1. 소액결제사기형 스미싱 위협 지각변동?


잉카인터넷 대응팀은 안드로이드 소액결제사기 위협동향을 예의주시 하던 중에 최근까지 국내에서 확인된 소액결제사기 유형과는 전혀 다른 새로운 스미싱 악성앱을 최초로 발견하였다. 이전에는 범죄자들이 직접 악성앱을 제작하여 마치 정상적인 앱처럼 보이도록 위장수법을 사용했고, 악성앱을 실행시 가짜 오류메시지나 접속불가 내용을 보여주어 마치 일시적인 서비스 장애문제로 보이게 하는 단순 속임수 방법을 동원했다. 그러나 이번에 발견된 유형은 실제 2013년 02월 18일 국내에 정식출시된 "맥도날드 맥모닝 알람 앱"을 리패키징하였기 때문에 실제 정상앱 기능이 문제없이 작동된다. 그렇기 때문에 이용자는 자신이 악성앱에 노출되었다는 것 자체를 인지하기 어렵다. 이처럼 정상앱을 리패키징하여 악성앱 기능을 추가하는 방식은 이미 해외에서는 널리 악용되었지만, 한국 맞춤형 스미싱에서 발견된 경우는 이번이 처음이다.

이번 신호탄을 계기로 정상앱을 리패키징한 악성앱이 국내에도 증가될 우려가 커진만큼 이용자들의 철저한 주의가 필요하다. 특히, 정상앱을 변조하는 경우 스미싱 수법 뿐만 아니라, ▲"인터넷 웹 커뮤니티를 통한 다양한 유통이 가능"해지기 때문에 신속한 탐지와 차단이 어렵고, 잠재적 위협요소로 이어질 수 있다. 이처럼 모바일 범죄자들은 언제든지 유출된 개인정보(이름, 휴대폰번호, 주민번호)와 명의를 도용하여, 악성앱과 결합시킨 새로운 범행을 저지를 수 있다는 점에서 만반의 대비태세가 필요하다.

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 변종여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk



2. 한국형 안드로이드 악성앱 리패키징 이상징후?

스미싱 소액결제사기 범죄가 우후죽순으로 급증하고 있는 가운데 2013년 03월 08일 새로운 종류가 발견되었다. 이번 소액결제사기용 악성앱은 맥모닝 알람앱 처럼 사칭하고 있으며, 정상앱의 기능을 그대로 보여주기 때문에 이용자는 쉽게 현혹되며, 자신이 악성앱에 감염된 사실도 모른채 소액결제사기 피해(최대 30만원)를 입을 수 있다. 

문자메시지(SMS)를 통한 다단계 스미싱 사기가 기하급수적으로 늘어나면서 금전적인 피해도 비례적으로 증가하는 추세이다. 자칫 호기심과 스미싱 문자에 현혹되어 심각한 피해를 입을 수 있다는 점을 명심해야 한다.

금번 새롭게 발견된 악성앱은 아래와 같이 마치 맥도날드에서 무료커피 쿠폰을 주는 모바일 알람 앱으로 사칭하여 사용자를 유혹하며, 단축URL 서비스를 통해 소액결제사기용 악성앱(KRSpammer) 설치를 유도하게 된다.

발신번호 사칭 : 02-1544-5553
★ 맥 도 날 드 ★ 무 료 커 피 쿠폰 주는 모바일 알람 앱 http://***********

스미싱 문자메시지에 포함되어 있는 인터넷 주소를 클릭할 경우 아래와 같이 "my.apk" 파일이 다운로드된다.


맥모닝으로 위장한 악성파일은 겉으로 보기에는 정상앱과 거의 똑같기 때문에 육안상으로 악성여부를 구분하기는 어렵다. 다만, 악성앱이 파일용량에서 사이즈가 다소 크다는 것을 비교해 볼 수는 있다. 


다운로드 완료된 파일을 사용자가 클릭하여 설치를 시작하면 아래와 같은 설치권한을 보게 된다.

 


[설치]버튼을 누르고 설치가 완료되면, 스마트폰 바탕화면에 아래와 같이 "맥모닝알람" 이라는 이름과 아이콘이 생성된다. 악성앱은 정상앱 기능을 모두 도용해서 사용하였기 때문에 앱의 모든 기능은 정상적으로 작동되며, 저작권 위반에 해당되기도 한다.


사용자가 해당 앱을 실행하면 아래와 같이 정상적인 맥모닝 알람 프로그램이 실행되고, 사용자는 정상앱 설치로 인식하게 되지만, 악성앱은 은밀하게 악의적인 소액결제사기 행위를 수행하게 된다.

 


대부분의 스미싱 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다는 점을 기억해 두는 것이 좋다. 

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

3. 스미싱 피해 예방법

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect


저작자 표시
신고
Posted by nProtect
1. 불길한 징조, 잠복기를 유지하고 있는 모바일 DDoS 공격!


잉카인터넷 대응팀은 국내 안드로이드 기반의 스마트폰 이용자들에게 DDoS 공격기능을 탑재한 악성앱(KRDDoS)이 지속적으로 유포 중인 실체를 여러차례 최초 공개한 바 있으며, 여러가지 가능성을 열어두고 신중하게 추적 모니터링을 이어가고 있다. 지금도 베일 뒤에 숨어 있는 공격자는 모바일 DDoS 기능을 탑재한 악성앱을 국내 이용자들에게 은밀히 쉴세없이 전파시키고 있어 잠재적 모바일 보안위협은 점차 증가되고 있는 추세이다. 이러한 정황은 공격자가 치밀하게 공격을 사전모의하고 있는 것을 의미하며, 적정 이상의 좀비(Zombie) 스마트폰을 확보하기 위한 일련의 준비과정으로 예측된다. 현재까지 전 세계적으로 실제 모바일 DDoS 공격에 대한 공식적인 피해사례나 수법 등이 구체적으로 보고되진 않았기 때문에 상황의 심각성을 직접적으로 인식하기에는 여러모로 어려움이 있을 수 있다. 

하지만 공격자가 끊임없이 악성앱을 유포하고 있다는 그 이상징후만으로도 모바일 DDoS 공격에 대한 현실 가능성과 피해가능범위 등 철저한 사전 대비와 논의가 진행돼야 할 시점으로 보인다. 모바일 DDoS 공격의 수법과 피해는 최근까지 가상의 내용으로만 존재하고 있기 때문에 한국의 모바일 이용자 수와 초고속 무선 이동통신망의 환경적 특성을 염두에 두고 다각적인 대응 인프라를 고려하여 초기진압을 할 수 있어야 한다. 예측이 어려운 신규 보안위협은 항상 무방비 상태로 놓여 있을 수 밖에 없지만. 보안의 조건이라는 것은 단순 통과의례와 시행착오를 통한 대처보다도 사전준비를 통해 피해를 미연에 최소화하는데 많은 노력과 관심이 모아져야 한다.


- 모바일 DDoS 역습과 보안의 조건을 고민할 때!
- 사각지대에 놓인 모바일 DDoS 공격, 무방비로 두고 볼 것인가?
- 시기상조가 아닌 이미 잠복기를 통한 잠재적 위협으로 중시해야 할 때

스마트폰 겨냥한 악성파일, 보안업계 예의주시
http://www.etnews.com/news/special/2730348_1525.html

[정보보호]모바일 디도스 공격 확대 "안심할 수 없다"
http://www.etnews.com/news/computing/security/2730136_1477.html

잠재된 뇌관 `모바일 디도스` 폭발하나…스마트폰 겨냥 악성파일 확산
http://www.boan.com/news/articleView.html?idxno=7945

점점 짙어지는 '모바일 디도스' 그림자
http://news.inews24.com/php/news_view.php?g_serial=728546&g_menu=020200&rrf=nv

★혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 변종여부 등의 결과를 통보해 드리고 있습니다.

[#Update 2013. 02. 28]

2013년 02월 28일 오후 2시 35분 현재 이 시간 기존 국내 모바일 백신제품들에서 전혀 탐지되지 않는 새로운 변종 모바일 디도스 악성앱이 국내에 다수 유포 중에 있다. 잉카인터넷 대응팀은 nProtect Mobile for Android 제품을 통해서 Trojan/Android.KRDDoS.P 진단명으로 국내 최초로 탐지 및 치료 기능이 제공 중인 상태이다. 더불어 한국인터넷진흥원(KISA)에 해당 유포 사이트를 차단할 수 있도록 긴급 요청한 상태이다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk



이번에도 구글앱 엔진 서버를 이용했으며, 직접적으로 apk 파일을 링크하지 않고, 내부 자바스크립트 명령으로 설치되도록 구성한 점이 특징이다. 이는 문자메시지에서 apk 파일 링크를 차단할 수 있기 때문에 공격자가 점차 지능화된 방법으로 차단을 우회시키고 있다는 것을 알 수 있다.


[#Update 2013. 03. 04]

[공지사항]Android 2013년
제9주시스템 업데이트,다운로드
해주세요.http://i***.kr/****


[#Update 2013. 03. 06]

[긴급] 안드로이드전용 모바일
보안업데이트 링크클릭 http://goo.gl/*****


[#Update 2013. 03. 10]

Android 주시스템 업데이트,다운로드 해주세요. http://me2.do/********




2. 이동통신사(114) 발신번호로 위장하여 유포 중

모바일 DDoS 공격 기능을 탑재하고 있는 한국 맞춤형 안드로이드 악성파일(KRDDoS)이 꾸준히 국내 이용자들을 표적으로 유포되고 있다. 특히, 국내 유명 이동통신사 고객지원 전화번호인 114 대표번호로 발신자명을 조작하여 보내고 있기 때문에 이용자들은 정상적인 이통사 문자메시지(SMS)로 착각하여 악성앱에 노출되는 피해가 이어지고 있다.

아래는 실제 국내 이용자들에게 배포된 문자메시지로 114 번호로 위장하여 정상적인 문자메시지와 함께 보여지는 경우가 많아 이용자들은 실제 정상적인 문자메시지로 오인하고 있으며, 공격자는 의도적으로 끊임없이 악성앱을 전파시키고 있다.

발송되는 문자메시지 내용은 다음과 같고, 정상적인 문자와 함께 수신된 경우도 존재한다.

[긴급] 안드로이드전용 모바일 보안업데이트 링크클릭 http://goo.gl/**********


모바일 디도스용 악성파일 제작자는 그동안 여러가지 앱으로 위장하여 유포한 바 있는데, ▲구글코리아 신규서비스앱 ▲폰키퍼 ▲카카오 업데이트 등이 있고, 제작자는 ▲안드로이드 전용 모바일 보안업데이트 링크클릭 이라는 내용을 가장 오래 사용하고 있다.

 



[주의]안드로이드 전용 모바일 보안업데이트로 가장한 좀비폰 미끼
http://erteam.nprotect.com/387

[주의]이통사 고객지원번호(114), 카카오 내용으로 사칭한 안드로이드 악성파일 등장
http://erteam.nprotect.com/384

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협
http://erteam.nprotect.com/382

[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가
http://erteam.nprotect.com/368

[주의]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
http://erteam.nprotect.com/394

2013년 01월 23일 발견된 형태는 google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭이라는 문자내용과 해외의 단축 URL 서비스를 조합하여 안드로이드 악성파일을 설치하도록 유도하는 문자메시지 형태가 발견되었다. 공격자는  유포 서버의 IP주소가 차단돼면 계속해서 새로운 IP주소를 만들어서 악성 APK 파일을 전파시킨 바 있다.

잉카인터넷 대응팀이 확인한 공격자의 서버 IP주소는 다음과 같은데, 거의 동일한 대역폭을 사용하고 있다는 것을 알 수 있다.

- 103.21.208.160
- 103.21.208.162
- 103.21.208.164
- 103.21.210.215
- 103.21.210.219
- 103.21.210.220

IP 주소는 중국에서 사용하고 있으며, 할당된 IP 대역폭은 다음과 같다.

- 103.21.208.0 ~ 103.21.211.255


공격자는 국내 ISP망에서 접속이 차단돼면 지속적으로 IP주소를 변경하여 운영하였으며, 카카오 업데이트 위장한 변종부터는 IP 주소를 조금씩 변경하였다.

- 2013년 01월 21일 : 184.22.13.126
- 2013년 01월 25일 : 192.154.109.132
- 2013년 01월 27일 : 184.22.13.126
- 2013년 02월 03일 : 198.13.97.233
- 2013년 02월 05일 : 142.0.140.235

그 이후에는 구글의 앱 엔진(Google App Engine) 서비스를 통해서 모바일 DDoS 악성앱을 유포하고 있다. 현재까지 잉카인터넷 대응팀이 파악하고 있는 바에 의하면 모바일 DDoS 공격기능의 APK 파일은 2번의 구글 앱 엔진 도메인에서 유포되었고, 2013년 02월 09일과 02월 16일 동일한 주소이지만 다른 종류의 악성앱이 전파되었다.

구글 앱 엔진을 통해서 안드로이드 악성앱을 유포하면 실제 스마트폰을 통한 감염 통계자료 등을 대시보드로 활용할 수 있을 것으로 예상되고, 공격자는 디도스용 좀비 스마트폰의 감염현황 등을 조회하기 위한 목적으로 사용했거나 구글 공식 관련 앱처럼 위장하기 위한 목적으로 악용했을 가능성이 있어 보인다.

애플리케이션 설치과정에서는 Google Mobile 제목으로 아래와 같은 권한 내용을 보여주며, 마치 구글과 관련된 앱처럼 보이도록 위장한다.


[설치]가 완료되면 다음과 같이 마치 "AhnLab V3 Mobile PLUS 2.0" 제품처럼 조작된 화면을 사용자에게 보여주지만, 실제로는 DDoS 기능을 보유한 악성파일에 감염되게 된다.

악성파일은 중국 DNS 소재(ns14.dns.com.cn) gzqtmtsnidcdwxoborizslk.com (TCP Port 2700-2799) 사이트로 접속을 시도하며, 스마트폰에 수신되는 문자메시지(SMS)를 감시하게 되며, 문자메시지 명령어에 따라 DDoS 기능을 수행할 수 있게 된다. 도메인은 조건에 따라 다양한 문자열로 조합되어 차단을 우회할 수 있다.

- #m : 해당 문자열로 시작할 시 특정 번호로 SMS 무단 발송
- #b : 시간 확인 및 변수 할당
- #u : 특정 사이트를 공격 목표로 DDoS 기능 수행
- #e : 스레드 실행 여부 확인 및 지연
- #t : 감염된 스마트폰의 전화번호 확인

3. 대응방법

대부분의 안드로이드 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하거나 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRDDoS.A
- Trojan/Android.KRDDoS.B
- Trojan/Android.KRDDoS.C
- Trojan/Android.KRDDoS.D
- Trojan/Android.KRDDoS.E
- Trojan/Android.KRDDoS.F
- Trojan/Android.KRDDoS.G
- Trojan/Android.KRDDoS.H
- Trojan/Android.KRDDoS.I
- Trojan/Android.KRDDoS.J
- Trojan/Android.KRDDoS.K
- Trojan/Android.KRDDoS.L
- Trojan/Android.KRDDoS.M 외 다수 (변종 계속 발견 중)

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect


저작자 표시
신고
Posted by nProtect
1. 모바일 암적존재? 안드로이드 보안위협 급증!


잉카인터넷 대응팀은 "(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요" 라는 내용과 악성앱이 설치되는 단축 URL 주소를 포함하여 사용자에게 스마트폰 소액결제사기용 악성앱이 설치되도록 시도한 정황을 추가 포착하였다. 이 내용은 "[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요" 라는 문구로도 유포에 악용되었다. 복지로는 이전에도 "[복지로]복지알림이 모바일어플 설치하시고 실시간 복지정책 체크하세요" 라는 유사한 내용으로 전파된 바 있다. 또한, 소액결제사기용 뿐만 아니라 모바일 디도스(Mobile DDoS)공격용, 이용자의 문자메시지 등을 탈취시도하는 스파이(Spy) 기능용 변종도 지속적으로 발견되고 있어 안드로이드 기반 스마트폰 이용자들의 각별한 주의가 요망된다. 특히, 국내 이용자를 노리고, 사생활침해 우려가 존재하는 새로운 스파이앱 형태의 악성 안드로이드 악성파일은 수신자의 이름을 문자메시지 상에서 거론하는 등 특정 표적자를 직접적으로 지목해서 악성파일을 설치하도록 유도했다는 점에서 공격행태가 매우 과감해지고 있다는 점을 입증하고 있고 있다. 


- 누군가 내 스마트폰을 통해 일거수일투족을 몰래 훔쳐본다?

마지막으로 국내인을 대상으로 한 맞춤형 안드로이드 보안위협이 급속도로 증가하고, 기능적으로도 빠르게 진화하고 있다는 점을 직시하여 스마트 기기를 이용하는 개인과 관련기업들은 다양하고 입체적인 모바일 보안대책을 논의하고 수립해야 할 시기로 보여진다. 

[긴급]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
http://erteam.nprotect.com/394

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급] 안드로이드전용 모바일 보안업데이트로 위장한 DDoS 악성 앱
http://erteam.nprotect.com/393

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[SBS 현장 21]'충격' 스마트폰 도청 실태
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001640852

[머니투데이]스마트폰 업데이트하니... "헉 내 메세지가"
http://www.mt.co.kr/view/mtview.php?type=1&no=2013021910515993345&outlink=1

2. 초미의 관심사! 스마트 사기단, 사이버 흥신소 성업 중?

2013년 초중고 교육비 지원 신청 원클릭용 앱설치 문자로 위장한 악성앱은 다음과 같은 형태의 메시지로 전파되었으며, (원클릭) 이라는 문구 대신에 [복지로]라는 문구로 사용된 경우도 발견된 상태이다.

(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요 taoul.es/***


[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요! http://taourl.es/***


이용자가 단축 URL 주소를 클릭하면 해외의 DropBox 파일 공유 서비스를 통해서 "smartbilling.apk" 라는 악성 안드로이드앱이 다운로드되고, 이용자가 다운로드된 APK 파일을 실행하여 설치하면 사이버 범죄자들에 의해서 최대 30만원 상당의 소액결제 피해를 입을 수 있게 된다. 이렇다보니 사이버 범죄자들은 금전적 이득을 취하기 위해서 소액결제사기용 안드로이드 악성앱의 변종을 끊임없이 양산하여 변칙적인 사이버 범죄 행위을 멈추지 않고 있다.

또한, 사용자의 안드로이드 기반 스마트폰에 수신되는 문자메시지(SMS)를 감시하고, 이용자의 동의 없이 외부로 불법적으로 유출될 수 있는 스파이앱(SpyApp) 형태의 안드로이드 악성파일 변종도 계속 보고되고 있다. 한국인터넷진흥원(KISA)을 통해서 확인된 새로운 종류는 특정인의 이름을 직접적으로 문자에 포함하는 등 표적형 공격형태로 진화하고 있다는 점에서 상황의 심각성을 더해주고 있으며, 잉카인터넷 대응팀은 관련 정보를 추적하던 중 다양한 변종이 추가로 존재하는 것을 발견하여 nProtect Mobile for Android 제품에 긴급 업데이트를 완료한 상태이다.

*** 나야 전화가 안되서 이걸로 나랑 대화해 많이 급하다www.k****protect.com/kids.apk

*** 나야 지금 전화가 안돼 이걸로 하자 급해 www.a****-protect.com/adult.apk

[Update #02 - 2013년 02월 28일]

충격 gril그룹 ♥xxx양♥ 바로보기http://whw***.com

박*성님 데이타사용초과 익월요금합산청구 학인
http://mar****19.net/a.apk

애플리케이션 실행 속도관련 최신 업그레이드가 필요합니다.http://goo.gl/H**w1


상기 이미지와 같이 특정인을 표적화하여 "kids.apk", "adult.apk" 파일을 설치하게 유도하였으며, 이용자의 문자메시지는 외부의 특정 서버로 몰래 유출될 수 있다. 현재는 해당 서버의 접속이 한국인터넷진흥원(KISA)의 신속한 대응으로 차단조치된 상태이기 때문에 정보유출 가능성은 낮다.

그러나 이러한 형태의 스파이앱 변종이 꾸준히 제작되고, 발견되어지고 있다는 점은 안드로이드 보안위협 측면에서 시사하는 바가 크다. 특히, 특정인의 일거수일투족을 실시간으로 엿보거나, 사이버 흥신소라는 비즈니스 모델(?)이 스마트기기의 다양한 취약점을 통해 급격히 증가할 수 있다는 것에 주목해야 한다. 이는 사이버 범죄자들이 음지에서 은밀히 활동하고 점조직으로 수사기관의 추적을 피해 운영되고 있는 고유한 특수성 때문에 활동자체가 외부에 쉽게 노출되지 않을 수 있고 그로인해 예상하지 못할 정도로 다양한 보안위협이 스마트환경을 통해 가속화될 수 있다는 가능성을 열어두고 있다.

잉카인터넷 대응팀이 파악한 바에 의하면 앞서 언급한 스파이앱은 가입제로 운영이 되고 있으며, 변종을 유포했던 이력과 정황을 포착한 상태이다. 해당 서버는 하기와 같이 접근권한을 가진 멤버가 보유하고 있는 계정과 암호를 통해서만 접근할 수 있다.


해당 서버의 내부에는 관리자가 여러가지 설정 및 등록을 할 수 있도록 구성되어 있고, 악성앱에 감염된 이용자의 문자메시지 현황을 모니터링 할 수 있도록 제작되어 있다.


■ "adult.apk" 악성앱 상세 분석정보

"adult.apk" 와 "kids.apk" 파일은 클래스명만 다르고 대부분의 기능은 동일하기 때문에 대표적으로 "adult.apk" 악성앱에 대한 내용만 공개하면 다음과 같다.

a. "adult.apk" 악성 앱은 1개의 서비스(adult_svr)와 1개의 리시버(boot_adult)를 등록하고 있다.

b. 악성 앱이 실행되면 메인 액티비티 상에 특별히 변화되는 내용은 없으며, 최초 화면 그대로 출력된 상태를 유지하게 된다. 또한, 메인 액티비티에서는 내부적으로 등록된 서비스(adult_svr)를 실행하며, 악성앱의 일반적인 생명주기는 이것으로 종료된다.

c. 실행된 서비스(adult_svr)는 감염된 스마트폰의 전화번호를 수집하며 스레드를 생성한다. 생성된 스레드는 특정 DB파일(adultProDb156666.db)을 생성하며, 내부에 두개의 테이블을 생성(Send_Msg, Base_Set)후 정보를 갱신한 다음 갱신된 정보와 수집된 전화번호 정보에 대한 외부 유출 및 추가적인 악성 기능 수행을 위해 외부 특정 사이트에 접속(http://a*****protect.com/app/app_sms.asp)을 시도한다. 다만, 현재는 해당 서버가 차단되어 있어 정상적인 작동을 수행하지는 못한다.


d. 모든 문자메시지(SMS) 정보에 대한 탈취를 위해 일반적인 SMS 목록 쿼리, 단말기 제조사 2곳에 따른 메시지함 접근 및 쿼리(삼성, LG) 등의 방법으로 SMS 관련 정보(발신번호, 본문내용 등)를 수집하여 외부 특정 사이트(http://a*****protect.com/app/app_sms.asp)로 유출을 시도하게 된다.


e. 마지막으로 해당 악성앱에 등록되어 있는 리시버(boot_adult)는 스마트폰이 재부팅되면, 마찬가지로 등록된 서비스(adult_svr)를 재실행해 주는 동작을 하게된다.

3. 안드로이드 악성앱 감염 예방법

소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고, 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요해 보인다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRSpyBot.A
- Trojan/Android.KRSpyBot.B
- Trojan/Android.KRSpyBot.C
- Trojan/Android.KRSpyBot.D
- Trojan/Android.KRSpyBot.E
- Trojan/Android.KRSpyBot.F
- Trojan/Android.KRSpyBot.G
- Trojan/Android.KRSpyBot.H
- Trojan/Android.KRSpyBot.I
- Trojan/Android.KRSpyBot.J
- Trojan/Android.KRSpyBot.K
- Trojan/Android.KRSpyBot.L 외 변종 계속 추가 중


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.

 

저작자 표시
신고
Posted by nProtect