1. 5월 결혼시즌 모바일 문자사기 주의보


최근들어 모바일 청첩장이 도착하였다는 내용으로 위장한 스미싱 모바일 사기범죄가 급격히 증가하고 있어 안드로이드 스마트폰 이용자들의 각별한 주의가 요망된다. 특히, 주말이 시작되는 금요일 저녁부터 토요일과 일요일에 집중적으로 스미싱 범죄가 급증하는 추이를 보이고 있다. 연말연시에는 무료 쿠폰 이벤트 등을 위장한 수법이 주로 이용되었지만, 본격적인 결혼시즌 등을 맞이하면서 모바일 청첩장 내용으로 사칭한 안드로이드 악성앱이 증가하고 있다는 점을 명심해야 할 것으로 보이며, 문자메시지도 다양한 수법이 동원되고 있다. 잉카인터넷 대응팀은 자체 모바일 보안관제 시스템과 "뭐야 이 문자" 등의 스미싱 원천 차단 솔루션 등의 이용자 제보 등을 통해서 최신 모바일 보안이슈를 실시간으로 대응하고 있다.

2. 모바일 청첩장으로 둔갑한 소액결제사기 범죄

매년 5월은 가정의 달이라는 특수와 함께 대표적인 결혼 성수기이다. 특히, 젊은 신세대 예비부부들은 모바일 청첩장을 이용해서 주변 지인들에게 결혼식 안내 및 초대장을 발송하는게 일반화되고 있는 추세이다. 그렇다보니 최근들어 모바일 청첩장 내용으로 위장한 악성 스미싱 범죄가 급증하고 있다. 아래는 최근 잉카인터넷 대응팀에서 발견한 실제 스미싱 문자들이다.

모바일 청첩장이 도착하였습니다.
저희두사람이인생의반려자가되려합니다축복해주시면 감사하겠습니다오시는길
안녕하세요.mobile 청첩장이 도착하였습니다.
모바일 청첩장이 도착하셨습니다
모바일 청첩장이 도착하였습니다.
[김*영]님 모바일 청첩장이 도착햇습니다! 확인!
Mobile 청첩장이 도착하였습니다.
Mobile 청첩장이 도착했습니다.
김*호,김*영님의 모바일 청첩장이 도착하였습니다.
<김*영>님 모바일 청첩카드가 도착햇습니다! 확인!
모바일 청첩장이 도착하였음니다
(김*영)님의 모바일 청첩카드가 도착하였습니다 확인

 



일부 문자메시지의 경우 스미싱 사기 문자를 보낸 이후에 스미싱 범죄자가 다시 이모티콘 등을 추가로 보내는 등 문자메시지 수신자로 하여금 실제 문자처럼 신뢰하도록 노골적인 사기수법을 보이는 행태도 존재한다.

스미싱 범죄자들은 안드로이드 악성앱 설치를 통해서 불법적으로 소액결제 승인문자를 편취하고, 많은 경우 최대 30만원 상당의 금전적인 피해를 입히고 있는 실정이다. 또한, 모바일 청첩장 뿐만 아니라 뉴스속보, 유명 방송프로그램, 연예인, 동창회, 영화관람권, 사회적인 이슈, 개인정보 등등 각종 내용으로 악성앱을 전파시키고 있다.

아래 화면은 잉카인터넷 대응팀이 직접 확보한 것으로, 각종 스미싱 문자메시지의 실제 이미지들을 보관하고 있는 화면이며, 매우 다양한 형태가 존재하고 있다는 것을 알 수 있다. 해당 폴더 내부에는 다양한 변형의 스미싱 자료가 추가로 포함되어 있다.


이용자들은 다양한 형태의 스미싱이 확산되고 있다는 것을 잊지 말아야 하며, 갈수록 문자메시지가 지능화되고 있다는 점도 명심해야 한다. 특히, 사이버 범죄자들은 소액결제서비스 뿐만 아니라 새로운 형태로 진화될 수 있다는 점을 간과해서는 안된다. 앞으로 모바일 DDoS 공격, 모바일 개인 정보유출 및 스마트폰 기기에 대한 다각적인 보안위협으로 발전될 수 있기 때문이다.

잉카인터넷이 무료로 배포 중인 "뭐야 이 문자"는 이러한 실제 스미싱 기법의 사례를 분석한 자료를 기반으로 원천적인 차단기능이 포함되어 있기 때문에 신변종 스미싱공격 기법에 대해서 별도의 업데이트 없이 완벽하게 탐지 및 차단이 가능하다. 또한, 모든 이동통신사 이용자들이 손쉽게 설치할 수 있으며, 신속하게 문자메시지의 악성여부를 판별해 낼 수 있는 장점이 있다. 특히, 매우 적은 리소스 사용량과 직관적인 UI 등 스마트폰 이용자들에게 매우 강력한 문자보안 서비스를 제공하고 있다.


"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect

아래는 "뭐야 이 문자" 스미싱 원천 차단 앱이 모바일 청첩장으로 위장하여 발송된 악성 스미싱 문자를 탐지한 화면이다.


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 국내 이용자를 노린 안드로이드 악성앱 증가


지난 2012년 10월 26일 국내 안드로이드 사용자들을 대상으로 방송통신위원회 등을 사칭한 악성 애플리케이션이 발견되어 큰 이슈가 된 바있다. 국내 안드로이드 사용자들도 더 이상 악성 안드로이드 애플리케이션으로부터 안전할 수 없다는 이슈가 환기되기도 전에 이번에는 유사한 악성 애플리케이션의 변종 2종이 발견되어 국내 이용자들의 각별한 주의가 요망되고 있다. 해당 악성 애플리케이션은 문자메시지(SMS) 등을 통해서 은밀히 유포가 이루어졌으며, 국내 이동통신사의 명세서 확인 애플리케이션으로 위장하고 있기 때문에 사용자들이 쉽게 현혹될 수 있다.


 

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화

http://erteam.nprotect.com/352

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 구글 정식 마켓이나, 비공식 마켓 등이 아닌 SMS를 통해 유포가 이루어 졌으며, 아래의 그림과 같이 도착한 문자메시지에서 "단축주소로 이루어진 링크를 클릭시" 다운로드 및 설치가 가능하다.

 


다만, 현재는 악성 애플리케이션에 대한 다운로드 단축 URL이 아래의 그림과 같이 막혀있어 유포가 이루어지고 있지 않다.(해외 파일 자료실을 이용하여 유포를 시도하였다.)


※ 실제 악성 애플리케이션 다운로드 URL

-
https://dl.dropbox.com/s/emcu5mugsx5yn01/SmartBilling.apk?dl=1


또한, 아래의 그림과 같이 현재 해당 악성 애플리케이션의 유포와 관련해 특정 포털 카페 사이트 등을 통해 정보가 공유되고 있기도 하다.

 


해당 악성 애플리케이션은 국내 이통사의 명세서 확인 애플리케이션으로 위장하고 있어 사용자들이 별다른 의심없이 다운로드 및 설치/실행을 진행할 수 있으며, 실행 시 동작되는 전체적인 악성 기능은 아래와 같다.

※ 전체 악성 동작

- 감염된 스마트폰의 전화번호 수집
- 감염된 스마트폰의 통신망사업자 정보 수집
- 감염된 스마트폰의 IMEI 정보 수집
- 수집된 스마트폰 정보의 외부 유출 시도 (변종마다 수집 정보 유포지 URL이 상이)
- 감염된 스마트폰으로 수집되는 SMS 감시
- 특정번호로 수신되는 SMS에 대한 외부 유출 시도 (변종마다 수집 정보 유포지 URL이 상이)
- 특정번호로 수신되는 SMS를 사용자 몰래 삭제


◆ 설치 정보

해당 악성 애플리케이션을 설치하게 되면 아래의 그림과 같이 특정 권한을 요구하게 된다.


아래의 그림은 AndroidManifest.xml에 등록된 전체 권한이다.


해당 악성 애플리케이션은 아래의 그림과 같이 정상적인 국내 이통사의 명세서 확인 애플리케이션과 유사한 아이콘을 사용하고 있다.


설치가 모두 완료된 후 실행하게 되면, 해당 악성 애플리케이션은 아래의 그림과 같이 "서버 접속 불가"와 관련된 다이얼로그를 출력하게 되며, 육안상 확인할 수 있는 별다른 동작은 발생하지 않는다.


◆ 분석 정보

해당 악성 애플리케이션은 아래의 AndroidManifest 일부코드와 같이 내부에 3개의 리시버가 등록되어 있다.

 

 

※ 세부 설명

- 붉은색 박스 : 등록된 3가지의 리시버 클래스
- 초록색 박스 : 해당 리시버의 우선 순위를 높이기 위한 설정 (BINARY_INTEGER 최대값)

※ 리시버 세부 동작 설명

- Ejifndv : 감염된 폰의 전화번호, 통신사업자 정보, IMEI 수집 및 유출 스래드 실행 (변종마다 수집 정보 유포지 URL 상이)
- OEWRUvcz : 감염된 폰의 재부팅 시 해당 악성 애플리케이션 실행
- CVXAW : SMS, MMS 수신 이벤트 감시, 수집 및 유출 (변종마다 수집 정보 유포지 URL 상이)


악성파일 내부에는 다음과 같은 아이콘 리소스들이 포함되어 있고, 이전에 발견되었던 변종들과 동일한 안랩(Ahnlab) 위장 아이콘이 포함되어 있다.


해당 악성 애플리케이션은 실행 시 아래의 일부 코드를 통해 "서버 접속 불가"와 관련한 다이얼로그를 출력하게 된다. 이때 다이얼로그 출력 전에 AndroidManifest에 등록된 리시버 "Ejifndv"를 호출하게 된다.


※ 참고 사항

위 일부 코드에 선언되어 있는 WifiManager, PowerManager 부분은 각각 Wifi상태 및 화면 활성화 상태 유지를 위한 wakeLock 등록 코드이며, 해제하고 있지 않아 불필요한 다량의 배터리 소모 현상이 발생할 수 있다.


"Ejifndv" 리시버는 아래의 일부 코드를 통해 감염된 스마트폰의 전화번호(첫번째 0을 대한민국 국가번호인 +82로 변환), 통신망사업자 정보, IMEI 정보를 수집 및 유출할 수 있는 스래드를 실행하게 된다.(현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

 


위 부분까지가 해당 악성 애플리케이션을 실행함으로써 첫번째로 발생할 수 있는 악성 동작이며, 이후에는 AndroidManifest에 등록된 리시버의 특정 조건을 충족할 시 추가적인 악성 동작을 수행할 수 있다.

먼저, "OEWRUvcz" 리시버를 살펴보면 아래와 같은 일부 코드를 통해 스마트폰의 재부팅 이벤트를 감시하고 재부팅이 완료될 경우 해당 악성 애플리케이션을 재실행하도록 되어 있다.


마지막 남은 "CVXAW" 리시버는 아래와 같은 일부 코드를 통해 수신되는 SMS, MMS에 대한 감시 및 수집 기능을 수행하게 된다.


이때, SMS 및 MMS에 대한 감시내부에 선언되어 있는 특정 번호가 발신번호와 일치할 경우 수행하게 된다.

※ SMS, MMS 감시를 위해 내부에 선언되어 있는 특정 전화번호 목록

- 15880184, 16000523, 15990110, 15663355, 15665701, 15880184, 15990110, 15665701, 16001705, 15663357, 16000523, 15663355, 019114, 15997474, 15663357, 15991552, 16008870, 15883810, 16443333, 15448881, 15445553, 16443333, 16008870, 15663355, 15883810, 16001705, 16000523, 16441006, 15771006, 15663357, 0190001813, 15660020, 16001522, 15885188, 15883610, 15885984, 15885412, 16449999, 15992583, 15885180

☞ 해당 전화번호들은 휴대폰 소액결제 전문업체, 인터넷 쇼핑몰 등의 번호로 사용자에게 수신된 결제 내역이나 중요정보 등이 무단유출되는 피해를 입을 수 있다.


위와 같이 내부에 등록된 특정 발신번호와 일치하는 SMS, MMS는 아래의 일부 코드를 통해 외부 특정 서버로 유출 시도될 수 있으며, 해당 SMS, MMS는 사용자 몰래 삭제되어 사용자는 수신여부를 확인할 수 없도록 되어 있다.(현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

 


위와 같이 외부로 유출되는 모든 수집 정보들은 외부 특정 IP로 전송되며, 아래의 그림과 같은 지역에 위치하고 있는 것으로 파악되었다. (현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

※ 수집된 정보가 유출되는 외부 URL

- 59.188.145.193 (홍콩)
- 112.213.119.232 (홍콩)

 


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 통계

- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
 

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 스팸성의 SMS 발송 기능을 가지고 있는 재패키징된 형태의 안드로이드 악성 애플리케이션이 발견되어 사용자들의 각별한 주의를 요망하고 있다. 해당 악성 애플리케이션에 감염될 경우 사용자 몰래 다수의 SMS가 발송될 수 있으며, 이로인해 별도의 이용 과금이 발생하는 등 안드로이드 악성 애플리케이션의 감염 증상은 점차 단순 정보 수집 단계에서 직접적인 금전적인 피해가 발생하는 단계로 진화(?)하고 있는 중이다.

위와 같은 재패키징 기법을 사용하는 악성 애플리케이션이 위험한 이유는 누구나 손쉽게 수정이 가능하기 때문이다. 이번에 발견된 악성 애플리케이션의 경우 특별히 악의적인 목적을 띄지 않은 "동물보호운동가" 단체에 의해 개발된 것으로 알려지면서 향후 단순 목적에 의한 악성 애플리케이션 제작/출현 빈도는 지속적 증가 추세로 놓일 전망이다.
  

2. 유포경로 및 감염증상

해당 악성 애플리케이션은 재피키징된 형태로 정상적인 구글 마켓이 아닌 3rd Party 마켓, 각종 블랙마켓 등의 애플리케이션에 대한 검증이 어려운 경로를 위주로 유포가 이루어지고 있다.

해당 악성 애플리케이션은 설치 시 아래와 같은 권한을 요구하는데 재패키징 되기 이전의 정상 애플리케이션과 뚜렷한 권한 요구 차이를 보여주고 있다.
  

악성 애플리케이션 요구 권한


정상 애플리케이션 요구 권한


※ 전체 권한

- android:name="android.permission.VIBRATE"

- android:name="android.permission.INTERNET"

- android:name="android.permission.ACCESS_COARSE_LOCATION"

- android:name="android.permission.READ_PHONE_STATE"

- android:name="android.permission.SEND_SMS"

- android:name="android.permission.WRITE_SMS"

- android:name="android.permission.READ_CONTACTS"

- android:name="android.permission.RECEIVE_BOOT_COMPLETED"

  

또한, 아래의 그림과 같이 설치가 완료된 후 생성되는 실행 아이콘을 통해 정상/악성 애플리케이션에 대한 육안상 구분이 가능하다.
  

악성 애플리케이션 실행 아이콘


정상 애플리케이션 실행 아이콘


위 그림의 적색박스 부분을 살펴보면 악성 애플리케이션의 경우 "PETA" (참고로 "PETA"는 동물보호단체 이름이다.)문구가 아이콘에 기재되어 있고, 정상 애플리케이션의 경우 "BETA" 문구가 기재되어있는 것을 확인할 수 있다.

또한, 아래의 그림과 같이 "응용프로그램 정보" 부분에서도 정상/악성 애플리케이션간의 차이를 확인할 수 있다.

  

위와 같이 설치 과정이 모두 완료된 후 해당 악성 애플리케이션을 실행할 경우 재패키징된 애플리케이션의 특성상 정상/악성 애플리케이션 모두 아래의 그림과 같이 동일한 실행화면을 보여준다.


■ 상세 분석

해당 악성 애플리케이션은 아래의 구성표와 같이 정상 애플리케이션에 특정 패키지 서비스가 추가된 재패키징 형태이다.


감염되면 위그림과 같이 정상 애플리케이션에 추가된 "dogbite" 악성 패키지가 서비스로 동작 하게 되어 아래와 같은 감염 증상을 유발할 수 있다.

※ 감염 증상

1. 전화번호 목록 수집

2. 수집된 전화번호를 통해 다량의 SMS 발송

3. 특정번호로 SMS 발송


해당 악성 애플리케이션은 위와 같이 3가지로 요약된 감염 증상을 유발하며, 아래의 일부 코드를 통해 "전화번호 목록 수집", "SMS 발송" 등의 기능을 수행하게된다.


SMS 발송은 두가지 형태로 진행된다. 위 그림과 같이 스마트폰 내의 전화번호 목록을 수집해 해당 번호로 코드 내부에 포함되어 있는 특정 문구(“I take pleasure in hurting small animals, just thought you should know that”)를 SMS로 발송하는 것과 코드 내부에 포함된 동물보호단체 PETA가 운영하는 문자 메시지 경고 서비스 추정 번호로 특정 문구("text")를 포함한 SMS를 발송하는 것이다.

3. 예방 조치 방법

해당 악성 애플리케이션의 경우 정상 애플리케이션에 간단한 SMS 발송 구문을 추가하여 악의적인 기능이 동작될 수 있도록 하고 있다. 수집된 목록을 통해 다수의 SMS가 발송되는 스팸성 기능을 보이는 간단한 구조이지만 일반 사용자의 경우 해당 악성 기능의 동작을 육안상으로 인식하기 어렵다.
 
때문에 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.Dogbite.A





저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


 최근 신용카드 중단 내용으로 위장한 악성 이메일이 다양한 형태로 국내에 전파되고 있어 각별한 주의가 요망되고 있다. 해당 악성 이메일은 해외에서 제작된 것이지만 국내에도 이메일을 통해서 다수 유입된 것으로 확인되고 있으며, 이메일의 조작된 내용이 "신용 카드 사용 정지 안내 메일" 등으로 위장되어 있어 일반 신용카드 사용자의 경우 별다른 의심없이 이메일 열람 및 첨부파일 다운로드로 악성파일에 감염될 가능성이 있다.
  

2. 감염 경로

이러한 악성 이메일은 인터넷 사용중 개인 이메일 계정 정보 유출 등으로 인해 수신될 수 있으며, 내부의 첨부파일 형태로 포함되어 있는 실제 악성파일은 이메일 외에도 SNS, 인스턴스 메신저 등의 링크 접속 등으로 다운로드될 수 있다.

아래의 그림은 실제로 수신된 관련 이메일에 대한 화면이다.


◆ 유사한 악성 이메일

 

 

※ 메일 본문 내용

제목 : Your credit card has been blocked

Dear User,
ATTENTION : Your credit card is blocked!
With your credit card was removed $ 586,96
Possibly illegal operation!
More info in the attached file.
Immediately contact your bank.
Best wishes, VISA CUSTOMER SERVICES.

첨부파일 : sample.exe

제목 : MASTER CARD TEAM 03

Dear Consumer,
Your credit card is blocked!
Your credit card was withdrawn $ 5107,94
Possibly illegal operation!
More information in the attached file.
Instantly contact your bank.
Best Wishes, MASTER CARD Team.

첨부파일 : fedex78123.exe


위 메일의 본문 내용을 자세히 살펴보면 카드 사용 정지에 대해 자세한 내용 확인을 위해 첨부파일에 대한 다운로드 및 실행을 유도하고 있다. 

해당 악성 이메일들은 아래의 그림과 같은 파일들을 첨부파일로 포함하고 있을 수 있다.

 


위와 같은 첨부파일들은 파일명이 유동적으로 바뀔 수 있다. 보통 이러한 악성 이메일에 첨부된 파일은 허위 백신에 대한 설치본인 경우가 대부분이며, 현재 첨부파일에 대한 정밀분석이 진행중에 있다.

3. 예방 조치 방법

위와 같이 사회공학 기법을 사용해 악성파일을 유포할 경우 대부분의 일반 사용자들은 악성 여부를 육안상으로 판결하기가 쉽지 않다. 때문에 이러한 악성파일로 부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일의 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. SNS, 인스턴트 메신저 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 현황

- Trojan/W32.Agent.81408.MM
- Trojan/W32.Agent.79872.KV
- Trojan/W32.Agent.67584.OP




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect