문자들이다.

모바일 청첩장이 도착하였습니다.
저희두사람이인생의반려자가되려합니다축복해주시면 감사하겠습니다오시는길
안녕하세요.mobile 청첩장이 도착하였습니다.
모바일 청첩장이 도착하셨습니다
모바일 청첩장이 도착하였습니다.
[김*영]님 모바일 청첩장이 도착햇습니다! 확인!
Mobile 청첩장이 도착하였습니다.
Mobile 청첩장이 도착했습니다.
김*호,김*영님의 모바일 청첩장이 도착하였습니다.
<김*영>님 모바일 청첩카드가 도착햇습니다! 확인!
모바일 청첩장이 도착하였음니다
(김*영)님의 모바일 청첩카드가 도착하였습니다 확인

 



일부 문자메시지의 경우 스미싱 사기 문자를 보낸 이후에 스미싱 범죄자가 다시 이모티콘 등을 추가로 보내는 등 문자메시지 수신자로 하여금 실제 문자처럼 신뢰하도록 노골적인 사기수법을 보이는 행태도 존재한다.

스미싱 범죄자들은 안드로이드 악성앱 설치를 통해서 불법적으로 소액결제 승인문자를 편취하고, 많은 경우 최대 30만원 상당의 금전적인 피해를 입히고 있는 실정이다. 또한, 모바일 청첩장 뿐만 아니라 뉴스속보, 유명 방송프로그램, 연예인, 동창회, 영화관람권, 사회적인 이슈, 개인정보 등등 각종 내용으로 악성앱을 전파시키고 있다.

아래 화면은 잉카인터넷 대응팀이 직접 확보한 것으로, 각종 스미싱 문자메시지의 실제 이미지들을 보관하고 있는 화면이며, 매우 다양한 형태가 존재하고 있다는 것을 알 수 있다. 해당 폴더 내부에는 다양한 변형의 스미싱 자료가 추가로 포함되어 있다.


이용자들은 다양한 형태의 스미싱이 확산되고 있다는 것을 잊지 말아야 하며, 갈수록 문자메시지가 지능화되고 있다는 점도 명심해야 한다. 특히, 사이버 범죄자들은 소액결제서비스 뿐만 아니라 새로운 형태로 진화될 수 있다는 점을 간과해서는 안된다. 앞으로 모바일 DDoS 공격, 모바일 개인 정보유출 및 스마트폰 기기에 대한 다각적인 보안위협으로 발전될 수 있기 때문이다.

잉카인터넷이 무료로 배포 중인 "뭐야 이 문자"는 이러한 실제 스미싱 기법의 사례를 분석한 자료를 기반으로 원천적인 차단기능이 포함되어 있기 때문에 신변종 스미싱공격 기법에 대해서 별도의 업데이트 없이 완벽하게 탐지 및 차단이 가능하다. 또한, 모든 이동통신사 이용자들이 손쉽게 설치할 수 있으며, 신속하게 문자메시지의 악성여부를 판별해 낼 수 있는 장점이 있다. 특히, 매우 적은 리소스 사용량과 직관적인 UI 등 스마트폰 이용자들에게 매우 강력한 문자보안 서비스를 제공하고 있다.


"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect

아래는 "뭐야 이 문자" 스미싱 원천 차단 앱이 모바일 청첩장으로 위장하여 발송된 악성 스미싱 문자를 탐지한 화면이다.


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect