잉카인터넷 대응팀에서는 국외에서 유포된 수십만종 이상의 안드로이드 악성앱을 수집하여 대응 중에 있으며, 동시에 국내 이용자만을 특수하게 겨냥한 소액결제사기 목적의 안드로이드 기반 스마트폰 보안위협에 대한 원천차단 방지 기술을 이미 2012년에 확보한 상태이다.  잉카인터넷 대응팀은 이 기술을 적용한 스미싱(Smishing) 전용 차단솔루션을 개발완료하여 일반에 무료로 제공하며, 이를 통해 스미싱으로 인한 피해를 최소화할 수 있을 것으로 기대된다. 

기존에 국내에 공개되어 있는 일부 스미싱 탐지 제품들의 경우 최신 스미싱 문자를 정상적으로 탐지하지 못하거나, 스미싱이 아닌 일반적인 문자메시지를 포괄적으로 탐지하는 사례가 많아서 사용자 혼란과 오해가 발생할 가능성이 있다.

그러나 잉카인터넷 대응팀이 개발한 솔루션은 작년부터 최근까지 국내에서 자체 발견한 1,000종 이상의 국내 맞춤형 스미싱 형태를 실제 분석한 데이터를 기반으로 하고 있어, 기존에 알려져 있지 않았던 신종 스미싱 문자메시지까지도 자동으로 분석하고 탐지할 수 있도록 개발하였다
.

"뭐야 이 문자" 앱은 Google Play Store를 통해 앱을 다운로드를 할 수 있다.

◈ "뭐야 이 문자" 무료 다운로드 URL
https://play.google.com/store/apps/details?id=com.nprotect.antismishing


 

[주의]구글코드 사이트를 이용한 안드로이드 스미싱 사기형!
http://erteam.nprotect.com/411

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377


하기 화면은 잉카인터넷 대응팀에서 실시간으로 수집 중인 실제 스미싱 문자메시지 화면과 분석자료이다.


특히, 최근들어 탐지를 우회하기 위한 목적으로 사용 중인 URL Obfuscation 기법과 Multi URL Shortener 등에 대한 분석기능까지 탑재하고 있어, 스미싱이 유도하는 악성앱에 대한 감염을 원천적으로 차단할 수 있다.




현재까지 국내에서 발견되고 있는 안드로이드 기반 스마트폰 보안위협은 대부분 문자메시지(SMS/MMS)를 통해 전파 중에 있다. 물론 구글 플레이 공식마켓이나 서드파티 마켓 등을 통한 악성앱 유포방식도 존재하지만, 국내에선 문자메시지(SMS)를 통한 감염 유도수법이 가장 널리 악용되고 있다.

※ 스미싱(Smishing) = 문자메시지(SMS) + 피싱(Phishing)

한국 맞춤형으로 발생하고 있는 대표적인 스미싱 사기유형은 다음과 같다.


잉카인터넷 대응팀에서 개발한 스미싱 차단방지 솔루션은 그동안 한국내에서 발생한 최신 악성앱과 자체 보유한 수십만종의 외산 악성앱 등 최상위 수준의 악성 데이터베이스(DB)를 기반으로 자체 분석기술 및 모바일 보안관제 능력 등이 종합적으로 활용되었다. 이는 안드로이드 악성앱의 단순 설치권한 등을 체크하는 방식이 아니기 때문에 유사패턴 오진의 위험성을 최소화하였고, 신변종 스미싱 탐지의 실효성을 증대시켰다.

기존 모바일 백신제품들은 알려진 국내외 악성앱을 탐지하도록 제작되어 있어 상대적으로 많은 리소스가 필요하지만, 이번에 개발된 스미싱 차단방지 솔루션은 국내에서 발견되고 있는 한국맞춤형 악성앱을 전문적으로 차단하도록 개발되었다. 특히, 실시간 감시의 부담을 최소화하는데 포커스를 맞춰 최대한 경량화하였고, 배터리 소모량과 리소스 점유에 대한 문제를 해소하여 스미싱 전용 보안솔루션으로서 이용자 편의성 및 보안성 증대에 크게 기여할 수 있을 것으로 예상된다.

더불어 그동안 발견된 악성앱의 악위적 행동코드를 종합하여, 악성 문자메시지가 유입되는 과정에서 스미싱 행위를 1차 판단하고, 유입 이전 시점에 사전차단이 가능하도록 설계하였다. 아울러 혹시라도 알려지지 않은 유사 공격수법이 등장할 경우를 대비해 악성 패턴 기반 기술로 새로운 악성앱도 신속하게 추가탐지할 수 있도록 입체적 대응기술도 적용하였다. 이러한 스미싱 원천차단방지 솔루션은 일반인들에게 전면 무상으로 배포하며, 안드로이드 스마트폰 이용자들의 보안수준을 한 단계 향상시켜주어 현재 사회적 문제로 가중되고 있는 소액결제사기범죄 및 모바일 디도스 등의 혼란을 최소화하는데 조금이나마 도움이 될 것으로 기대한다.

또한, 보안솔루션이라는 거부감을 최소화하고, 이용자들이 좀더 친근감을 느낄 수 있도록 인터페이스를 구성하였으며, 최신 보안정보를 실시간으로 확인해 볼 수 있도록 제작되었다. 아래 화면은 Splash Image 이다.


메인 화면은 문자메세지 사기감시와 악성앱 동작감시 기능 등으로 구성되어 있으며, 사용자가 손쉽게 ON/OFF 를 설정할 수 있다. 또한, 잉카인터넷 대응팀의 최신 보안 트랜드를 손쉽게 확인해 볼 수 있다.


프로그램이 작동된 이후에 악성 스미싱 문자메시지가 수신되면 다음과 같이 문자메시지 탐지화면과 [삭제·신고], [허용] 선택을 할 수 있다.


[삭제·신고] 버튼을 클릭하게 되면 수신된 악성문자 메시지를 삭제하며, 다음과 같이 잉카인터넷 대응팀(erteam@inca.co.kr)으로 해당 문자메시지를 간단하게 신고할 수 있고, 신고를 통해서 수집된 악성문자 메시지는 유관기관 등에 공유되어, 유포지 서버 차단 등의 목적으로 활용된다.


또한, 악성앱 동작감시 기능을 통해서 기존에 널리 알려져 있는 유사한 변종의 악성앱이 설치될 경우 다음과 같이 악성앱 발견 기능이 작동된다. 이를 통해서 문자메세지 외에 다양한 방식의 악성앱 설치 여부를 탐지하고 예방할 수 있다.


잉카인터넷 대응팀은 각종 모바일 보안위협을 철저하게 분석하고 대응해 나가고 있으며, 원천적으로 차단할 수 있는 제도적 보안시스템을 강화하고 있다.

더불어 문자메시지 뿐만 아니라 웹 사이트 등이나 앱 마켓 등을 통해서도 악성앱 변종이 꾸준히 발견되고 있기 때문에 이용자들은 nProtect Mobile for Android 제품을 이용해서 변종 악성앱에 대한 진단 및 치료가 가능하다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 사이렌24 서비스로 위장한 소액결제사기 문자 주의


잉카인터넷 대응팀은 조작된 문자메시지(SMS)와 안드로이드 악성앱을 유포하는 모바일 보안위협을 집중 모니터링하는 과정에서 마치 사이렌24 측에서 발송한 문자처럼 교묘히 위장한 휴대폰 소액결제 사기수법을 추가 발견하였다. 이는 기존에 유출된 개인정보 등을 도용하여 불법적으로 온라인 게임아이템 등을 구매하여 금전적 이득을 취하고 있는 이른바 스미싱(Smishing) 사기수법이다. 국내에 스마트폰 이용자가 급증하면서 안드로이드 기반의 악성앱도 비례적으로 증가하고 있고, 구글의 안드로이드 기반 스마트폰 문자메시지(SMS)를 이용자 몰래 가로채기할 수 있는 스파이앱 제작이나 모바일 디도스 앱 등도 덩달아 기승을 부리고 있는 상황이다. 이것도 일종의 보안취약점으로 구분하여 악성앱 개발자들이 문자메시지를 손쉽게 훔쳐내거나 유용한 스마트폰의 기능들이 남용하지 못하도록 하는 시급한 조치가 필요해 보인다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

더불어 안드로이드 스마트폰 이용자들은 최근들어 모바일 쿠폰이나 외식상품권 문자 내용이 아닌 다양한 내용으로 사기수법을 변경하고 있다는 점을 명심하여 문자메시지에 포함된 인터넷 주소(URL) 클릭에 세심한 주의가 필요하겠다. 또한, 최근들어 사생활감시 목적으로 문자메시지를 훔쳐내거나, 모바일 디도스 공격용의 악성앱이 급격히 증가하고 있다는 점을 인식하여, 인터넷 주소가 포함된 의심스러운 문자메시지는 절대로 클릭하지 않도록 하는 각별한 주의가 요구된다.

[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
http://erteam.nprotect.com/389

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
http://erteam.nprotect.com/386

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. 내 주민번호가 도용되었다는 내용으로 낚시!

이번에 발견된 휴대폰소액결제 사기수법은 안드로이드 악성앱을 이용자가 최대한 신뢰하고 악성 APK 앱을 설치하도록 새로운 방식을 도입하였다. 마치 문자메시지 수신자의 주민번호가 불법 도용되어 사용된 내역이 확인된 것처럼 이용자의 관심을 유발시키고, 널리 알려져 있는 실제 명의도용방지 서비스인 사이렌24 내용으로 확인하라고 악성앱 설치용 단축URL 주소를 클릭하도록 유도한다.

발신번호 사칭 : 1577-1006
고객님 주민번호 사용내역2건. IP추적 성공,확인 사이렌24로 vo.to/***


[#Update 2013. 03. 06]

발신번호 사칭 : 02-1577-1006
(24)
고객님 주민번호 사용내역2건.
ip2건.추적 성공. 확인
사이렌24로http://sm1.kr/

발신번호 사칭 : 02-1577-1006
고객님 주민번호 사용내역2건.
ip2건.추적 성공.확인 사이렌24로
http://sm1.kr/**


아래와 같이 주민번호 사용내역이나 유출건수를 증가시키면서 사용자를 현혹시키는 문자폭탄 형태도 발견된 상태이다.


[#Update 2013. 03. 07]

발신번호 사칭 : 021551006
사이렌24신용정보(주)고개님
주민번호사용내역2건.명의도용방지
siren24.i***.com/


문자메시지를 수신한 사용자가 문자에 포함되어 있던 단축 URL주소를 클릭하게 되면 아래와 같이 "smartbilling.apk", "coupon.apk", "sr24.apk" 라는 악성앱이 다운로드된다.


다운로드가 완료된 "smartbilling.apk" 파일을 클릭하게 되면 마치 사이렌24(SIREN 24) 관련 앱처럼 위장하여 아래와 같이 악성앱 설치가 시도된다.


[설치]버튼을 클릭하여 사용자가 해당 앱 설치를 완료할 경우 스마트폰에는 다음과 같이 [SIREN 24] 아이콘과 이름으로 위장된 휴대폰 소액결제사기 기능의 악성앱이 설치되며, 이용자의 명의가 도용되고, 소액결제승인문자 메시지가 유출되어 많은 경우 약 30만원 상당의 금전적인 피해를 입을 수 있게 된다.


악성앱 내부에는 기존에 위장했던 다양한 아이콘 리소스들이 포함되어 있다.


이런 악성앱을 설치한 경우 이용자는 신속하게 해당 앱을 삭제하여야 하고, 해당 이동통신사 등에 소액결제 피해여부 등을 파악해보고, 소액결제 서비스를 사용하지 않는 경우 이통사에 차단을 요청해 두면 유사한 소액결제사기 피해를 최소화할 수 있다.

또한, 악성앱이 실행되면 아래와 같이 가짜 에러 메시지 창을 띄어 사용자로 하여금 일시적인 접속장애로 오인하도록 조작한다. 이는 스미싱 사이버 범죄 사기범들로 하여금 소액결제 사기를 진행하는데 필요한 시간을 확보하고, 이용자로 하여금 해당 앱이 악성앱이 아닌것처럼 위장하기 위한 사기수법이다.

Error!
Error Code: [Error]현재 접속자가 많아 연결이 되지않습니다. 잠시 후에 다시 접속하시기 바랍니다. [확인]


해당 악성앱은 기존 KRSpammer 변종으로 안드로이드 기반 소액결제 승인문자 메시지를 가로채기하는 악성앱이다.

3. 예방 조치 방법

대부분의 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. SMS 단축URL과 안드로이드 악성앱 이용한 공공의 적


그동안 ▲구글코리아 ▲카카오 업데이트 ▲V3모바일 ▲복지알림이 ▲알약모바일 ▲발렌타인데이 제과점 및 외식업체 쿠폰 등 다양한 이벤트 형태로 사칭한 한국 맞춤형 모바일 DDoS 및 소액결제 과금 유발형 안드로이드 악성앱들에 대한 공격사례를 업계 최초로 여러차례 공개한 바 있다. 그에 따라 관계기업이나 기관, 언론 등을 통해서 다수의 주의보가 발령되기도 하였다. 특히, 잉카인터넷 대응팀은 보안 사각지대에 놓여 있던 안드로이드 보안위협에 대한 다양한 실체와 현상을 신속히 진단하고 사회적 문제로 대두되고 있는 현실을 구체적 사례 기반의 정보로 꾸준히 알리고 있는 선봉장 역할을 수행하고 있다. 이런 가운데 연말정산 환급금 신청기간과 즈음하여 납세자 연맹으로 위장하고, 마치 누락된 국세청 연말정산의 환급금 도우미 신청내용으로 가장한 문자메시지(SMS)가 살포된 정황을 추가 포착하였다. 

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

이번에도 사회분위기와 사용자의 심리를 교묘하고 적절히 악용하여 이용자 스스로 안드로이드 악성앱을 설치하도록 유인하였다. 만약 악성앱에 감염이 되면 사이버 범죄자들에 의해서 최대 30만원 상당의 휴대폰 소액결제 피해를 입을 수 있으므로. 연말정산을 이용하는 직장인들의 각별한 주의가 필요하다. 아울러 과거 연말정산 환급금 신청에 실제로 한국 납세자 연맹의 환급 도우미 서비스가 제공된 바 있었기 때문에 만에하나 유사한 수법의 사기문자를 목격할 경우 절대 단축URL 주소를 클릭하지 말아야 한다. 이처럼 하루가 다르게 변모하고 있는 스마트 시대에 상상하기 어려울 정도로 빠르게 직면한 안드로이드 보안위협은 이제 남의 일로만 치부하기엔 너무 늦었다는 점을 반드시 명심해야 한다.

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[주의]안드로이드 전용 모바일 보안업데이트로 가장한 좀비폰 미끼
http://erteam.nprotect.com/387

[주의]허위 햄버거 할인쿠폰 및 이벤트 문자메시지(SMS)의 역습
http://erteam.nprotect.com/386

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

2. 연말정산 환급금 도우미로 둔갑한 지능화된 소액결제사기

이번에 발견된 문자메시지는 다음과 같이 납세자연맹 누락된 국세청 연말정산 환급금 환급도우미로 신청하세요라는 문구와 함께 구글 단축 URL 주소를 포함하고 있는데, 문자에 포함된 단축 URL 주소를 클릭할 경우 악성앱이 있는 사이트로 접근하게 된다.

 


문자메시지에 포함된 구글 단축URL 주소를 클릭하면 해외 Dropbox 파일공유 사이트에 등록되어 있는 "smartbilling.apk" 악성앱 파일이 다운로드 시도된다.


APK 파일 내부에는 아래와 같이 다양한 방식의 앱으로 위장할 때 사용하기 위한 목적의 아이콘 리소스가 포함되어 있고, 한국납세자연맹 아이콘이 가장 최근에 포함된 최신 변종이다.


다운로드 완료 후에 사용자가 해당 APK 파일을 실행하면 다음과 같이 한국납세자연맹 아이콘과 글자로 위장한 악성앱의 설치 진행여부를 묻는 화면이 나온다. 기존 소액결제 사기앱(KRSpammer)들과 동일하게 문자메시지(SMS)를 수신하거나 인터넷 기능을 사용하는 등 악의적인 목적의 권한을 다수 사용하는 것을 확인할 수 있다.

 


최종적으로 [설치] 버튼을 클릭하게 되면 아래와 같이 설치가 완료되며, 스마트폰 단말기에도 악성 앱 아이콘이 추가 등록된다.

 



사용자가 정상적인 앱으로 착각하여 한국납세자연맹 아이콘을 클릭하여 실행하면 아래와 같이 고의로 조작된 가짜 에러화면과 내용을 보여주고, 마치 이용자폭증으로 인한 일시적인 접속에러로 보이도록 속이게 한다.

하지만 아래 내용은 단순히 사용자가 착각하게 만드는 과정이고, 악성앱을 전파시킨 사이버 범죄자는 감염된 이용자의 명의와 신분을 도용하여 게임관련 사이트 등에서 정상적인 소액결제를 수행하고 전송되는 승인문자를 은밀히 가로채어 실제 휴대폰 이용자에게 소액결제 과금을 전가시키는 사기피해를 입히게 된다. 

Error!
Error Code: [Error]현재
이용자폭증으로 인하여
접속불가능하오니 잠시 후에 다시
접속해 주시기 바랍니다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨 것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 해당 이동통신사에 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 무료쿠폰, 할인 이벤트 사칭한 단축 URL 클릭 주의보


안드로이드 기반의 국내 스마트 폰 이용자를 노린 소액결제 피해가 급격히 증가하고 있어 사용자들의 각별한 주의가 요구된다. 잉카인터넷 대응팀은 2012년 11월부터 안드로이드 기반의 악성파일(KRSpammer)을 마치 정상적인 앱처럼 위장하여 스마트폰 이용자를 유혹한 후, 단말기에 설치를 유도하고 감염시켜 소액결제 승인문자 메시지(SMS)를 몰래 가로채기하는 방식으로 약 10~30만원 상당의 휴대폰 결제피해를 입히고 있는 악성파일을 지속적으로 발견하고 있는 실정이다. 현재까지 약 20 여종 이상의 변종이 발견되었으며, 새로운 변종이 꾸준히 제작되고 있는 상황이다. 요 며칠 사이 변형된 공격이 끊임없이 발생하고 있으므로, 문자메시지로 수신된 단축 URL 클릭시 세심한 주의가 필요하다.



국내 스마트폰 이용자가 약 3,200만명을 넘어서면서 안드로이드 스마트 단말기반의 악성파일도 비례적으로 증가하고 있다. 특히, 한국내 이용자들을 상대로 한 맞춤형 악성파일 피해가 꾸준히 증가하고 있는 상황이다. 

★ 현재 유명 회사를 사칭해서 변종이 지속적으로 유포 중입니다. 혹시 이와 관련된 문자메시지를 받으시는 경우 isarc@inca.co.kr 주소로 관련 화면정보를 캡처하여 신고해 주시면 신속히 분석하고 대응해 드리겠습니다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400


[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[주의]허위 햄버거 할인쿠폰 및 이벤트 문자메시지(SMS)의 역습
http://erteam.nprotect.com/386

[주의]롯데리아 앱 위장 KRSpammer 변종 출현!
http://erteam.nprotect.com/361

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]구글 코리아 신규서비스 및 폰키퍼 사칭 안드로이드 악성앱 (DDoS 기능)
http://erteam.nprotect.com/368

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

악성파일 제작자는 대부분 유명 외식업체, 영화사,  베이커리, 커피전문점, 치킨, 피자 등의 잘 알려진 브랜드의 할인이나 무료쿠폰 등의 문자메시지로 사용자를 현혹시키고, 악성 안드로이드 앱을 설치하도록 유도한다. 사용자가 무심코 문자에 포함되어 있단 단축 URL주소를 클릭하고, 안드로이드 앱을 설치할 경우 악성파일에 감염되어 소액결제 피해를 입게 되는 것이다. 이외에 구글 코리아의 신규서비스를 사칭하여 DDoS 기능의 악성파일이 발견되기도 하였다.

다음 화면은 안드로이드 스마트폰 사용자들에게 배포된 악성파일 설치 유도 문자메시지들이고, 이외에도 방송통신위원회의 스팸차단 프로그램 등의 보안프로그램처럼 위장한 사례도 존재한다. (일부 모자이크 처리)


앞서 공개한 문자메시지(SMS)와 같이 단축 인터넷 주소를 클릭하게 되면 사용자 단말기에 악성 안드로이드 앱(APK)파일이 설치되게 된다. 지금까지 "SmartBilling.apk", "SmartBill.apk". "domino.apk", "coffee.apk", "Lotteria.apk", davinci.apk", "Pizza hut.apk", "mcdonalds.apk", "coffeebean.apk" 등 다양한 변종이 발견되고 있고, 잉카인터넷 대응팀은 20 여종 이상의 변종을 발견한 상태이다.

악성파일들은 다음과 같은 아이콘들을 이용해서 마치 정상적인 앱처럼 위장하였으며, 매우 다양한 형태로 위장하고 있다는 것을 알 수 있다.

 


2. 잠깐의 부주의로 30만원의 과금피해 발생

최근 악성파일 제작자는 연말연시 시즌을 이용해서 각종 이벤트 쿠폰처럼 사칭하여 악성파일을 유포하고 있다는 점을 명심하여야 한다. 공격자들은 발신자 번호와 내용 등을 모두 실제와 같이 모방하기 때문에 사용자가 육안으로 조작여부를 파악하기는 쉽지 않아 피해가 증가하고 있다.

악성앱에 감염이 되면 공격자는 게임 등의 사이트에서 소액결제를 진행하고, 승인문자를 대기한다. 하지만 악성파일에 감염된 스마트폰에는 승인문자 메시지가 사용자에게 보여지지 않도록 숨겨지며, 공격자에게 전송된다. 이렇게 하여 공격자는 외부에서 가로채기한 승인문자를 통해서 정상 승인과정을 진행하여 사용자에게 소액결제 피해를 입히게 된다.

아래는 실제 잉카인터넷 대응팀으로 접수된 피해자분의 소액결제 내역이다. 2013년 01월 05일 오후 5시 경 롯데리아 교환권으로 위장된 안드로이드 악성앱(KRSpammer) 문자 메시지를 받아 감염되었고, 그날 저녁 8시 28분과 35분 두차례에 걸쳐 게임사에서 5만원과 25만원, 총 30만원의 소액결제 피해를 입었다. 최근 이런 피해를 호소하는 이용자가 증가하고 있어 근본적인 대책이 마련되어야 할 것으로 보인다. 


일반적인 휴대폰 소액결제 이용과정은 다음과 같다. 먼저 웹 사이트를 방문하여 구매할 콘텐츠 혹은 상품을 선택하고, 결제 방법으로 휴대폰 결제를 선택한다. 그 다음에 휴대폰 번호와 주민등록번호 등을 입력하게 된다. 자신의 휴대폰으로 결재 승인용 문자메시지(SMS)가 수신되고, 일정 시간내에 결제 화면에 해당 내용을 입력하면 정상적인 승인절차가 완료된다. 결제된 금액은 다음 달 휴대폰 요금고지서에 청구된다.


휴대폰 결제가 진행되지 않는 경우는 휴대폰 번호와 가입자 정보가 일치하지 않는 경우, 미성년자나 법인명의, 분실 및 요금미납 등 고객의 조건 및 요청에 의해서 제한되어 있는 경우, 이동통신사 월 한도액을 초과한 경우 등이다.

이통사별 월 한도액은 SKT가 30/20/12/6/3만원 등으로 고객별로 차등적용되어 있고, KT는 30만원, LGT도 30만원이다. 물론 신규가입 및 번호이동 후 3개월 미만의 고객의 경우 가입당월에는 보통 3~5만원선으로 책정되어 있다.

현재 국내의 많은 웹 모바일 서비스는 문자메시지(SMS)를 이용하여 본인 인증수단으로 활용하고 있다. KRSpammer 악성앱은 이러한 환경에 부합되어 제작되었고, 기존에 유출된 개인정보와 악성앱을 통해서 수집된 단말기의 주요정보를 복합적으로 활용해서 소액결제 서비스 사기를 수행하고 있다. 안드로이드 악성앱은 다음과 같은 절차로 특정 스마트폰 사용자에게 예상하기 어려운 큰 금액의 이른바 휴대폰 요금폭탄 피해를 입히게 될 수 있다.

ⓐ 악성앱(KRSpammer) 제작자는 이미 사전에 수집한 개인정보를 기반으로 특정 사용자들에게 악성앱 설치용 문자메시지를 발송한다.
ⓑ 이용자가 무심코 문자메시지의 단축URL 주소를 클릭하여 앱을 설치시 감염되고, 악성앱(KRSpammer)에 감염된 이용자의 단말기에서 정보를 수집하여 해커의 해외서버로 전송한다.
ⓒ 해커는 게임사이트 등 각종 인터넷 구매사이트 등에서 소액결제 서비스를 진행한다.
ⓓ 구매사이트에서는 결제대행사 등을 통해 본인 인증용 승인 문자번호를 사용자 휴대폰으로 발송한다.
ⓔ 악성앱(KRSpammer)은 실제 사용자에게 수신된 문자번호를 보이지 않도록 조작한다.
ⓕ 악성앱(KRSpammer)은 승인번호 문자메시지를 해커가 지정한 해외 서버로 몰래 전송한다.
ⓖ 서버에 수집된 승인번호를 가로채기하여 정상적인 구매절차를 수행한다.
ⓗ 해커는 적립된 사이버머니 등을 불법적으로 현금화하여 부당이득을 취한다.


평소 휴대폰 소액결제 서비스를 이용하지 않는 경우는 아예 가입중인 해당 통신사에 소액결제금지 요청을 해 두는 것도 하나의 좋은 예방법이고, KRSpammer 안드로이드 악성앱 전파수법처럼 의심스러운 단축 도메인이나 신뢰하기 어려운 안드로이드 앱 설치를 하지 않는 습관도 중요하다. 만약 의도하지 않은 소액결제 피해를 당하게 되면 관할 경찰에 알리거나 해당 통신사에 적극적으로 신고를 하고, 통신사 소액결제 대행업체를 통해 증빙자료를 받은 뒤 해당 통신사의 소액결제 중재센터에 회부를 하면 조건에 따라 일정부분 정상 참작과 보상을 받을 수 있는 경우도 있다고 한다.

이와 같은 스마트폰 소액결제 사기용 악성앱으로 부터 피해를 최소화하고 안전한 이용을 하기 위해서는 nProtect Mobile for Android 와 같은 최신 모바일 보안제품을 설치하여 정기적으로 검사하는 습관을 가져야 한다. 또한, 타인에게 유출 위험이 있는 단순 승인문자 입력 방식을 외부에서 남용하지 못하게 개선하는 노력과 스마트폰 소액결제 서비스시 본인 인증 절차를 보다 강화하고, 의무화 하는 등의 시급한 제도적 개선도 필요해 보인다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하고, 콘텐츠 다운로드 및 게임 아이템 요금 결제와 관련해서 이용자들의 세심한 주의가 필요하다고 조언한다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 국내 안드로이드 스마트폰 이용자를 노린 위협 증대


잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 직접 겨냥 악성파일을 추가로 발견하였다. 이번에 발견된 KRSpammer 변종 악성파일은 파리바게뜨, 카페베네, 피자헛, 다빈치커피, 롯데리아 안드로이드 앱 이벤트를 위장하여 국내 특정 사용자들에게 배포되었다. 악성파일 제작자는 국내 이용자들의 소액결제 승인 문자메시지를 몰래 가로채기 하여 불법적으로 인터넷 결제를 시도하는 등의 사이버 범죄를 시도하고 있으며, 일부에서는 실제 피해도 발생하고 있는 것으로 알려진 상태이다. 잉카인터넷 대응팀은 nProtect Mobile for Android 무료제품에 긴급 업데이트하였으므로, 이용자들은 최신 버전으로 업데이트하여 전체 검사를 수행해 보는 것을 적극 권장한다.



★ 현재 유명 회사를 사칭해서 변종이 지속적으로 유포 중입니다. 혹시 이와 관련된 문자메시지를 받으시는 경우 isarc@inca.co.kr 주소로 관련 정보를 신고해 주시면 신속히 분석하고 대응해 드리겠습니다.

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

◈ 환급금조회 사칭, 파리바게뜨 앱 위장 등 지속적인 변종 출현중!

각종 피싱 SMS를 이용하여 해당 악성 애플리케이션의 변종이 지속적으로 출현하고 있다. 이번에는 유명 제빵 업체로 위장한 피싱 SMS를 통해 유포 시도가 이루어졌으며, 수집된 정보의 유출 IP만이 기존의 악성 애플리케이션과 상이하다. 아래의 그림은 해당 제빵 업체에서 홈페이지를 통해 공지중인 피싱 주의 알림중 일부이다.


카페베네를 위장한 안드로이드 악성앱도 보고된 상태이다.

 





악성파일 제작자는 그외에도 다양한 유명 국내업체를 사칭해서 악성앱을 전파할려고 시도했던 것으로 보인다. 아래와 같이 국내 다수의 기업 아이콘을 악용하였다.



2013년 01월 09일 다빈치 커피의 무료 이벤트로 위장한 변종이 추가발견됐다.


2013년 01월 11일에는 롯데리아 쿠폰 위장한 형태가 추가 발견됐다.


2. 요금과다청구 환급금조회 사칭 악성파일 정보


악성파일은 얼마전 발견되었던 안드로이드 악성파일(KRSpammer) 변종과 비슷한 방식으로 전파되었는데, 이번에는 [고객님! 요금과다청구 환급금조회 http://tinyurl.com/(일부생략) ☜클릭] 내용으로 사용자로 부터 악성 URL 링크 클릭을 유도하고 있다.

현재 악성 링크가 정상적으로 작동되고 있어, 일부분을 강제로 모자이크 처리한 상태이며, 기존의 변종과 동일하게 Dropbox 서비스를 통해서 "SmartBilling.apk" 파일이 설치시도 되고 있다.

※ 파리바게트 위장형과 카페베네 위장형 변종은 파일명이 "SmartBill.apk" 이다.

 



안드로이드 스마트폰의 경우 APK 설치가 진행되며, 인터넷 익스플로러 브라우저에서는 아래와 같이 다운로드가 시도된다.


현재까지 확인된 바에 의하면 악성파일은 2가지 변종 형태로 제작되었으며, 2012년 11월 24일과 11월 25일 경에 배포된 것으로 추정된다. 기존과 동일하게 "스마트청구서" 형태의 변종 1개와 새로운 이름의 "e-청구서" 형태가 확인된 상태이다.


또한, 악성파일 내부에는 동일하게 다음과 같은 아이콘 리소스를 포함하고 있어 여러가지 형태로 변종 제작이 시도되고 있다는 것을 예측할 수 있다. 이번에는 "bkg_nok.png""icon_sexy.png" 등이 추가되었다.


새롭게 발견된 변종은 각각 "스마트청구서" 와 "e-청구서" 이름으로 제작 배포되었다.


설치 후 실행되면 모두 아래와 같이 가짜 에러화면을 동일하게 보여주며, 사용자로 하여금 단순 서버 접속 장애로 보이도록 위장하지만, 이는 의도된 가짜 메시지로 이용자를 속이기 위한 과정이고, 이후 이용자의 SMS(MMS) 메시지를 감시하기 시작한다.


이번 Trojan/Android.KRSpammer.F 변종은 Trojan/Android.KRSpammer.D 변종에서 아래와 같이 감시대상 발신번호가 일부 더 추가되었고, 정보 유출 IP주소 등이 변경되었다.

[Trojan/Android.KRSpammer.D]

"15880184" : 옥션
"16000523" : 모빌리언스
"15990110" : 11번가
"15663355" : 다날
"15665701" : G마켓
"15880184" : 옥션
"15990110" : 11번가
"15665701" : G마켓
"16001705" : 모빌리언스
"15663357" : 다날
"16000523" : 모빌리언스
"15663355" : 다날
"019114"   : LG텔레콤
"15997474" : 11번가 도서
"15663357" : 다날
"15991552" : 문자통
"16008870" : 피망
"15883810" : 한게임
"16443333" : 아이템 베이
"15448881" : 인포 허브
"15445553" : 인포 허브
"16443333" : 아이템 베이
"16008870" : 피망
"15663355" : 다날
"15883810" : 한게임
"16001705" : 모빌리언스
"16000523" : 모빌리언스
"16441006" : 서울 신용 평가 정보
"15771006" : 서울 신용 평가 정보
"15663357" : 다날
"0190001813" : 국번 없음
"15660020" : 엔씨소프트
"16001522" : 나이스 신용 평가 정보
"15885188" : 꾸민새 네트워크
"15883610" : 중앙일보
"15885984" : 다우페이
"15885412" : 뿌리오 고객센터
"16449999" : 국민은행
"15992583" : 아이엠페이
"15885180" : 넷마블

[Trojan/Android.KRSpammer.F]

"0220093777" : 문자 나라
"15992583" : SK M&C
"16004748" : 문자 조아
"15663315" : 대부도 펜션 빌리지

수집된 문자 정보 등은 다음과 같은 IP주소로 무단 유출 시도된다.


- 27.126.185.86
- 49.212.203.91

악성파일은 홍콩과 일본 등의 특정 호스트로 정보를 유출 시도한다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 승인문자 가로채기를 통한 똑똑한(?) 스마트폰 범죄

지난 2012년 10월 26일 KRSpammer 악성앱이 마치 방송통신위원회에서 배포하는 통신사 합동 스팸문자, 피싱차단 프로그램처럼 위장하여 배포된 사실이 스마트폰 정보보호 민관합동 대응반을 통해서 그 실체가 처음으로 확인된 바 있다. 잉카인터넷 대응팀을 포함해서 실무위원으로 포함된 국내 다수의 (보안)업체들은 방송통신위원회와 한국인터넷진흥원(KISA)이 운영하는 스마트폰 정보보호 민관합동 대응반과 협력하여 신속한 대응과 후속조치 등을 진행한 바 있다.

그 후 잉카인터넷 대응팀은 국내 안드로이드 기반의 스마트폰 이용자들만 특별히 정조준한 이번 악성앱(KRSpammer) 변종들이 지속적으로 유포되고 있다는 주의보와 함께 정황근거를 기반으로 주요내용을 일부 (최초)공개한 바 있다. 최근까지 수집된 다양한 정보를 기초로 유추해 본다면, 이번 공격에 가담하고 있는 사이버 범죄자들은 이미 사전에 불법적으로 확보한 국내 통신망 이용자들의 주요 개인정보를 남용하여, 특정 스마트폰 이용자들만 표적삼아 은밀히 안드로이드용 악성앱이 설치될 수 있는 단축URL 내용을 발송시키고 있는 상황이다. 그리고 공격자들은 자신의 신분노출과 추적을 방해하기 위해서 해외에 DB서버를 구축하고, 별도 사업자가 운영하는 문자메시지 발송 시스템도 해킹하여 악용하고 있는 것으로 알려진 상태이다. 


특히, 스마트폰 이용자들이 쉽게 현혹될 수 있는 "스팸문자 또는 피싱차단 프로그램", "이용요금 사용내역", "이용요금 과다청구 환급금조회" 등으로 사칭한 한글문구를 지능적으로 삽입시켜 이용자들이 아무 의심없이 악성앱에 쉽게 접근하고 노출되도록 유인하고 있다는 점을 명심해야 한다.

잉카인터넷 대응팀은 해당 악성앱들이 안드로이드 기반의 스마트폰 이용자들을 중점적으로 겨냥하고 있다는 점과 불법 유통된 타인의 신상내역과 명의를 도용하여 변칙적으로 소액결제 승인서비스를 이용 후 적립된 사이머 머니를 다시금 현금화하여 부당한 금전적 이득을 취하고 있다. 이는 악성앱을 활용하여 국내 이용자를 겨냥한 최초의 신종 스마트폰 사이버범죄 유형이라는 점에서 시사하는 바가 크고 추후 안드로이드 보안 위협에 어떤 영향을 미칠지 주목되는 부분이다. 

이런 와중에 2012년 11월 30일 또 다른 KRSpammer 변종 악성앱이 추가 발견되어, nProtect Mobile for Android 제품에 신속히 탐지 및 치료 기능을 추가 업데이트한 상태이다. 또한, 유사 보안위협 재발 가능성에 대비하여 지속적으로 스마트폰 보안사고에 대한 전방위적 이상징후를 예의주시하고 있다.

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[단독]통신비 환급금 조회로 위장한 안드로이드 악성파일 국내 전파
http://erteam.nprotect.com/361

2. 스마트폰 신종 소액결제 사기 유형

그동안 이동전화를 통한 소액결제 사기는 여러차례 사회적인 문제로 대두된 바 있고, 사실 지금도 소액결제를 현금화하는 사기수법은 공공연하게 발생하고 있다. 이전까지 널리 알려져 있는 소액결제 피해사례는 대부분 스팸형 문자메시지를 수신하여 특수하게 조작하거나, 대출 알선 명목으로 주민번호와 휴대번호 등의 개인신상 정보를 확인한 뒤, 게임머니를 소액결제 후 적립된 게임머니를 매입업자에게 현금을 받고 매도하는 경우 등이 존재했다. 

 

지난 2012년 07월에는 실제 스마트폰 소액결제를 이용한 사기범행 혐의로 휴대폰 대리점의 30대 판매업자 김모씨가 경찰에 불구속 입건되기도 했다. 김씨는 스마트폰 소액결제 사기를 통해서 총 44대의 휴대전화에서 약 9백여만원의 사이버 머니를 결제해 이익을 챙겼다. 그는 개통이 안된 공기계 안드로이드 스마트폰을 조작(루팅)해 다른 사람의 번호를 입력하고 와이파이망에서 인증절차가 허술한 특정 모바일 게임 사이트 등에 접속해 아이템을 결제하는 방식으로 소액 결제 사기를 일삼아 온 것으로 밝혀졌다.


이는 일부 모바일 사이트가 스마트폰을  이용한 결제과정에 본인 인증 절차가 허술했던 보안취약점을 교묘히 악용한 것으로 조사됐고, 김씨는 경찰 조사에서 "불법 결제한 사이버머니로 모바일 게임 캐릭터를 사서 다시 현금화하기 위해 범행을 저잘렀다"고 진술한 것으로 알려졌다. 한편 경찰은 "소액결제 시스템 업체와 해당 모바일 게임사 등에 보안 취약점을 개선한 프로그램을 배포했다."고 전한바 있다.

3. 안드로이드 악성앱으로 이미 예정(?)된 진화

기존에 국내에서 발생했던 스마트폰 소액결제 사기수법은 알고보면 사실 단순한 패턴을 가진다. 이는 소액결제 서비스의 헛점을 교묘하게 이용하고, 어떤식으로든 인증이나 승인확인 문자내용만 중간에 몰래 훔쳐보거나 가로채기한다면 누구나 쉽게 악용할 수 있기 때문이다. 최근에는 이러한 승인 절차상의 내용을 잘 알고 있던 누군가에 의해서 안드로이드 악성앱(KRSpammer)이 개발되었고, 꾸준히 변종 공격이 발견되고 있는 추세이다. 또한, 서울을 포함한 지방에서도 다수의 소액결제 피해사례가 접수되고 있는 상황이다.

얼마전 SBS 8시 뉴스에서는 실제 피해자 제보를 받아 집중취재를 진행하였고, 잉카인터넷 대응팀에 방문하여 다양한 정보를 취재하여 언론보도에 활용되기도 하였다.


잉카인터넷 대응팀은 좀더 빠른 정보제공으로 많은 스마트폰 이용자의 피해를 예방하고, 사전 보호하는 차원에서 실제 악성앱의 설치 전과정을 SBS 8시 뉴스측에 시연자료를 최초 제공하였다.

[스마트폰이 나 몰래 결제…'스파이 앱' 피해 속출]
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001507790


안드로이드 소액결제 사기에 이용되고 있는 KRSpammer 악성앱은 문자메시지(SMS)로 배포되며, 다음과 같이 방송통신위원회의 스팸차단 프로그램이나, 이용요금 명세서(사용내역), 요금과다청구 환급금조회 등의 내용으로 위장하였고 문자메시지에 포함되어 있는 단축 URL주소의 클릭을 유도하여 KRSpammer 악성앱이 설치되도록 만든다.

2012년 10월 26일 보고 (http://erteam.nprotect.com/352)
[방통위]
통신사 합동
스팸문자 차단
백신 무료배포 ▶ http://bit.ly/QOyLSs ◀클릭

2012년 11월 22일 보고 (http://erteam.nprotect.com/359)
"*** 고객님!
이번달 사용내역입니다
http://tinyurl.com/b9ce5tt ☜클릭"

2012년 11월 26일 보고 (http://erteam.nprotect.com/361)
고객님!
요금과다청구
환급금조회
http://tinyurl.com/c9yyxjnt ☜클릭

일반적인 휴대폰 소액결제 이용과정은 다음과 같다. 먼저 웹 사이트를 방문하여 구매할 콘텐츠 혹은 상품을 선택하고, 결제 방법으로 휴대폰 결제를 선택한다. 그 다음에 휴대폰 번호와 주민등록번호 등을 입력하게 된다. 자신의 휴대폰으로 결재 승인용 문자메시지(SMS)가 수신되고, 일정 시간내에 결제 화면에 해당 내용을 입력하면 정상적인 승인절차가 완료된다. 결제된 금액은 다음 달 휴대폰 요금고지서에 청구된다.


휴대폰 결제가 진행되지 않는 경우는 휴대폰 번호와 가입자 정보가 일치하지 않는 경우, 미성년자나 법인명의, 분실 및 요금미납 등 고객의 조건 및 요청에 의해서 제한되어 있는 경우, 이동통신사 월 한도액을 초과한 경우 등이다.

이통사별 월 한도액은 SKT가 30/20/12/6/3만원 등으로 고객별로 차등적용되어 있고, KT는 30만원, LGT도 30만원이다. 물론 신규가입 및 번호이동 후 3개월 미만의 고객의 경우 가입당월에는 보통 3~5만원선으로 책정되어 있다.

현재 국내의 많은 웹 모바일 서비스는 문자메시지(SMS)를 이용하여 본인 인증수단으로 활용하고 있다. KRSpammer 악성앱은 이러한 환경에 부합되어 제작되었고, 기존에 유출된 개인정보와 악성앱을 통해서 수집된 단말기의 주요정보를 복합적으로 활용해서 소액결제 서비스 사기를 수행하고 있다. 안드로이드 악성앱은 다음과 같은 절차로 특정 스마트폰 사용자에게 예상하기 어려운 큰 금액의 이른바 휴대폰 요금폭탄 피해를 입히게 될 수 있다.

ⓐ 악성앱(KRSpammer) 제작자는 이미 수집한 개인정보를 기반으로 특정 사용자들에게 악성앱 설치용 문자메시지를 발송한다.
ⓑ 악성앱(KRSpammer)에 감염된 이용자의 단말기에서 정보를 수집하여 해커의 해외서버로 전송한다.
ⓒ 해커는 게임 등 각종 인터넷 구매사이트 등에서 소액결제 서비스를 진행한다.
ⓓ 구매사이트에서는 결제대행사 등을 통해 본인 인증용 승인 문자번호를 사용자 휴대폰으로 발송한다.
ⓔ 악성앱(KRSpammer)은 실제 사용자에게 수신된 문자내용을 보이지 않도록 조작한다.
ⓕ 악성앱(KRSpammer)은 승인번호 문자메시지를 해커가 지정한 해외 서버로 몰래 전송한다.
ⓖ 서버에 수집된 승인번호를 가로채기하여 정상적인 구매절차를 수행한다.
ⓗ 해커는 적립된 사이버머니 등을 불법적으로 현금화하여 부당이득을 취한다.


4. 스마트폰 소액결제 승인번호 문자 가로채기 사기 예방

평소 휴대폰 소액결제 서비스를 이용하지 않는 경우는 아예 가입중인 해당 통신사에 소액결제금지 요청을 해 두는 것도 하나의 좋은 예방법이고, KRSpammer 안드로이드 악성앱 전파수법처럼 의심스러운 단축 도메인이나 신뢰하기 어려운 안드로이드 앱 설치를 하지 않는 습관도 중요하다. 만약 의도하지 않은 소액결제 피해를 당하게 되면 관할 경찰에 알리거나 해당 통신사에 적극적으로 신고를 하고, 통신사 소액결제 대행업체를 통해 증빙자료를 받은 뒤 해당 통신사의 소액결제 중재센터에 회부를 하면 조건에 따라 일정부분 정상 참작과 보상을 받을 수 있는 경우도 있다고 한다.

이와 같은 스마트폰 소액결제 사기용 악성앱으로 부터 피해를 최소화하고 안전한 이용을 하기 위해서는 nProtect Mobile for Android 와 같은 최신 모바일 보안제품을 설치하여 정기적으로 검사하는 습관을 가져야 한다. 또한, 타인에게 유출 위험이 있는 단순 승인문자 입력 방식을 외부에서 남용하지 못하게 개선하는 노력과 스마트폰 소액결제 서비스시 본인 인증 절차를 보다 강화하고, 의무화 하는 등의 시급한 제도적 개선도 필요해 보인다.


잉카인터넷 대응팀장 문종현

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 국내 이용자를 노린 안드로이드 악성앱 증가


지난 2012년 10월 26일 국내 안드로이드 사용자들을 대상으로 방송통신위원회 등을 사칭한 악성 애플리케이션이 발견되어 큰 이슈가 된 바있다. 국내 안드로이드 사용자들도 더 이상 악성 안드로이드 애플리케이션으로부터 안전할 수 없다는 이슈가 환기되기도 전에 이번에는 유사한 악성 애플리케이션의 변종 2종이 발견되어 국내 이용자들의 각별한 주의가 요망되고 있다. 해당 악성 애플리케이션은 문자메시지(SMS) 등을 통해서 은밀히 유포가 이루어졌으며, 국내 이동통신사의 명세서 확인 애플리케이션으로 위장하고 있기 때문에 사용자들이 쉽게 현혹될 수 있다.


 

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화

http://erteam.nprotect.com/352

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 구글 정식 마켓이나, 비공식 마켓 등이 아닌 SMS를 통해 유포가 이루어 졌으며, 아래의 그림과 같이 도착한 문자메시지에서 "단축주소로 이루어진 링크를 클릭시" 다운로드 및 설치가 가능하다.

 


다만, 현재는 악성 애플리케이션에 대한 다운로드 단축 URL이 아래의 그림과 같이 막혀있어 유포가 이루어지고 있지 않다.(해외 파일 자료실을 이용하여 유포를 시도하였다.)


※ 실제 악성 애플리케이션 다운로드 URL

-
https://dl.dropbox.com/s/emcu5mugsx5yn01/SmartBilling.apk?dl=1


또한, 아래의 그림과 같이 현재 해당 악성 애플리케이션의 유포와 관련해 특정 포털 카페 사이트 등을 통해 정보가 공유되고 있기도 하다.

 


해당 악성 애플리케이션은 국내 이통사의 명세서 확인 애플리케이션으로 위장하고 있어 사용자들이 별다른 의심없이 다운로드 및 설치/실행을 진행할 수 있으며, 실행 시 동작되는 전체적인 악성 기능은 아래와 같다.

※ 전체 악성 동작

- 감염된 스마트폰의 전화번호 수집
- 감염된 스마트폰의 통신망사업자 정보 수집
- 감염된 스마트폰의 IMEI 정보 수집
- 수집된 스마트폰 정보의 외부 유출 시도 (변종마다 수집 정보 유포지 URL이 상이)
- 감염된 스마트폰으로 수집되는 SMS 감시
- 특정번호로 수신되는 SMS에 대한 외부 유출 시도 (변종마다 수집 정보 유포지 URL이 상이)
- 특정번호로 수신되는 SMS를 사용자 몰래 삭제


◆ 설치 정보

해당 악성 애플리케이션을 설치하게 되면 아래의 그림과 같이 특정 권한을 요구하게 된다.


아래의 그림은 AndroidManifest.xml에 등록된 전체 권한이다.


해당 악성 애플리케이션은 아래의 그림과 같이 정상적인 국내 이통사의 명세서 확인 애플리케이션과 유사한 아이콘을 사용하고 있다.


설치가 모두 완료된 후 실행하게 되면, 해당 악성 애플리케이션은 아래의 그림과 같이 "서버 접속 불가"와 관련된 다이얼로그를 출력하게 되며, 육안상 확인할 수 있는 별다른 동작은 발생하지 않는다.


◆ 분석 정보

해당 악성 애플리케이션은 아래의 AndroidManifest 일부코드와 같이 내부에 3개의 리시버가 등록되어 있다.

 

 

※ 세부 설명

- 붉은색 박스 : 등록된 3가지의 리시버 클래스
- 초록색 박스 : 해당 리시버의 우선 순위를 높이기 위한 설정 (BINARY_INTEGER 최대값)

※ 리시버 세부 동작 설명

- Ejifndv : 감염된 폰의 전화번호, 통신사업자 정보, IMEI 수집 및 유출 스래드 실행 (변종마다 수집 정보 유포지 URL 상이)
- OEWRUvcz : 감염된 폰의 재부팅 시 해당 악성 애플리케이션 실행
- CVXAW : SMS, MMS 수신 이벤트 감시, 수집 및 유출 (변종마다 수집 정보 유포지 URL 상이)


악성파일 내부에는 다음과 같은 아이콘 리소스들이 포함되어 있고, 이전에 발견되었던 변종들과 동일한 안랩(Ahnlab) 위장 아이콘이 포함되어 있다.


해당 악성 애플리케이션은 실행 시 아래의 일부 코드를 통해 "서버 접속 불가"와 관련한 다이얼로그를 출력하게 된다. 이때 다이얼로그 출력 전에 AndroidManifest에 등록된 리시버 "Ejifndv"를 호출하게 된다.


※ 참고 사항

위 일부 코드에 선언되어 있는 WifiManager, PowerManager 부분은 각각 Wifi상태 및 화면 활성화 상태 유지를 위한 wakeLock 등록 코드이며, 해제하고 있지 않아 불필요한 다량의 배터리 소모 현상이 발생할 수 있다.


"Ejifndv" 리시버는 아래의 일부 코드를 통해 감염된 스마트폰의 전화번호(첫번째 0을 대한민국 국가번호인 +82로 변환), 통신망사업자 정보, IMEI 정보를 수집 및 유출할 수 있는 스래드를 실행하게 된다.(현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

 


위 부분까지가 해당 악성 애플리케이션을 실행함으로써 첫번째로 발생할 수 있는 악성 동작이며, 이후에는 AndroidManifest에 등록된 리시버의 특정 조건을 충족할 시 추가적인 악성 동작을 수행할 수 있다.

먼저, "OEWRUvcz" 리시버를 살펴보면 아래와 같은 일부 코드를 통해 스마트폰의 재부팅 이벤트를 감시하고 재부팅이 완료될 경우 해당 악성 애플리케이션을 재실행하도록 되어 있다.


마지막 남은 "CVXAW" 리시버는 아래와 같은 일부 코드를 통해 수신되는 SMS, MMS에 대한 감시 및 수집 기능을 수행하게 된다.


이때, SMS 및 MMS에 대한 감시내부에 선언되어 있는 특정 번호가 발신번호와 일치할 경우 수행하게 된다.

※ SMS, MMS 감시를 위해 내부에 선언되어 있는 특정 전화번호 목록

- 15880184, 16000523, 15990110, 15663355, 15665701, 15880184, 15990110, 15665701, 16001705, 15663357, 16000523, 15663355, 019114, 15997474, 15663357, 15991552, 16008870, 15883810, 16443333, 15448881, 15445553, 16443333, 16008870, 15663355, 15883810, 16001705, 16000523, 16441006, 15771006, 15663357, 0190001813, 15660020, 16001522, 15885188, 15883610, 15885984, 15885412, 16449999, 15992583, 15885180

☞ 해당 전화번호들은 휴대폰 소액결제 전문업체, 인터넷 쇼핑몰 등의 번호로 사용자에게 수신된 결제 내역이나 중요정보 등이 무단유출되는 피해를 입을 수 있다.


위와 같이 내부에 등록된 특정 발신번호와 일치하는 SMS, MMS는 아래의 일부 코드를 통해 외부 특정 서버로 유출 시도될 수 있으며, 해당 SMS, MMS는 사용자 몰래 삭제되어 사용자는 수신여부를 확인할 수 없도록 되어 있다.(현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

 


위와 같이 외부로 유출되는 모든 수집 정보들은 외부 특정 IP로 전송되며, 아래의 그림과 같은 지역에 위치하고 있는 것으로 파악되었다. (현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

※ 수집된 정보가 유출되는 외부 URL

- 59.188.145.193 (홍콩)
- 112.213.119.232 (홍콩)

 


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 통계

- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
 

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect