1. 소액결제사기 끝판왕? 엔프로텍트 모바일 앱으로 둔갑


잉카인터넷 대응팀은 모바일 보안관제를 진행하던 중, 기존 소액결제사기용 스미싱 악성앱 변종이 nProtect Mobile 제품으로 위장한 형태를 최초 발견하였다. 악성앱 제작자는 자신이 만든 악성파일이 잉카인터넷 보안관제에 지속적으로 노출되고, 관련 정보가 노출되자 아예 nProtect Mobile 제품처럼 사칭하기 시작한 것으로 추정된다. 이는 공격자가 새로운 변종을 제작하여 유포하면 그 즉시 탐지되고 신속하게 업데이트되어 소액결제사기 피해가 최소화되고 있기 때문인 것으로 분석되며, 곧 공개할 스미싱 원천 차단솔루션에 대한 사전 반격으로도 예측된다. 그만큼 공격자들은 잉카인터넷 대응팀의 신속한 대응능력에 촉각을 곤두세우고 있으며, 자신들의 사기범행에 있어서 최대 방해요소로 인식하고 있는 것이 아닌가 판단된다. 

현재 해당 악성앱은 nProtect Mobile for Android 제품에 [Trojan/Android.KRSpammer.GT] 탐지명으로 긴급 업데이트되었으며, 현재 진단 및 치료가 가능하다. 또한 공격자에 대한 추적을 지속적으로 하고 있고, 변종 유포에 대한 실시간 감시태세를 유지하고 있다. 또한 기습적인 악성앱 유포에 대한 이상징후를 예의주시하며, 만반의 대응태세을 갖추고 있다.

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.

[안내]모바일 결제사기+디도스 등 스미싱 원천차단방지 솔루션 공개예정
http://erteam.nprotect.com/400

2. nProtect Mobile 제품으로 사칭한 악성앱

nProtect Mobile for Android 제품으로 위장한 악성앱은 기존에 다양한 소액결제사기용 악성앱을 유포했던 조직에 의해서 제작되었으며, 잉카인터넷 대응팀은 해당 조직들에 대한 추적을 유지하고 있다.

[주의]다날 결제완료 청구 확인내용으로 위장한 스미싱 등장
http://erteam.nprotect.com/404

[주의]스마트초이스 휴대폰 과다청구요금 미환급액조회 위장 스미싱
http://erteam.nprotect.com/403

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[주의]사이렌24 사칭, 주민번호 사용내역으로 스미싱 사기 진화
http://erteam.nprotect.com/397

[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
http://erteam.nprotect.com/389

[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
http://erteam.nprotect.com/386

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

악성앱은 2013년 03월 10일 새벽 1시 30분경에 제작된 것으로 분석되었으며, 현재 대부분의 모바일 보안제품에서 탐지하지 못하고 있다. 만에 하나 실제 nProtect Mobile 제품으로 착각하여 이용자 피해가 발생하지 않도록 하기 위해서 nProtect Mobile for Android 제품에는 긴급 업데이트가 완료되어, 현재 이 시간 정상적으로 탐지 및 삭제가 가능한 상태이다.

잉카인터넷의 nProtect Mobile for Android 제품은 구글 플레이 공식마켓이나 대응팀 공식블로그를 통해서 정식 설치가 가능하므로, 문자메시지나 별도의 웹 사이트에서는 설치를 하지 않도록 하여야 한다.

https://play.google.com/store/apps/details?id=com.inca.nprotect

nProtect Mobile 제품으로 사칭한 악성앱은 설치가 시도될 때는 다음과 같이 과도하게 민감한 권한을 요구하게 된다.


설치가 완료되면 스마트폰 바탕화면에 다음과 같이 아이콘이 생성되는데, 가짜의 경우 "nProtect Mobile" 이름으로 생성되지만, 실제 정상적인 이름은 "nProtect" 이다. 또한, 아이콘 뒷 배경에 약간의 검정 화면이 포함된 것도 다른점이다.


이 악성앱도 기존과 마찬가지로 스마트폰에 감염되면 소액결제사기용 승인문자 가로채기 기능을 수행하며, 많은 경우 최대 30만원의 피해를 입을 수 있으므로, 각별한 주의가 필요하다.

가짜 nProtect Mobile 아이콘을 실행하면, 화질이 매우 떨어지는 nProtect Mobile 업데이트 이미지 화면을 사용자에게 보여주지만 모두 조작된 내용이다.



3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk


안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS

저작자 표시
신고
Posted by nProtect
1. 모바일 디도스 공격용 악성파일은 변신의 귀재?


2012년 11월 경부터 그 실체가 사실로 드러난 안드로이드 기반 모바일 분산서비스거부(DDoS) 공격용 악성파일(Trojan/Android.KRDDoS)이 2013년 2월까지 잉카인터넷 대응팀의 보안모니터링에 수시로 포착되고 있다. 문제는 이 악성파일이 국내 스마트폰 이용자들을 주요 표적으로 겨냥하고 있다는 부분이며, 발견된 경유지가 차단되면, 얼마 지나지 않아 또 다른 웹 사이트를 이용하는 등 악성 앱 유포를 쉽사리 멈추지 않고 있다는 점에 주목된다. 이는 공격자가 지능적으로 연속성을 유지하기 위한 나름의 노력을 하고 있다는것을 의미하고, 악성파일의 생존기간과 전파범위를 확대시키기 위한 다각적 시도를 끊임없이 진행하고 있는 것을 여실히 증명하고 있다. 



잉카인터넷 대응팀이 현재까지 확보한 정황을 근거로 종합적인 상황을 예측해 본다면 공격자는 이미 사전에 매우 치밀하고 다양한 공격 시나리오와 계획 등을 수립해 놓았을 가능성이 높고, 이른바 좀비(Zombie) 스마트폰의 개체수를 일정수 만큼 확보하기 위한 교두보 확보 전략을 추진 중인 것으로 예상된다. 어느정도 시간이 흘러 공격자가 원하는 조건이 성립되거나 전초기지격의 공격태세가 갖춰지면 좀비 【스마트폰을 이용한 DDoS 공격이 현실화되는 것은 시간문제】일 것으로 전망된다.

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]허위 햄버거 할인쿠폰 및 이벤트 문자메시지(SMS)의 역습
http://erteam.nprotect.com/386

[주의]이통사 고객지원번호(114), 카카오 내용으로 사칭한 안드로이드 악성파일 등장
http://erteam.nprotect.com/384

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협
http://erteam.nprotect.com/382

[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가
http://erteam.nprotect.com/368

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. 똑똑하게 움직이는 DDoS 공격의 종결자?

안드로이드 기반의 스마트폰 이용자들은 소액결제 사기용 악성파일과 더불어 모바일 DDoS 공격 기능의 악성파일에 대한 대비도 철저히 준비해야 할 것으로 보인다. 아직 본격적인 공격 신호탄이 목격되지는 않고 있지만 예상보다 빨리 감행될 수 있을 것으로 예상된다. 

그동안 발견된 악성 문자메시지들은 과감하게도 스마트폰 이동통신사의 발신번호(114)로 위장하거나 구글 코리아, 정부기관에서 배포하는 "폰키퍼", 안랩의 "모바일 V3 제품", 카카오 업데이트, 구글 코리아 안드로이드 보안 업데이트 등으로 위장하는 등 나날이 교묘해지고 다양화되고 있는 추세이다.

아래 화면은 최근 연속적으로 발견되고 있는 모바일 DDoS 기능용 악성파일 전파용 문자 메시지들이고, 문자내용은 거의 동일하면서 링크된 경유지만 변경하는 경우도 다수 목격되고 있다.

android 2월2일 업데이트 했습니다.새로운 버전 설치해주세요 http://icou.kr/1(생략)7

[긴급] 안드로이드전용 모바일 보안업데이트 링크클릭 http://goo.gl/z(생략)g / 발신자 114 번호로 위장

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 결과를 통보해 드리고 있습니다.


앞서 공개한 문자메시지 화면 중 첫번째 실제 사례는 안드로이드 업데이트 위장 문자메시지가 몇분 간격으로 6차례에 걸쳐 수신되었다. 특이하게도 문자메시지 자체적으로도 다량의 공격(?)을 시도했다는 점이 이례적이다.

그동안 발견됐던 사례들을 종합해서 정리해 보면 아래와 같다.


3. 대응방법

대부분의 안드로이드 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하거나 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRDDoS.A
- Trojan/Android.KRDDoS.B
- Trojan/Android.KRDDoS.C
- Trojan/Android.KRDDoS.D
- Trojan/Android.KRDDoS.E
- Trojan/Android.KRDDoS.F
- Trojan/Android.KRDDoS.G
- Trojan/Android.KRDDoS.H
- Trojan/Android.KRDDoS.I
- Trojan/Android.KRDDoS.J
- Trojan/Android.KRDDoS.K
- Trojan/Android.KRDDoS.L
- Trojan/Android.KRDDoS.M 외 다수 (변종 계속 발견 중)


저작자 표시
신고
Posted by nProtect