회사 메일을 이용한 피싱 메일 C&C 감염 주의



1. 개요 


이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 


이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

美 사이버 보안시장의 현재와 미래.hwp

파일크기

97,792 Byte

진단명

Trojan-Dropper/HWP.EPS.Gen

악성동작

드롭퍼

 

구분

내용

파일명

jusched.exe

파일크기

70,656 Byte

진단명

Trojan/W32.Snarebot.70656

악성동작

C&C

 



2-2. 유포 경로

특정 회사의 사내 그룹 및 개인 메일 계정으로 유입되었다.


[그림 1] 첨부 된 메일 내용 [그림 1] 첨부 된 메일 내용




2-3. 실행 과정

아래그림과 같이 이메일에 있는 첨부파일(.HWP)을 사용자가 열람할 경우, 시작 프로그램 폴더에 LNK 파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 악성 실행파일을 추가로 생성한다. 해당 악성코드는 사용자 PC를 재부팅 하였을 때 생성된 LNK 파일에 특정 인자 값을 지정하여 실행파일을 실행한다.


[그림 2] 동작 흐름도[그림 2] 동작 흐름도





3. 악성 동작


3-1. 파일 드롭

메일에 첨부된 HWP 파일은 취약점을 이용한 공격방식이 아닌 HWP 정상 스크립트를 이용하여 파일 드롭을 수행하는 것으로 확인된다. 해당 HWP 파일 내부에는 파일 다운로드 기능을 하는 스크립트와 함께 드롭 될 파일의 바이너리 값이 존재한다.


[그림 3] HWP파일 내부 스크립트[그림 3] HWP파일 내부 스크립트




아래와 같이 해당 HWP 파일에서 ‘바로가기 파일(.lnk)’, ‘악성실행파일(.exe)’ 두개의 파일이 스크립트를 이용하여 드롭된다.


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭




3-2. 시작 프로그램 등록

美 사이버 보안시장의 현재와 미래.hwp’ 파일을 열람 하였을 때, 시작 프로그램 폴더에 LNK 파일을 생성하는 것을 확인 할 수 있다. 생성된 LNK파일의 속성값을 확인 하였을 때 실행파일의 경로와 함께 특정 인자 값이 존재한다. 해당 인자 값이 없을 경우 악성 실행파일은 정상적으로 실행이 되지 않는다.


[그림 5] 생성 된 LNK 파일과 인자 값[그림 5] 생성 된 LNK 파일과 인자 값





3-3. 원격지 연결 시도

해당 악성코드는 LNK 파일을 통하여 하기의 원격지 서버에 연결을 시도 한다. 또한 C&C 명령을 받아 동작을 수행 할 때 마다 원격지 서버와 통신을 한다. 이는 해당 공격자의 명령과 데이터를 주고 받기 위한 동작으로 확인된다.

하지만 현재 분석시점에서는 해당 원격지서버는 접속이 정상적으로 이루어지지 않는다. 


[그림 6] 원격지 서버 연결 시도1[그림 6] 원격지 서버 연결 시도1


[그림 7] 원격지 서버 연결 시도2[그림 7] 원격지 서버 연결 시도2



원격지 연결 시도 후, HTTP상태 코드를 확인하여 연결이 성공적으로 이루어 졌는지 확인한다. 


[그림 8] 원격지 서버 연결 상태 확인[그림 8] 원격지 서버 연결 상태 확인





3-4. C&C 명령 테이블

현재 원격지 서버와 연결이 정상적으로 이루어지지 않고 있지만, 원격지 연결이 성공적으로 이루어질 경우 원격지 서버로부터 명령을 받아 추가적인 동작을 수행할 수 있다. 전체적인 C&C 동작 목록은 아래와 같다.


[그림 9] C&C 명령 테이블1[그림 9] C&C 명령 테이블1


[그림 10] C&C 명령 테이블2[그림 10] C&C 명령 테이블2




3-5. C&C 명령 주요 동작

다음은 ‘jusched.exe’ 악성코드의 C&C 명령에 따른 주요 동작을 확인 한 내용이다. 

정보 수집 및 전송

PC 정보

시스템 드라이브 정보

프로세스&모듈 정보

파일 속성 및 데이터

파일 및 폴더 정보

CAB 관련 파일 데이터

[1] 정보 수집 및 전송



해당 악성코드는 감염 PC이름과 시스템 정보를 수집한다.


[그림 11] 사용자 PC정보 수집[그림 11] 사용자 PC정보 수집



또한 감염 PC의 시스템 드라이브의 정보를 수집한다.

[그림 12] 시스템 드라이브 정보 수집[그림 12] 시스템 드라이브 정보 수집



C&C 명령을 통하여 특정 이름과 일치하는 파일이나 디렉토리 정보를 수집한다.


[그림 13] 파일 및 디렉터리 정보 수집[그림 13] 파일 및 디렉터리 정보 수집

 



추가 악성 동작

특정 프로세스 실행

특정 파일 다운로드

지정 프로세스 종료

지정한 파일 변조

 

 

[2] 추가 악성 행위




공격자는 특정 파일의 날짜, 디렉터리 생성 시간, 마지막 접근 시간, 수정 시간을 변경한다.


[그림 14] TimeStamp 변경 시도[그림 14] TimeStamp 변경 시도



아래 그림은 특정 문자열을 디코딩 하였을 때 다음과 같은 문자열로 변경된다. 해당 문자열은 명령프롬프트(cmd.exe)를 이용하여 파일을 실행하는데 사용되는 것을 확인 할 수 있다.


[그림 15] cmd 명령어를 통한 파일 실행[그림 15] cmd 명령어를 통한 파일 실행


 

문자열

디코딩

%7toDt%7tJ>%7

%s /c %s 2>%s

%7toDt%7t>%7tJ>%s

%s /c %s > %s 2>&1

[3] Decoding



C&C 명령 동작 내용중 일부는 원격지 서버로부터 특정 프로세스를 실행한다는 것을 알 수 있다.


[그림 16] C&C 명령을 통하여 특정 프로세스 실행[그림 16] C&C 명령을 통하여 특정 프로세스 실행




원격지 C&C 명령을 통해 파일 이름과 데이터를 받아와 특정 파일을 생성할 수 있다. 이는 파일을 다운로드하여 추가적인 악성 동작을 수행할 수 있도록 한다.


[그림 17] 특정 파일 추가 다운로드[그림 17] 특정 파일 추가 다운로드




4. 결론

이번에 분석한 악성코드는 HWP 첨부파일을 다운로드하여 여는 순간, 사용자 PC가 감염되어 악성 동작을 수행하기 때문에 감염사실을 인지하기 어렵다. C&C악성코드 같은 경우 감염 후 바로 동작을 수행 할 수도 있지만 일정 시간 동안 대기 상태로 존재하다가 추후 공격자의 명령을 수행할 수 있다는 점 때문에 국내주요기관 및 기업은 이메일에 첨부된 파일을 열람 시 주의를 하여야 한다.   


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 불청객 애드웨어와 KRBanker, 내 안에 너 있다.


잉카인터넷 대응팀은 최근 금융사 보안모듈의 메모리를 변조하는 지능화된 공격방식의 파밍용 악성파일이 변칙적인 광고성 악성 프로그램(애드웨어)을 통해서 은밀하게 전파되는 정황을 포착하였고, 그 실체를 처음으로 공개하고자 한다. 그동안 전자금융사기를 위한 악성파일들은 불특정 다수의 웹 사이트에 각종 보안 취약점 코드를 삽입하고 보안상태가 허술한 이용자들에게 무작위로 감염시키는 이른바 Drive By Download 기법이 주류를 이루고 있어, 웹 관제 감시센서 등을 통해서 조기에 탐지하여 차단하는 효과를 발휘하고 있다. 그러나 이번과 같이 포털사이트의 블로그나 인터넷 카페 등에 마치 정상적인 프로그램처럼 둔갑한 애드웨어 파일의 내부에 별도 악성파일을 몰래 추가한 경우 애드웨어로 단순분류되거나 보안패치가 최신으로 유지된 상태라 할지라도 추가 악성파일에 감염될 수 있게 된다.

잉카인터넷 대응팀이 자체 조사한 결과 이미 다수의 애드웨어 프로그램들이 변조되어 파밍용 악성파일을 전파해주는 또 다른 매개체로 악용되고 있는 사실을 확인했다. 이처럼 전자금융사기용 악성파일들은 유포기법부터 감염방식까지 갈수록 고도화, 지능화되고 있는 추세이다. 더불어 이런 방식은 자신의 컴퓨터가 최신의 보안상태를  유지하고 있더라도 변칙적인 광고프로그램에 현혹되어 노출되는 순간 파급력 및 위험도가 높은 전자금융사기용 악성파일에 동시 감염될 수 있다는 점에서 의미하는 바가 크고 이용자들의 각별한 주의가 요망된다.

2. 파밍용 악성파일을 품은 Adware

한국내 인터넷 뱅킹 이용자들을 겨냥한 맞춤형 악성파일인 KRBanker 종류는 변종이 거의 매일 발견되고 있을 정도로 그 심각성이 높아지고 있고, 우후죽순으로 퍼져나가고 있다. 사이버 범죄자들은 용의주도하게 이미 글로벌 기업형 사기단으로 활동할 정도로 조직이 발전하고 있고, 사이버상의 암전존재로 자리매김하고 있는 상태이다. 특히, 초기 호스트파일(hosts)을 변조하는 고전적인 단순수법에서 벗어나 나날이 고도화되고 있고, 보안모듈을 우회하거나 직접적으로 겨냥하는 등 치밀하고 과감해지는 추세이다.

최근 발견된 사례는 Drive By Download 방식의 웹 보안취약점을 이용하지 않고, 인터넷 이용자들의 활동반경과 심리를 절묘하게 역이용하여, 기존에 뿌려지고 있던 애드웨어에 KRBanker 변종 악성파일을 추가하는 방식을 도입했다. 따라서 이용자가 운영체제와 주요 응용프로그램의 최신 보안업데이트를 설치한 경우라도 애드웨어에 노출되는 순간 악성파일에 무장해제 되는 잠재적 보안위협에 노출될 수 있다. 

애드웨어들에 대한 정보는 아래 내용에서 자세히 확인해 볼 수 있다.

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


기존에도 애드웨어 종류의 악성파일을 변조하거나, 해당 사이트를 해킹하여 온라인 게임 계정 탈취용 악성파일이 배포된 경우는 여러 번 보고된 바 있다. 이러한 사이버 범죄자들이 온라인 게임 계정 뿐만 금융정보 탈취도 적극적으로 시도하고 있어 앞으로 다양한 방식의 공격이 발생할 것으로 우려된다.


변조된 애드웨어 (다운로더)프로그램이 실행된 후 약 10~20초 정도가 지나면 "kakutk.dll" 이름의 추가 악성파일이 설치된다.

2013년 05월 경까지 발견되었던 "kakutk.dll" 악성파일은 국내 유명 온라인 게임 계정 탈취용 기능만 보유하고 있었으나, 2013년 07월 경부터는 온라인 게임 계정 탈취 기능에 파밍 기능까지 추가된 상태로 발전된 상태이다.


해당 악성파일은 온라인 게임 계정탈취 기능도 함께 보유하고 있으며, 악성 드라이버 파일을 생성해서 유명 보안솔루션들이 정상적으로 작동하지 못하도록 방해기능을 시도하기도 한다. 


"kakutk.dll" 악성파일과 관련된 내용은 아래를 참고하면 좋겠다.

[주의]소켓통신(WinSock)을 가로채기하는 전자금융사기 수법 추가 등장
☞ http://erteam.nprotect.com/434


이렇듯 애드웨어를 변조하여 전자금융사기용 악성파일을 전파하는 기법도 발견되었기 때문에 인터넷 이용자들은 블로그나 인터넷 카페에서 다운로드한 프로그램을 실행할 경우 각별한 주의가 필요하다.

3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.

 

2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 금융감독원 팝업으로 사칭한 금융사기 주의


국내 다수의 웹 사이트가 변조되어 각종 보안취약점 공격기법과 결합한 악성파일 유포 수법이 꾸준히 이어지고 있다. 이른바 드라이브 바이 다운로드(DBD:Drive By Download)라고 일컬어진다. Exploit Code 등의 악성파일이 숨겨진 웹 사이트에 보안취약점이 존재하는 상태로 접근시 이용자가 느끼지 못하는 사이에 악성파일에 자동노출되고 감염되는 과정을 의미한다. 이 방식은 지난 2005년경부터 지금까지 국내 주요 웹 사이트를 대상으로 무차별적으로 이뤄지고 있으며, 2012년까지는 국내 온라인 게임계정 탈취용 악성파일이 대다수였으나, 최근에는 국내 인터넷 뱅킹용 악성파일이 급격히 증가하고 있는 추세이다. 특히, 악성파일이 다단계 과정을 통해서 실시간 변형이 되는 등 악성파일 전파 네트워크가 매우 심각한 수준까지 도달한 상태이며, 자동화된 공격방식을 통해 보안환경을 우회하는 시도를 끊임없이 수행하고 있다.

이러한 악성파일에 감염될 수 있는 성립조건을 최소화하기 위해서는 이미 널리 알려져 있는 보안취약점을 모두 제거하는 것이 필수이다. 우선 MS Windows 운영체제와 응용프로그램 등을 최신 서비스팩 설치와 함께 보안업데이트를 수행하며,Adobe사의 Flash Player, Reader(PDF) 등을 최신버전으로 업데이트한다. 그 다음으로 □ JAVA 프로그램 이용자의 경우 최신버전으로 업데이트한다. 해당 프로그램들은 수시로 최신버전이 제공 중에 있으므로, 자동 업데이트로 설정하여 사용하거나 최소 2주~4주에 한번 정도는 정기적으로 최신 업데이트 여부를 체크하고 설치하는 노력이 중요하다.

2. 시간과의 싸움! 조급한 인터넷 뱅킹용 악성파일?

국내 웹 사이트를 통해서 전파 중인 악성파일 중에 인터넷 뱅킹 이용자들을 노린 형태가 수시로 발견될 정도로 공격자들이 유포에 집중하고 있다. 사이버 범죄자들은 인터넷 뱅킹용 악성파일(KRBanker)과 피싱/파밍 사이트를 통해서 예금자의 중요 금융정보를 훔쳐내고, 불법적인 과정을 거쳐 악성파일에 감염된 이용자들의 예금인출 범행 시도로 이어지고 있는 상황이다.

[주의]KRBanker 악성파일 제작자 하데스(Hades)로 귀환?
http://erteam.nprotect.com/390

[추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체
http://erteam.nprotect.com/385

[주의]실제 공인인증서 서비스에서 암호 탈취를 시도하는 악성파일
http://erteam.nprotect.com/383

[주의]OTP 이벤트로 위장한 전자금융사기용 악성파일(KRBanker)
http://erteam.nprotect.com/381

[주의]안랩 프로그램 사칭 인터넷 뱅킹용 악성파일
http://erteam.nprotect.com/380

[주의]금융 보안프로그램으로 둔갑한 악성파일 출현
http://erteam.nprotect.com/379

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

[주의]국내 인터넷 뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
http://erteam.nprotect.com/258


그동안 보고되었던 악성파일들은 대체로 주요 금융사이트나 보안업체들을 상대로 호스트파일(hosts)을 변조하여 가짜 금융사이트(피싱/파밍)로 접속을 유도하거나 보안프로그램의 업데이트를 방해하기 위한 시도 등으로 악용되었다.

그러나 이번에 새롭게 발견된 종류는 국내 주요 포털사이트들의 도메인을 호스트파일에 포함시켜, 이용자가 주요 포털사이트에 접근하더라도 피싱사이트로 변경되도록 조작하였다. 범죄자들은 이런 수법으로 정상적인 포털사이트를 가짜 사이트로 조작하거나 허위 메시지 창을 보여주어 사용자로 하여금 또 다른 피해를 입을 수 있는 위험성에 놓일 수 있게된다.

일부 확인된 바에 의하면 포털 사이트 접속시 [금융감독원 보안관련 인증절차 내용처럼 위장한 가짜 팝업창]이 뜨고, 접근시 개인금융 정보를 입력하게 유도하게 된다. 따라서 악성파일에 감염된 사용자는 포털 사이트 접근만으로 인터넷 뱅킹용 피싱 사이트로 접근할 확률이 높아지게되어, 공격자는 시간적인 부분에서 많은 효과를 거둘 수 있게 된다.


아래 화면은 국내 인터넷 뱅킹용 악성파일(KRBanker)이 정상적인 금융사이트로 접속시 가짜 피싱사이트로 연결되도록 조작하기 위해서 변경한 호스트파일(hosts)의 화면인데, 국내 대표 포털 사이트 등이 포함된 것을 볼 수 있다.


특히, 악성파일은 피싱용 IP주소 등이 차단될 경우를 대비해서 특정 웹 사이트에 등록된 정보를 통해서 실시간으로 새로운 정보를 수신하도록 만들어져 있다. 이른바 명령제어(C&C) 서버이고, 공격자는 언제든지 새로운 피싱 IP주소를 악성파일에 감염된 사용자에게 전송할 수 있게 된다.


만약, 악성파일에 감염된 상태에서 해당 IP주소의 접속이 차단되면 정상적인 인터넷 뱅킹 사이트나 포털 사이트의 접속이 불가능하게 된다. 이 때는 변조된 호스트파일(hosts)을 찾아 삭제하거나 초기화하면 된다.

금번 발견된 악성파일은 호스트파일(hosts)의 액세스 제어를 하게 되는데, 다음과 같은 배치파일 명령을 통해서 ACL(Access Control List) 설정을 한다. 이 과정을 통해서 모든 사용자에게 모든 권한을 부여한 후, 파일속성을 읽기전용, 보관파일, 시스템 파일, 숨김특성으로 설정하여 폴더옵션에 따라서 보이지 않도록 숨긴다.


또한, 프로세스 종료 명령인 TASKKILL 을 통해서 conime.exe 파일을 강제종료하는 과정에서 cmd.exe 명령어 작업이 중지되지 않고 계속 진행되며, 호스트파일(hosts)파일은 실시간으로 삭제하고 생성하는 작업을 반복한다. 이 때문에 시스템 리소스가 높아지고, 컴퓨터와 인터넷 속도가 현저하게 느려지는 부작용(감염피해)이 발생하게 된다.
 


3. 피싱 사이트 진위여부 판단 노하우


내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.


2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 소액결제사기형 스미싱, 스마트뱅킹 피싱과 결합


잉카인터넷 대응팀은 모바일 보안관제를 진행 중에 최근까지 소액결제사기범들이 다수 사용하는 한국내 스미싱(Smishing) 사기기법과 스마트 뱅킹 이용자만을 노린 맞춤형 피싱 악성앱이 결합된 정황을 새롭게 포착하였다. 기존에는 스마트 뱅킹 앱처럼 꾸며진 가짜 앱을 구글 플레이 등을 통해 실제 유포한 사례를 잉카인터넷 대응팀에서 여러차례 보고한 바 있었고, 감염 작동시 단순히 전자금융 피싱형태를 그대로 모바일로 옮겨진 방식이었다. 그러나 이번에 발견된 수법은 소액결제사기범들이 이용하는 문자메시지(SMS) 탈취 등을 기본적으로 수행함과 동시에 특정 금융사의 모바일 뱅킹 서비스 설치여부를 체크 후 조건이 성립되면, 정상적으로 설치되어 있던 금융앱을 이용자가 느끼기 어려울 정도로 매우 은밀하게 삭제해 버린 후, 스마트 뱅킹앱으로 위장한 악성앱을 교묘하게 설치하게 된다.

이 때문에 기존에 자신이 사용하던 정상앱이 악성앱으로 교체되었다는 것을 이용자 스스로가 바로 인지하기는 매우 어렵다. 악성앱은 정상적인 금융앱을 이용자 몰래 삭제하기 위해서 안드로이드 단말기의 루트권한을 획득하며, 기존 한국형 스미싱의 공격 성공율이 낮아짐에 따라 스마트 뱅킹 이용자로 공격범위를 점차 확대하고 있는 것으로 예상된다.

2. 스마트 뱅킹 보안의 지각변동

국내외 안드로이드 운영체제 기반의 모바일 보안위협이 갈수록 심각해지고 있다. 한국 맞춤형 소액결제사기는 2012년부터 최근까지 꾸준하게 이어지고 있어 사회적인 문제로 대두되고 있는 상황이다. 이와 더불어 외산용 안드로이드 악성앱은 이미 오래전에 20만개를 훌쩍 넘어가고 있는 실정이다. 

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

스미싱 문자 형태로 국내에 전파된 이번 악성앱은 기존 안드로이드 기반 스마트폰 이용자를 대상으로 한 소액결제사기 범죄가 가능한 문자메시지 탈취기능은 기본적으로 탑재함과 동시에 스마트폰 단말기에 한국내 시중은행의 스마트 뱅킹용 앱이 설치되어 있는 조건이 성립할 경우 금융 서비스에 필요한 개인정보를 입력하도록 요구하는 피싱용 악성앱으로 교묘하게 바꿔치기 하는 수법이 추가되었다. 기존 컴퓨터 기반에서 유행하고 있는 전자금융사기인 피싱과 파밍 형태가 점차 모바일 보안위협으로 확대 시도되고 있다는 것을 증명하는 사례이며, 초기 공격 모델과는 다르게 기법이 지능적으로 발전하고 있다는 점이 주목되는 부분이다.

악성앱은 다음과 같은 문자메시지 내용으로 불특정 스마트폰 이용자들에게 전파되었으며, 마치 뱅킹서비스와 관련된 서비스처럼 내용을 위장하고 있다. 또한, 보안점검을 보안정검으로 표기하는 등 오타가 포함되어 있기도 하다. (일부 주소 모자이크 처리)

● 휴대폰소액결제서비스 점검 완료 hxxp://xxxxxxxxxxx 안전한 뱅킹서비스 보안정검을 해주십시오
● 폰뱅킹 악성코드 백신 사칭 금융위원회에 업데이트 받고 이용하시기 바랍니다. hxxp://xxxxxxxxxxx


이용자가 문자메시지에 포함되어 있는 특정 웹 사이트에 접근하게 되면 "pvwmdkr.apk" 이름의 안드로이드 악성앱이 다운로드되고, 설치를 시도할 경우 다음과 같은 권한 부여 상황을 확인할 수 있는데, 이례적으로 어떠한 권한 요구도 없는 것이 특징이다.


아이콘은 마치 구글 플레이(Play) 스토어 앱으로 보이도록 위장하고 있지만, 악성앱의 경우에는 별도의 이름은 없이 아이콘만 추가로 설치된다. 아래 화면은 정상적인 구글 플레이 스토어 앱(좌측)과 구글 플레이 아이콘으로 위장한 악성앱(우측)이 동시에 설치되어 있는 화면이다.


악성 APK 파일 내부의 "assets" 폴더에는 "1.apk" ~ "8.apk" 이름으로 총 8개의 스마트 뱅킹앱으로 위장한 악성앱이 포함되어 있다.



각각의 악성앱은 국내 주요 금융권의 모바일 뱅킹앱처럼 위장되어 있고, 금융 서비스에 필요한 개인정보를 입력하도록 화면을 보여주게 된다. 그중 일부 위조된 스마트 뱅킹 화면은 다음과 같다. 악성앱은 감염된 스마트폰에 특정 금융앱이 설치된 경우 루트권한을 획득하여 강제로 삭제하고, 악성앱으로 교묘하게 설치를 하게 된다. 



8개의 악성앱은 국내에서 서비스 중인 8개사의 스마트 뱅킹앱으로 위장되어 있고, 디자인만 일부 다르고 모두 동일하게 다음과 같은 금융정보를 입력하도록 유도한다. 보안카드 일련번호 입력을 받은 후에는 보안카드의 전체 번호를 입력하도록 추가 요구한다. 이를 통해서 유출된 정보는 추후 공인인증서 재발급 등을 통하여 개인금융 서비스를 악의적으로 접근할 수 있는 권한을 탈취할 수 있게 된다.

- 이름
- 주민등록번호
- 핸드폰 번호
- 이용자 ID
- 이용자 PW
- 계좌번호
- 계좌 비밀번호
- 자금이체 비밀번호 확인
- 보안카드 일련번호
- 보안카드 전체번호


금융정보가 입력되면 다음과 같이 특정 사이트로 유출을 시도하게 된다.


아래 화면은 보안카드의 전체번호를 입력하도록 요구하고, 입력된 데이터를 외부로 유출시도하는 코드이다.


아래 화면은 루트권한을 획득한 후 정상앱이 설치되어 있는 Data 폴더에 접근하여 사용자 몰래 정상앱을 강제로 삭제하는 기능이다. 이 때문에 이용자는 삭제과정을 볼 수 없고, 악성앱에 의해서 은밀히 정상앱이 악성앱으로 교체된다.

 


아래 화면은 스마트폰 전화번호부를 탈취시도하는 기능의 코드이다.


아래 화면은 문자메시지를 유출 시도하는 기능의 코드화면이다.


악성앱은 상기 기능외에도 MMS 탈취, SMS 발송, 스마트 뱅킹앱 재설치 여부 확인 등 다양한 기능을 수행하게 된다. 이에 따라 스마트폰 이용자의 개인정보 유출 및 스마트 뱅킹 피싱 등의 피해를 입을 수 있으므로 각별한 주의가 필요하다.

이에 잉카인터넷 대응팀에서는 보안전문기업으로서 차별화되고 전문화된 모바일 보안관제 및 오랜기간 축적된 보안기술을 바탕으로 모바일 백신프로그램과 모바일 스미싱 원천 차단솔루션을 개발하여 일반에 무료로 배포하는 등 사회적 기업으로서 그 역할을 충실히 이행하고 있으며, 10년 이상 글로벌 보안사업을 영위하고 있는 신뢰할 수 있는 보안기업으로서 모범적인 활동을 꾸준하게 이어갈 예정이다.

Trojan/Android.KRBanker 악성앱은 문자메시지(SMS)를 통한 스미싱이나 각종 메신저, 이메일 등으로 특정 사용자를 겨냥하여 표적공격화 되어 전파될 수 있으므로 특별한 주의와 전문적인 방어솔루션이 필요하다. 스미싱기법을 이용한 악성문자는 잉카인터넷 대응팀에서 2013년 05월 09일 출시한 스미싱 원천 차단솔루션 "뭐야 이 문자" 무료 앱을 통해서 유입시점에 완벽하게 사전탐지 및 제거를 할 수 있다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 카카오톡 게임으로 사칭한 안드로이드 파이앱 등장

 

잉카인터넷 대응팀은 2013년 03월 4일 구글 플레이 공식마켓에서 한국 스마트폰 이용자들을 대상으로 하여 은밀하게 악성앱이 다수 전파 중인 정황을 포착하였다. 특히, 스마트폰 이용자들에게 널려 알려져 있고, 이용자가 많은 카카오톡 게임인 "애니팡", "윈드러너:진화의 시작", "터치파이터" 등의 아이콘으로 위장하여 이용자들을 현혹시키고 있다. "윈드러너:진화의 시작"으로 위장한 경우는 구글 플레이 마켓에는 "터치파이터" 내용으로 보여지지만, 설치가 완료되면 "윈드러너:진화의 시작" 아이콘으로 설치된다. 

제작자는 대만 계정의 hotmail.com 이메일을 사용하고 있으며, 국내 안드로이드 기반의 스마트폰 이용자들의 정보수집 목적으로 악성앱을 2013년 2월 2일 경부터 3월까지 꾸준히 유포 중에 있다. 또한, 잉카인터넷 대응팀이 추적한 결과 악성앱 제작자는 스마트뱅킹용 피싱기반의 악성앱도 제작하여 유포 중에 있었고, 마치 국내 유명 금융사이트의 스마트뱅킹 앱처럼 조작한 경우도 발견된 상태이다. 해당 악성앱은 인터넷뱅킹 이용자들이 주로 사용하는 개인 금융정보 입력을 과도하게 유도하여 불법적으로 탈취를 시도하고 있다.

[주의]모바일 청첩장으로 위장한 안드로이드 악성앱 등장
http://erteam.nprotect.com/398

[긴급]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
http://erteam.nprotect.com/394

[긴급]안드로이드 스마트폰 이용자를 겨냥한 스파이앱 표적공격 증가
http://erteam.nprotect.com/395

2. 구글 플레이 공식마켓도 악성앱에 100% 안전하지 않다?

카카오톡 게임으로 위장한 악성앱은 구글 플레이 공식마켓을 통해서 다음과 같이 유포 중에 있다. 특이하게도 "터치파이터"의 경우 설치과정에서는 "윈드러너:진화의 시작" 아이콘으로 변경되고, "캔디팡"의 경우 "애니팡" 아이콘으로 설치된다. 구글 공식마켓에서도 악성앱이 배포될 수 있다는 점도 충분히 유념해야 할 것으로 보인다.

잉카인터넷 대응팀은 한국인터넷진흥원(KISA)에 구글 플레이 마켓에 등록된 악성앱들에 대한 정보를 제공하였고, 신속한 차단 및 공조협조를 요청한 상태이다.

스마트뱅킹용 피싱앱도 스미싱 기법으로 다수 유포 중에 있다.

보험금 미납금명세서조회 http://********.com

고객님!이번달 보험료미환급금조회 http://www.********.com

국민연금 미납되었으니 확인바람. 국민연금콜센터 1355 http://tinyurl.com/********

고객님 이번달 보험료 미환급금 조회
http://tinyurl.com/****** 한국 사이버결제 5만원


각각의 악성앱은 "애니팡", "윈드러너:진화의 시작" 아이콘처럼 위장되어 설치 시도가 진행되며, 설치권한은 두개 모두 다음과 같이 동일하다.


구글 플레이 공식마켓을 통해서 설치할 때는 다음과 같이 설치권한에 대한 자세한 설명도 별도로 볼 수 있다.

해당 악성앱은 사용자 스마트폰의 문자메시지(SMS)와 전화번호 날짜와 수신시간 등의 정보를 수집하여 특정 호스트로 유출을 시도한다. 해당 호스트 정보는 APK 내부의 "assets" 폴더에 포함되어 있는 "url.txt" 파일에 의해서 결정되는데, 이는 공격자로 하여금 호스트 서버가 차단되면 좀더 편리하게 변종을 제작해서 유포할 수 있는 환경을 만들어 놓기 위한 것으로 보여진다. 호스트 서버가 차단되면 악성앱 제작자는 "url.txt" 파일의 호스트 IP주소 정보만 변경해서 손쉽고 자유롭게 변종을 제작 유포할 수 있기 때문이다.

확인된 IP주소와 도메인은 다음과 같다.

- http://110.34.133.139
- http://110.34.133.140
- http://110.34.229.124:8081
- http://www.anipang2.com/aaa.php
- http://110.34.175.91/
- http://110.34.229.114:8081

또한, 악성앱 제작자는 게임으로 위장하여 스마트폰 문자메시지(SMS) 탈취형 스파이앱 뿐만 아니라 스마트뱅킹 이용자들을 겨냥한 피싱앱 등 총 6가지의 악성앱을 동시에 제작하여 유포한 정황도 확인된 상태이다.

다음은 마치 유명 카카오톡 게임과 국내 유명 스마트뱅킹 앱처럼 위장하여 설치된 화면이다. 아래 화면은 실제 정상적인 아이콘을 가지고 있지만 모두 정상앱으로 사칭한 악성앱들이다.

"SmsProctect" 이름의 악성앱의 경우는 NPKI 공인인증서 폴더와 "/sdcard/DCIM/Camera" 경로의 ".jpg" 파일을 확인하여 외부로 유출을 시도하는 기능도 보유하고 있다. 스마트폰에 보관중인 공인인증서와 사진파일(보안카드) 등이 외부로 노출될 위험이 있다.



이번에 발견된 안드로이드 스마트뱅킹 피싱앱은 스마트폰 단말기 상에서 웹 사이트 주소가 보여지지 않도록 조작한 것이 특징이며, 기존에 발견되었던 스마트뱅킹 피싱앱과 다르게 스마트 단말기에 최적화되도록 디자인되었다.

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378


스마트뱅킹 피싱앱은 마치 정상적인 금융보안 서비스 신청 내용처럼 위장하여 이용자로 하여금 과도하게 개인금융정보를 입력하도록 피싱을 유도한다. 특히 보안카드의 모든 비밀번호가 입력되면 실제 정상적인 금융 웹 사이트로 연결하여 사용자를 속이게 된다.


3. 마무리

대부분의 안드로이드 성앱은 사용자들이 육안상으로 쉽게 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 앱으로 소개하는 인터넷 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRBanker.A
- Trojan/Android.KRBanker.B
- Trojan/Android.KRBanker.C 외 변종 다수 존재

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 사이렌24 서비스로 위장한 소액결제사기 문자 주의


잉카인터넷 대응팀은 조작된 문자메시지(SMS)와 안드로이드 악성앱을 유포하는 모바일 보안위협을 집중 모니터링하는 과정에서 마치 사이렌24 측에서 발송한 문자처럼 교묘히 위장한 휴대폰 소액결제 사기수법을 추가 발견하였다. 이는 기존에 유출된 개인정보 등을 도용하여 불법적으로 온라인 게임아이템 등을 구매하여 금전적 이득을 취하고 있는 이른바 스미싱(Smishing) 사기수법이다. 국내에 스마트폰 이용자가 급증하면서 안드로이드 기반의 악성앱도 비례적으로 증가하고 있고, 구글의 안드로이드 기반 스마트폰 문자메시지(SMS)를 이용자 몰래 가로채기할 수 있는 스파이앱 제작이나 모바일 디도스 앱 등도 덩달아 기승을 부리고 있는 상황이다. 이것도 일종의 보안취약점으로 구분하여 악성앱 개발자들이 문자메시지를 손쉽게 훔쳐내거나 유용한 스마트폰의 기능들이 남용하지 못하도록 하는 시급한 조치가 필요해 보인다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

더불어 안드로이드 스마트폰 이용자들은 최근들어 모바일 쿠폰이나 외식상품권 문자 내용이 아닌 다양한 내용으로 사기수법을 변경하고 있다는 점을 명심하여 문자메시지에 포함된 인터넷 주소(URL) 클릭에 세심한 주의가 필요하겠다. 또한, 최근들어 사생활감시 목적으로 문자메시지를 훔쳐내거나, 모바일 디도스 공격용의 악성앱이 급격히 증가하고 있다는 점을 인식하여, 인터넷 주소가 포함된 의심스러운 문자메시지는 절대로 클릭하지 않도록 하는 각별한 주의가 요구된다.

[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
http://erteam.nprotect.com/389

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
http://erteam.nprotect.com/386

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. 내 주민번호가 도용되었다는 내용으로 낚시!

이번에 발견된 휴대폰소액결제 사기수법은 안드로이드 악성앱을 이용자가 최대한 신뢰하고 악성 APK 앱을 설치하도록 새로운 방식을 도입하였다. 마치 문자메시지 수신자의 주민번호가 불법 도용되어 사용된 내역이 확인된 것처럼 이용자의 관심을 유발시키고, 널리 알려져 있는 실제 명의도용방지 서비스인 사이렌24 내용으로 확인하라고 악성앱 설치용 단축URL 주소를 클릭하도록 유도한다.

발신번호 사칭 : 1577-1006
고객님 주민번호 사용내역2건. IP추적 성공,확인 사이렌24로 vo.to/***


[#Update 2013. 03. 06]

발신번호 사칭 : 02-1577-1006
(24)
고객님 주민번호 사용내역2건.
ip2건.추적 성공. 확인
사이렌24로http://sm1.kr/

발신번호 사칭 : 02-1577-1006
고객님 주민번호 사용내역2건.
ip2건.추적 성공.확인 사이렌24로
http://sm1.kr/**


아래와 같이 주민번호 사용내역이나 유출건수를 증가시키면서 사용자를 현혹시키는 문자폭탄 형태도 발견된 상태이다.


[#Update 2013. 03. 07]

발신번호 사칭 : 021551006
사이렌24신용정보(주)고개님
주민번호사용내역2건.명의도용방지
siren24.i***.com/


문자메시지를 수신한 사용자가 문자에 포함되어 있던 단축 URL주소를 클릭하게 되면 아래와 같이 "smartbilling.apk", "coupon.apk", "sr24.apk" 라는 악성앱이 다운로드된다.


다운로드가 완료된 "smartbilling.apk" 파일을 클릭하게 되면 마치 사이렌24(SIREN 24) 관련 앱처럼 위장하여 아래와 같이 악성앱 설치가 시도된다.


[설치]버튼을 클릭하여 사용자가 해당 앱 설치를 완료할 경우 스마트폰에는 다음과 같이 [SIREN 24] 아이콘과 이름으로 위장된 휴대폰 소액결제사기 기능의 악성앱이 설치되며, 이용자의 명의가 도용되고, 소액결제승인문자 메시지가 유출되어 많은 경우 약 30만원 상당의 금전적인 피해를 입을 수 있게 된다.


악성앱 내부에는 기존에 위장했던 다양한 아이콘 리소스들이 포함되어 있다.


이런 악성앱을 설치한 경우 이용자는 신속하게 해당 앱을 삭제하여야 하고, 해당 이동통신사 등에 소액결제 피해여부 등을 파악해보고, 소액결제 서비스를 사용하지 않는 경우 이통사에 차단을 요청해 두면 유사한 소액결제사기 피해를 최소화할 수 있다.

또한, 악성앱이 실행되면 아래와 같이 가짜 에러 메시지 창을 띄어 사용자로 하여금 일시적인 접속장애로 오인하도록 조작한다. 이는 스미싱 사이버 범죄 사기범들로 하여금 소액결제 사기를 진행하는데 필요한 시간을 확보하고, 이용자로 하여금 해당 앱이 악성앱이 아닌것처럼 위장하기 위한 사기수법이다.

Error!
Error Code: [Error]현재 접속자가 많아 연결이 되지않습니다. 잠시 후에 다시 접속하시기 바랍니다. [확인]


해당 악성앱은 기존 KRSpammer 변종으로 안드로이드 기반 소액결제 승인문자 메시지를 가로채기하는 악성앱이다.

3. 예방 조치 방법

대부분의 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 모바일 암적존재? 안드로이드 보안위협 급증!


잉카인터넷 대응팀은 "(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요" 라는 내용과 악성앱이 설치되는 단축 URL 주소를 포함하여 사용자에게 스마트폰 소액결제사기용 악성앱이 설치되도록 시도한 정황을 추가 포착하였다. 이 내용은 "[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요" 라는 문구로도 유포에 악용되었다. 복지로는 이전에도 "[복지로]복지알림이 모바일어플 설치하시고 실시간 복지정책 체크하세요" 라는 유사한 내용으로 전파된 바 있다. 또한, 소액결제사기용 뿐만 아니라 모바일 디도스(Mobile DDoS)공격용, 이용자의 문자메시지 등을 탈취시도하는 스파이(Spy) 기능용 변종도 지속적으로 발견되고 있어 안드로이드 기반 스마트폰 이용자들의 각별한 주의가 요망된다. 특히, 국내 이용자를 노리고, 사생활침해 우려가 존재하는 새로운 스파이앱 형태의 악성 안드로이드 악성파일은 수신자의 이름을 문자메시지 상에서 거론하는 등 특정 표적자를 직접적으로 지목해서 악성파일을 설치하도록 유도했다는 점에서 공격행태가 매우 과감해지고 있다는 점을 입증하고 있고 있다. 


- 누군가 내 스마트폰을 통해 일거수일투족을 몰래 훔쳐본다?

마지막으로 국내인을 대상으로 한 맞춤형 안드로이드 보안위협이 급속도로 증가하고, 기능적으로도 빠르게 진화하고 있다는 점을 직시하여 스마트 기기를 이용하는 개인과 관련기업들은 다양하고 입체적인 모바일 보안대책을 논의하고 수립해야 할 시기로 보여진다. 

[긴급]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
http://erteam.nprotect.com/394

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급] 안드로이드전용 모바일 보안업데이트로 위장한 DDoS 악성 앱
http://erteam.nprotect.com/393

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[SBS 현장 21]'충격' 스마트폰 도청 실태
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001640852

[머니투데이]스마트폰 업데이트하니... "헉 내 메세지가"
http://www.mt.co.kr/view/mtview.php?type=1&no=2013021910515993345&outlink=1

2. 초미의 관심사! 스마트 사기단, 사이버 흥신소 성업 중?

2013년 초중고 교육비 지원 신청 원클릭용 앱설치 문자로 위장한 악성앱은 다음과 같은 형태의 메시지로 전파되었으며, (원클릭) 이라는 문구 대신에 [복지로]라는 문구로 사용된 경우도 발견된 상태이다.

(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요 taoul.es/***


[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요! http://taourl.es/***


이용자가 단축 URL 주소를 클릭하면 해외의 DropBox 파일 공유 서비스를 통해서 "smartbilling.apk" 라는 악성 안드로이드앱이 다운로드되고, 이용자가 다운로드된 APK 파일을 실행하여 설치하면 사이버 범죄자들에 의해서 최대 30만원 상당의 소액결제 피해를 입을 수 있게 된다. 이렇다보니 사이버 범죄자들은 금전적 이득을 취하기 위해서 소액결제사기용 안드로이드 악성앱의 변종을 끊임없이 양산하여 변칙적인 사이버 범죄 행위을 멈추지 않고 있다.

또한, 사용자의 안드로이드 기반 스마트폰에 수신되는 문자메시지(SMS)를 감시하고, 이용자의 동의 없이 외부로 불법적으로 유출될 수 있는 스파이앱(SpyApp) 형태의 안드로이드 악성파일 변종도 계속 보고되고 있다. 한국인터넷진흥원(KISA)을 통해서 확인된 새로운 종류는 특정인의 이름을 직접적으로 문자에 포함하는 등 표적형 공격형태로 진화하고 있다는 점에서 상황의 심각성을 더해주고 있으며, 잉카인터넷 대응팀은 관련 정보를 추적하던 중 다양한 변종이 추가로 존재하는 것을 발견하여 nProtect Mobile for Android 제품에 긴급 업데이트를 완료한 상태이다.

*** 나야 전화가 안되서 이걸로 나랑 대화해 많이 급하다www.k****protect.com/kids.apk

*** 나야 지금 전화가 안돼 이걸로 하자 급해 www.a****-protect.com/adult.apk

[Update #02 - 2013년 02월 28일]

충격 gril그룹 ♥xxx양♥ 바로보기http://whw***.com

박*성님 데이타사용초과 익월요금합산청구 학인
http://mar****19.net/a.apk

애플리케이션 실행 속도관련 최신 업그레이드가 필요합니다.http://goo.gl/H**w1


상기 이미지와 같이 특정인을 표적화하여 "kids.apk", "adult.apk" 파일을 설치하게 유도하였으며, 이용자의 문자메시지는 외부의 특정 서버로 몰래 유출될 수 있다. 현재는 해당 서버의 접속이 한국인터넷진흥원(KISA)의 신속한 대응으로 차단조치된 상태이기 때문에 정보유출 가능성은 낮다.

그러나 이러한 형태의 스파이앱 변종이 꾸준히 제작되고, 발견되어지고 있다는 점은 안드로이드 보안위협 측면에서 시사하는 바가 크다. 특히, 특정인의 일거수일투족을 실시간으로 엿보거나, 사이버 흥신소라는 비즈니스 모델(?)이 스마트기기의 다양한 취약점을 통해 급격히 증가할 수 있다는 것에 주목해야 한다. 이는 사이버 범죄자들이 음지에서 은밀히 활동하고 점조직으로 수사기관의 추적을 피해 운영되고 있는 고유한 특수성 때문에 활동자체가 외부에 쉽게 노출되지 않을 수 있고 그로인해 예상하지 못할 정도로 다양한 보안위협이 스마트환경을 통해 가속화될 수 있다는 가능성을 열어두고 있다.

잉카인터넷 대응팀이 파악한 바에 의하면 앞서 언급한 스파이앱은 가입제로 운영이 되고 있으며, 변종을 유포했던 이력과 정황을 포착한 상태이다. 해당 서버는 하기와 같이 접근권한을 가진 멤버가 보유하고 있는 계정과 암호를 통해서만 접근할 수 있다.


해당 서버의 내부에는 관리자가 여러가지 설정 및 등록을 할 수 있도록 구성되어 있고, 악성앱에 감염된 이용자의 문자메시지 현황을 모니터링 할 수 있도록 제작되어 있다.


■ "adult.apk" 악성앱 상세 분석정보

"adult.apk" 와 "kids.apk" 파일은 클래스명만 다르고 대부분의 기능은 동일하기 때문에 대표적으로 "adult.apk" 악성앱에 대한 내용만 공개하면 다음과 같다.

a. "adult.apk" 악성 앱은 1개의 서비스(adult_svr)와 1개의 리시버(boot_adult)를 등록하고 있다.

b. 악성 앱이 실행되면 메인 액티비티 상에 특별히 변화되는 내용은 없으며, 최초 화면 그대로 출력된 상태를 유지하게 된다. 또한, 메인 액티비티에서는 내부적으로 등록된 서비스(adult_svr)를 실행하며, 악성앱의 일반적인 생명주기는 이것으로 종료된다.

c. 실행된 서비스(adult_svr)는 감염된 스마트폰의 전화번호를 수집하며 스레드를 생성한다. 생성된 스레드는 특정 DB파일(adultProDb156666.db)을 생성하며, 내부에 두개의 테이블을 생성(Send_Msg, Base_Set)후 정보를 갱신한 다음 갱신된 정보와 수집된 전화번호 정보에 대한 외부 유출 및 추가적인 악성 기능 수행을 위해 외부 특정 사이트에 접속(http://a*****protect.com/app/app_sms.asp)을 시도한다. 다만, 현재는 해당 서버가 차단되어 있어 정상적인 작동을 수행하지는 못한다.


d. 모든 문자메시지(SMS) 정보에 대한 탈취를 위해 일반적인 SMS 목록 쿼리, 단말기 제조사 2곳에 따른 메시지함 접근 및 쿼리(삼성, LG) 등의 방법으로 SMS 관련 정보(발신번호, 본문내용 등)를 수집하여 외부 특정 사이트(http://a*****protect.com/app/app_sms.asp)로 유출을 시도하게 된다.


e. 마지막으로 해당 악성앱에 등록되어 있는 리시버(boot_adult)는 스마트폰이 재부팅되면, 마찬가지로 등록된 서비스(adult_svr)를 재실행해 주는 동작을 하게된다.

3. 안드로이드 악성앱 감염 예방법

소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고, 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요해 보인다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRSpyBot.A
- Trojan/Android.KRSpyBot.B
- Trojan/Android.KRSpyBot.C
- Trojan/Android.KRSpyBot.D
- Trojan/Android.KRSpyBot.E
- Trojan/Android.KRSpyBot.F
- Trojan/Android.KRSpyBot.G
- Trojan/Android.KRSpyBot.H
- Trojan/Android.KRSpyBot.I
- Trojan/Android.KRSpyBot.J
- Trojan/Android.KRSpyBot.K
- Trojan/Android.KRSpyBot.L 외 변종 계속 추가 중


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 일회용 비밀번호(One Time Password:OTP) 이벤트로 위장

잉카인터넷 대응팀은 국내 인터넷 뱅킹 서비스 이용자들을 겨냥한 악성파일(KRBanker) 변종이 새로운 형태로 활동하기 시작한 정황을 포착하였다. 이번에 발견된 수법은 악성파일(KRBanker)이 특정 웹 사이트에 접속하여 최신 금융 피싱사이트 정보를 가진 호스트파일(hosts)에 접근하고, 실시간으로 피싱 IP주소를 동적으로 연결하는 형태이다. 명령을 주고 받는 C&C(Command and Control) 서버를 집중 모니터링한 결과 시간차에 따라 공격자의 명령이 가변적으로 수행되며, 피싱 IP 주소가 변화되는 것을 직접 확인한 상태이다. 

기존에도 국내 웹 사이트를 불법 해킹해서 C&C 서버와의 통신을 이용한 호스트파일의 자체 업데이트 기법이 보고된 바 있었지만, 이번 악성파일은 기존과 다른 변종으로 분류된 상태이다. 더불어 웹 사이트에 등록된 스크립트 파일을 이용해서 감염된 사용자에게 일회용 비밀번호(OTP) 이용과 전자금융사기 예방서비스 안내 문구처럼 조작된 메시지를 보여주고 있으며, 접속시간에 따라 악성 스크립트를 추가하는 경우도 확인된 상태이다. 



이처럼 국내 인터넷 뱅킹 이용자를 노린 보안위협이 갈수록 심각해지고 있으므로, 조작된 피싱 사이트에 소중한 금융정보를 입력하여 예기치 못한 피해를 입지 않도록 각별한 주의가 요망된다.




2. KRBanker 악성파일 정보

지금까지 보고되는 국내 전자금융사기용 악성파일(KRBanker)들은 대부분 해킹된 웹 사이트에 보안이 취약한 상태로 접근하는 것만으로 감염된다. 따라서 이용자는 자신이 언제 어디서 악성파일에 노출되었는지도 인지하기 어려운 상태이다. 또한, 정상적인 응용프로그램을 변조하거나 일종의 파일공유 서비스인 웹하드, 토렌트 등의 P2P 등을 통해서도 다수 유포된 이력이 있다. 가장 많이 남용되는 취약점으로 마이크로 소프트사의 윈도우 운영체제(OS) 및 응용프로그램(Internet Explorer/Office) Adobe Systems사의 응용프로그램(PDF Reader/Flash Player) Oracle사의 Java 취약점 등이 빈번히 악용되고 있다. 따라서 이용자들은 윈도우 운영체제와 더불어 각종 응용프로그램을 항시 최신 버전으로 업데이트하여 사용하는 보안습관을 가지는 것이 중요하다.

이번에 발견된 악성파일에 감염되면, 변종에 따라 윈도우 폴더에 "swsls.exe" 또는 "svwsls.exe" 등으로 생성되어 작동되며, "HotzT.ini" 파일도 함께 생성된다.


악성파일이 실행되면, 해외의 특정 도메인으로 연결을 시도하며, 해당 사이트에 등록되어 있는 "hosts.txt" 파일 값을 가져온다.

피싱 사이트는 공격자의 제어명령에 따라서 가변적으로 작동하며, 실제 해당 C&C 서버를 모니터링한 결과 시점에 따라 IP 주소가 추가되는 현상이 목격된 상태이다.

더불어 악성파일(KRBanker)은 "8.html" 주소로 접속하여 다음과 같은 가짜 메시지를 출력하여 사용자로 하여금 확인 즉시 인터넷 뱅킹 사이트에 접속하도록 유도하는 수법을 이용하고 있다. 또한, 아이프레임 코드를 이용해서 악의적인 스크립트가 실행되도록 만들기도 한다.


"8.html" 스크립트 코드에 의해서 악성파일은 다음과 같은 메시지를 사용자 컴퓨터 화면에 랜덤하게 보여주게 된다. 일부 띄어쓰기 등이 잘못된 것을 볼 수 있다.

피싱및 해킹(전화금융사기)인한 금융사기가 지속적으로 발생하고 있습니다. 12월17일부터 모든 은행권에서 전자금융사기 예방서비스를 시행하고있습니다.좀더 안전한 이용을 위해 고정된 보안카드보다는 매 32초마다 새로운 난수를 자동 생성하는 일회용비밀번호생성기(OTP) 이용해 주시기바랍니다.


상기와 같은 팝업 메시지를 컴퓨터 작업 중 발생시켜, 사용자로 하여금 피싱 사이트가 차단되기 이전에 즉시 인터넷 뱅킹에 접속하도록 유혹하는 것이며, 이를 통해서 금융 피싱 사이트로 연결시켜 사용자의 중요 금융정보를 신속하게 탈취하기 위한 목적으로 가짜 메시지 창을 보여주는 것이다.

만약 사용자가 정상적인 인터넷 뱅킹 웹 사이트에 접속을 시도하면, 다음과 같이 피싱 사이트로 접속이 이뤄지게 되며, 마치 실제 서비스 중인 전자금융사기 예방서비스(OTP) 무료 가입 이벤트 화면을 보여주고, 사용자의 금융정보 입력을 유도하게 된다.



각 금융 피싱 사이트의 팝업 메시지 부분을 클릭하게 되면 본격적으로 개인 금융정보 입력을 요구하는 화면을 보여주게 된다. 대표로 국민은행을 모방한 피싱사이트 화면은 다음과 같은 과정을 거치게 된다.


이름과 주민번호를 입력하게 되면, 사이버 범죄자들에게 해당 정보가 유출되고, 일회용 비밀번호 생성기 발급신청 내용처럼 조작된 화면을 보여주면서 추가적인 금융정보 입력을 유도하게 된다. 보안카드의 모든 비밀번호까지 입력이 완료되면 금융 보안 프로그램 설치가 필요하다는 메시지 등을 보여주면서 정상적인 금융 사이트로 바꿔주어 사용자로 하여금 피싱 사이트에 정보를 입력했다는 사실을 눈치채지 못하도록 조작한다.





3. 피싱 사이트 진위여부 판단 노하우


내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.


2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.


 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

■ 변화무쌍한 국내 인터넷 뱅킹 위협의 실체추적 : 잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금탈취를 전문적으로 노리고 있는 이른바 KRBanker 악성파일들이 지속적으로 급증하고 있어 각별한 주의가 필요하다는 보안권고를 여러차례 공지하고 강조한 바 있다. 현재 이 시간에도 전자금융사기용 악성파일(KRBanker)은 변종이 꾸준히 발견되고 있고, 활개를 치고 있는 만큼 개인 금융 보안의식이 그 어느때보다 절실히 필요한 시기이다. 잉카인터넷 대응팀은 이에 대한 긴급조치로 국내 금융 보안위협에 대한 적신호를 자체 발령하고 보안 사각지대와 전자금융사기에 대한 상시 집중 모니터링을 수행하고 있다.

한국을 겨냥한 파이넨셜 악성파일 제작자들은 조직적으로 다수가 운영되고 있는 것으로 추정되며, 변신의 귀재인 카멜레온 마냥 변종들을 끊임없이 양산하여 유포시키고 있다. 2012년 6월 경 국내 언론사를 통해서 『중국 현지에서는 국내 인터넷 뱅킹용 피싱사이트를 전문적으로 제작해서 공급하는 범죄조직이 존재』한다는 취재내용이 보도된 바 있었고, IP주소를 추적해 본 결과 중국 지린성에서 활동하고 있는 것으로 밝혀진 바 있다. 또한, 약 200만원의 비용만 지불하면 누구나 쉽게 피싱사이트를 쉽게 구매할 수 있고, 인터넷에 이와 관련된 홍보성 광고글이 암암리에 게재되고 있기도 하다.

한국인터넷진흥원(KISA)에 따르면 국내 기관을 사칭한 피싱사이트 발견건수가 2006년부터 2010년까지는 총 20건에 불과했지만, 2011년 1,849건으로 증가했고, 2012년 1분기에만 1,218건으로 급증하는 등 폭발적인 증가세를 보이고 있다. 이런 증가추세의 배후에는 전문적인 피싱사이트 제작업자들이 연관되어 있을 가능성이 매우 높다. 이런 근본적인 환경적 연결고리를 제거하지 못한다면 2013년에도 피싱사이트와 악성파일은 수치적 증가와 더불어 기술적 진화가 가속화될 것으로 전망되고 우려된다.

■ 전자금융자산의 최종방어선 보안카드를 숨겨라 : 보안카드는 그 이름처럼 보안이 주된 역할이다. 자신의 전자 금융예금을 안전하게 보호하기 위해서 보안카드는 예금 이체와 인출 등의 주요 승인절차에 활용된다. 그 만큼 보안카드는 말 그대로 보안이 철저하게 중시되어야 한다. 정상 금융권에서는 어떠한 경우에도 보안카드의 전체 비밀번호를 한꺼번에 요구하지 않는다. 만약 전자금융 서비스 이용자가 금융 피싱 사이트에 현혹되어 보안카드의 전체번호를 모두 입력했다면, 그 순간 물리적 보안카드는 유명무실한 비보안카드로 한순간에 전락하게 된다.

지금 이 시간에도 KRBanker 악성파일과 스마트폰 SMS 등 다양한 매개체를 통한 전자금융 피싱시도는 현재 진행형이다. 전자금융사기 범죄조직들은 피싱사이트를 활용해 보안카드의 전체 비밀번호를 확보하기 위해 끊임없이 불법적 해킹과 피싱시도를 진행하고 있다. 이용자들이 느끼기에 진짜보다 더 진짜에 가깝게 보이도록 정교하게 피싱사이트를 제작해서 금융서비스 이용자들을 유혹하는 경우가 급증하고 있고, 실제 피해사례도 속속 보고되고 있다는 점을 명심하고 또 명심해야 한다. 한순간의 보안불감증이 돌이킬 수 없는 금전적 피해로 이어질 수 있다는 점 절대 잊어서는 안될 것이다.

근래 변화하는 전자금융사기형태를 보면 악성파일(KRBanker)을 통한 피싱사이트 연결이 대표적이라 할 수 있다. 피싱사이트는 이용자의 심리를 이용해 주요 개인 금융정보 편취와 공인인증서(NPKI)탈취 등을 손쉽게 수행한다. 보통은 【보안승급서비스】【보안강화서비스】【전자금융사기 예방서비스】【금융자산 예방서비스】등의 문구로 사용자를 현혹하고 유인한다. 보통 과거에는 해킹용 원격제어 프로그램을 감염시켜 사용자가 편의상 스캔하여 보관해 둔 보안카드 전체 이미지를 훔쳐내는 수법을 이용하는 경우가 있었다. 반면 최근에는 피싱사이트를 통해서 사용자 스스로 보안카드의 전체 비밀번호를 입력하도록 유혹한다는 점에서 이용자 스스로의 보안의식이 정말로 중요한 시점이다.

■ 제안! 금융 보안위협 스마트하게 합동 방어하자 : 일명 금융전화사기라는 용어로 널리 알려져 있는 이른바 보이스피싱은 과거 많은 피해자가 속출하면서 사회적인 문제로 여러차례 대두된 바 있다. 그에 따라 공중파 등 다양한 매체를 통해 피해 주의보가 거듭 발령된 바 있다. 금융권에서도 적극적인 사전 홍보와 실제 피해사례를 통한 예방법 안내 등 다각적인 노력을 통하여 전국민 모두가 보이스피싱의 수법을 인지하고 자각하여 스스로 예방할 수 있게 하는 시스템적 효과를 거두었다. 특히, ATM 기기 등에서 전화통화를 하면서 계좌이체 등을 진행할 경우 각별한 주의가 필요할 수 있도록 음성과 문구 등을 서비스 절차에 포함시켜 보이스피싱의 피해를 예방하고 최소화할 수 있도록 체계를 개편하였다.

전화금융사기(보이스피싱)처럼 많은 사용자가 전자금융사기 수법도 스스로 인지하고 예방할 수 있다면 그 만큼 이상적일 수는 없을 것이다. 그러나 전자금융사기 범죄조직들도 점차 지능화되고 있다는 점을 절대 잊어서는 안된다. 개인금융 정보 뿐만 아니라 보안카드의 전체 비밀번호가 완벽하게 보호된다면 자신의 소중한 금융자산이 불법적으로 외부로 유출되는 대형 금융사고는 미연에 예방할 수 있다. 개인별 보안의식도 중요하지만, 서비스적인 보안시스템도 필요하다. 만약 가능하다면 국내 각 금융사에서 새로 발급되는 보안카드 전면에 인터넷 뱅킹 이용시 보안카드의 모든 비밀번호를 절대 입력하지 않도록 특별한 권고 및 주의안내 문구를 식별하기 좋은 방식으로 디자인하고 삽입하는 것도 한가지 좋은 방법이 되지 않을까 제안해 본다.
@잉카인터넷 대응팀장 문종현

[참고자료]

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


국내 주요 은행사의 인터넷뱅킹 서비스와 유사한 사이트 화면을 출력하여 계좌 정보 등을 탈취하는 악성파일이 최근 정보 탈취 방법을 수정한 변종의 출현과 함께 다시한번 이슈가 되고 있다. 이번에 발견된 해당 악성파일은 감염 시 피싱 사이트 목록에 시티은행을 추가하는 것이 기존의 다른 변종들과 큰 차이점이라 할 수 있다. 해당 악성파일은 hosts 파일을 변조하여 사용자가 특정 은행사의 인터넷 뱅킹 사이트에 접속시 이를 감지해 실제로는 악성파일 제작자가 미리 준비해 놓은 사이트로 접속을 시도 하게 된다. 

해당 사이트는 실제 은행 사이트와 매우 유사하게 제작되어 있어 일반 사용자들은 쉽게 현혹될 수 있으며, 정보 탈취를 위해 출력되는 팝업창에 각종 계좌 정보의 입력을 유도하는 등 사용자로 하여금 금전적인 피해를 유발할 수 있다.

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

2. 정보 탈취 방법의 변화

이번에 발견된 일명 KRBanker(Korea + Banker)의 새로운 변종은 기존에 출현했던 변종들과 비교하여 아래의 사항들과 같은 변경점들이 존재한다.

※ 전체 변경 사항

- 정보 탈취를 위해 유도되는 팝업창의 변화 (사이트 접속시 바로 피싱을 위한 경고창 등 출력)
- 생성되는 파일 목록 및 내용의 변화 (wmplayer.ini : 접속 시도 IP -> 버전정보)
- 알약 모듈로 위장
- 금융 피싱 사이트 목록 추가 (시티은행)


우선, 해당 악성파일이 다운로드 되면 아래의 그림과 같이 이스트소프트 알약 또는 알툴즈 업데이터와 관련된 아이콘으로 위장되어 있음을 확인할 수 있다.



이미지와 함께 파일명, 그리고 속성까지 정상적인 알약 모듈인것 처럼 위장하고 있다. 또한 기존과 같이 델파이로 제작되어 있으나, 실행 압축 형태로 제작되지는 않았으며, 생성되거나 변조되는 파일의 목록은 아래와 같다.

※ 생성 및 변조 파일 목록

- (프로그램 폴더)\Windows Media Player\wmplayer.ini (21 바이트)
- (윈도우 시스템 폴더)\drivers\etc\hosts (1,528 바이트)


특히, 이번에 발견된 변종의 경우 새롭게 "시티은행"이 추가된 점이 주목할만 하다. 아래의 그림은 시티은행이 피싱 목록에 포함되어 있음을 확인할 수 있는 변조된 hosts 파일의 전체 리스트이다.


아래는 이스트소프트 모듈로 위장하는 추가적인 KRBanker 변종이 가지고 있는 피싱 목록이다.

 


또한, hosts 파일이 변조되면서 윈도우 미디어 플레이어 폴더에 아래의 그림과 같은 wmplayer.ini 파일을 생성하게 되는데 내부에는 이전과 같은 IP정보가 아닌 특정 버전 정보가 입력되어 있다.


◈ 감염 후 실제 은행 사이트 접속 시 피싱 화면

이번에 발견된 KRBanker의 새로운 변종은 특정 은행 인터넷뱅킹 사이트에 접속하자 마자 아래의 이미지와 같이 피싱 및 해킹 등과 같은 금융피해 예방 차원이라는 안내 팝업창과 함께 계좌 정보의 탈취를 시도하는 것이 특징이다.

[기업은행]



[외환은행]




[시티은행]




[우리은행]



[하나은행]


[농협]


감염 후 특정 은행 사이트 접근 시 접속되는 피싱 IP주소(110.34.231.150)는 언제든지 변경될 수 있으며, 해당 IP의 주소는 아래의 그림과 같이 현재 대만으로 확인되고 있다.


3. KRBanker 예방 조치 방법

최근 스마트폰을 비롯하여 금융관련 보안 사고가 지속적으로 보고되고 있다. 가장 최근인 금일에는 뉴스매체를 통해 계좌 정보, 공인인증서 정보 등의 대량 탈취로 인해 발생한 것으로 추정되는 소액결제를 통한 상당 금액의 금융피해 건이 보고된 바 있다.

국내 사정에 정통한 악성 파일 제작들에게 더이상 국내 대다수의 사용자들을 대상으로 악성 파일의 유포를 시도하는 것은 어려운일이 아닐 수 있다. 더불어 위와 같이 특정 은행사 인터넷뱅킹 사이트와 유사한 사이트를 제작하여 정보 탈취를 시도한다면 일반 사용자들은 별다른 의심없이 쉽게 현혹되어 자신의 계좌 정보 등을 입력하여 악성 파일 제작자에게 전송하게 될 것 이다.

애초부터 사용자들을 속여 자신들의 목적을 이루기 위해 제작되는 악성 파일들은 사용자들이 육안상으로 식별해 내기란 매우 어려우며, 취약점이 존재하는 웹 사이트 접속만으로도 쉽게 감염될 수 있다. 때문에 이러한 KRBanker의 변종들로 부터 안전한 인터넷뱅킹 등 금융관련 서비스 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect