1. 경찰청앱으로 둔갑한 Trojan/Android.KRFakeCop


잉카인터넷 대응팀은 모바일 보안관제를 진행 중에 "대한민국 경찰청" 앱처럼 위장한 안드로이드 스마트폰용 악성앱을 최초로 발견하여 nProtect Mobile for Android 제품을 통해 유일하게 치료서비스를 제공 중에 있다. 해당 앱은 마치 경찰청 관계자들이 사용하는 앱처럼 위장하고 있으며, 지금까지 국내에서 주로 발견되었던 휴대폰 소액결제사기 방식과는 구별되는 다목적 형태의 악성기능을 수행할 수 있도록 제작되었다는 점과 국내에서 개발된 것으로 보여지는 부분이 주목된다. 이번 악성앱은 설치되는 과정에 국내 특정 모바일 보안제품처럼 위장한 악성앱을 별도로 추가 설치하는 기능으로 사용자를 속인 후 동작하게 되며, 처음 실행화면에서는 경찰청 지문인식 시스템화면을 보여주어, 마치 일반 사용자들은 사용할 수 없는 것처럼 보여지지만, 숨겨져 있는 특정 조건이 성립되면 지문인식 과정이 정상적으로 작동된다.

하지만 이 모든 과정은 단순히 경찰들이 사용하는 공식적인 앱처럼 보여지지 위한 은폐방식으로 의심되며, 내부적으로는 △문자메시지 감시 및 유출시도 △통화내용 녹음 및 유출시도 △GPS 기반의 이동경로 감시 및 유출시도 △통화내역 및 문자메시지 내역 감시시도 등 매우 다양하고 민감한 사생활 침해목적의 기능을 포함하고 있는 것으로 분석되었다.

[SBS 8시 뉴스 단독보도]통화 탈취에 GPS 추적도…교묘한 신종 사기
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001791592
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001792069


- 감염된 스마트폰 이용자의 일거수일투족을 감시
- 국가기관 앱을 사칭한 지능화된 모바일 보안위협의 신호탄
- 전문화된 모바일 보안관제 및 솔루션의 필요성 대두

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. "해양경찰청" 피싱캅" "바이로봇 모바일 3S" 정보를 조합한 악성앱

이번에 발견된 악성앱은 최초 설치 시 다음과 같이 "대한민국 경찰청" 이라는 이름으로 설치가 시작되며, 6가지로 부여된 권한(퍼미션)수행 내용을 보여주게 된다.

- 내 메시지 (문자 메시지를 수신합니다)
- 네트워크 통신 (모든 인터넷 기능을 사용할 수 있습니다)
- 저장소 (내장 메모리 컨텐츠 수정/삭제)
- 하드웨어를 제어합니다 (사진 및 동영상 촬영)
- 통화 (휴대폰 상태 및 ID 읽기)
- 요금이 부과되는 서비스 (문자 메시지를 전송합니다)


설치가 완료되면 다음과 같이 "대한민국 경찰청" 이름의 아이콘이 생성되며, 이용자가 처음 실행을 시도하게 되면 ViRobot Mobile 3S 타이틀의 새로운 앱이 다운로드되고, 추가 설치를 시도하게 된다.



더불어 설치된 아이콘의 경우 실제 구글 플레이에서 배포중인 "해양 경찰청 모바일" 아이콘에서 "해양"이라는 문구를 일부 제거하여 사용하였다. 수정된 이미지를 분석해 본 결과 조잡하게 일부분을 제거하고 사용한 것으로 파악되었다. 해양경찰을 상징하는 이미지는 천연기념물 제243호 흰꼬리수리와 전통 원형방패를 형상화한 아이콘이다. 현재 서울 지방경찰청을 상징하는 대표 이미지는 아래 좌측에 있는 것이며, 악성앱은 해양경찰청 아이콘을 대한민국 경찰청 아이콘으로 변조하여 사용하였다.

 


해당 악성앱에는 ▶내 개인 정보 ▶요금이 부과되는 서비스 ▶내 메시지 ▶현재 위치 ▶네트워크 통신 ▶저장소 ▶하드웨어를 제어합니다 ▶통화 등 더욱 더 민감한 기능에 접근하는 권한부여를 요구하게 된다.


이 또한, 악의적인 기능의 악성앱으로 바이로봇 모바일 3S 앱으로 위장하고 있으며, 비슷하긴 하지만 실제 구글 플레이에서 배포되는 "바이로봇 모바일 3S" 아이콘이 아닌 "바이로봇 모바일" 제품의 아이콘을 도용하였다. 실제 구글 플레이에 등록되어 있는 정상적인 바이로봇 제품군의 두 아이콘을 비교해 보면 아래와 같이 악성앱이 사용하는 아이콘과 이름이 서로 다르다는 것을 구분지어 알 수 있다.

 


설치된 이용자에게 대한민국 경찰청 앱처럼 보이도록 만들어진 Trojan/Android.KRFakeCop 악성앱은 작년 하반기 부산 남부경찰서에서 개발한 앱으로 화제가 된 바 있는 "피싱캅" 앱의 이미지 리소스를 일부분 동일하게 사용중인 것으로 분석되었고, 실제 피싱캅을 개발한 경찰관이 이에 대한 내용을 전혀 들은 바 없는 것으로 보인다. 이것으로 보아 악성앱 제작자는 사전협의 없이 피싱캅의 이미지를 도용하여 이용한 것으로 추정된다. 두가지 앱의 화면을 비교해 보면 다음과 같다.


Trojan/Android.KRFakeCop 악성앱은 [지문을 인식시켜주세요] 라는 부분을 통해서 사용자의 지문을 인식하도록 유도하고 있지만 단순히 클릭기능을 감지하도록 만들어져 있고, 경찰청 마스코트인 포돌이의 클릭조건에 따라서 아래와 같이 지문인식 과정을 통과하게 된다. 따라서 포돌이 아이콘은 숨겨져 있는 지문인식 기능을 인식하게 해 주는 버튼역할을 수행하게 되며, 선택되지 않은 경우 [지문인식에 실패하였습니다.] 내용의 문구를 보여주게 된다.


지문인식 과정이 통과되면 다음과 같이 아이디와 패스워드를 입력하도록 구성된 화면이 보여지고, [보안 인증]이라는 버튼을 통해서 로그인 절차가 진행된다. 하지만 이곳에 문자를 입력하거나 입력하지 않아도 특별히 로그인 검증기능이 존재하지 않기 때문에 자유롭게 로그인이 가능하다.


아이디와 패스워드를 입력하지 않고 [보안 인증]을 누르거나, 특정 문구를 넣어도 로그인이 가능하다. 아래는 아무런 아이디를 넣지 않고 로그인한 화면이다. 로그인이 수행되면 내부에는 [신원 조회], [차량 조회], [범칙금 부과], [순찰팀 전달 사항], [순찰 일지 작성] 등의 내용이 보여지며, 제일 하단에는 "2013년 5월 16일 광화문 시위 사전신고 접수되었습니다. 해당 경찰관들 모두 당일 안전 및 치한에 신경써주시기 바랍니다." 라는 문구가 보여지는데, 문맥상 치안을 치한으로 잘못 표기한 것으로 보여지는 부분도 존재한다.


상기 내용처럼 설치된 앱은 경찰관들이 사용하는 실제 기능처럼 위장하고 있지만, 바이로봇 모바일 3S 앱처럼 위장하여 추가로 설치된 악성앱에 의하여 다양한 악의적인 기능이 사용된다. 또한, 위장 설치된 바이로봇 모바일 3S 아이콘은 처음 실행시 스스로 삭제시켜 이용자가 작동 여부를 육안으로 쉽게 확인하지 못하도록 숨김기능을 이용하고 있다.

Trojan/Android.KRFakeCop 악성앱은 △문자메시지 감시 및 유출시도 △통화내용 녹음 및 유출시도 △GPS 기반의 이동경로 감시 및 유출시도 △통화내역 및 문자메시지 내역 감시시도 등 매우 다양하고 민감한 사생활 침해목적의 기능을 포함하고 있는 것으로 분석되었고, 잉카인터넷 대응팀이 내부적으로 분석 및 테스트한 결과 통화내용이 정상적으로 저장되었고, 오차범위 안에서 근접한 기지국을 이용한 GPS 이동좌표가 체크되는 것도 확인한 상태이다.

아래 화면은 통화기록을 저장하는 코드이다.


아래 화면은 전화번호부 내용을 저장하는 코드이다.


아래 화면은 GPS를 기능을 이용해서 감염된 스마트폰의 위치 및 이동경로를 추적하여 유출시도하는 코드이다.


아래 화면은 통화내역을 녹음하는 코드이다.


아래 화면은 문자메시지(SMS) 내용을 저장하여 외부로 유출시도하는 코드이다.


또한, 해당 악성앱의 제작자는 [경찰청 보안관제 시스템]이라는 내용의 조작된 웹 서비스도 만들어 둔 상태인데, 이것은 단순 백그라운드 이미지에 플래시 플레이어를 이용한 고정적인 내용이지만, 겉으로 보기에는 실제 성범죄자 실시간 화면 추적내용으로 오해하거나 현혹될 가능성이 높다. 이처럼 제작자는 나름대로 정교하고 치밀하게 악성앱을 개발했다는 것을 알 수 있다.


잉카인터넷 대응팀은 이 앱을 만든 사람으로 의심되는 개발자에 대한 정보를 추적하여 확보한 내용을 관계기관에 제공한 상태이고, nProtect Mobile for Android 제품에 탐지 및 치료 서비스를 무료로 제공 중에 있다. 이러한 악성앱에 노출될 경우 개인 신상정보 및 사생활 노출 등 다양한 보안위협에 놓이게 될 수 있어 앞으로 모바일 보안의 중요성은 더욱 더 높아질 것으로 예상된다.

더욱이 작년 하반기 부터 스미싱 형태의 피해가 급증하고 있다는 점을 간과해서는 안되며, 최근에는 스미싱을 통한 소액결제사기수법이 한단계 발전한 스마트뱅킹용 악성앱과 스파이앱들도 사회적인 문제로 대두되고 있다는 점을 안드로이드 기반 스마트폰 이용자들이 스스로 인식하고 명심해야 할 때이다. 특히, 전문적인 모바일 보안솔루션으로 가장하거나 흡사하게 제작된 허위 모바일 보안앱이 꾸준히 발견되고 있기 때문에 각별한 주의가 필요하다. 

이에 잉카인터넷 대응팀에서는 보안전문기업으로서 차별화되고 전문화된 모바일 보안관제 및 오랜기간 축적된 보안기술을 바탕으로 모바일 백신프로그램과 모바일 스미싱 원천 차단솔루션을 개발하여 일반에 무료로 배포하는 등 사회적 기업으로서 그 역할을 충실히 이행하고 있으며, 10년 이상 글로벌 보안사업을 영위하고 있는 신뢰할 수 있는 보안기업으로서 모범적인 활동을 꾸준하게 이어갈 예정이다.

Trojan/Android.KRFakeCop 악성앱은 문자메시지(SMS)를 통한 스미싱이나 각종 메신저, 이메일 등으로 특정 사용자를 겨냥하여 표적공격화 되어 전파될 수 있으므로 특별한 주의와 전문적인 방어솔루션이 필요하다. 스미싱기법을 이용한 악성문자는 잉카인터넷 대응팀에서 2013년 05월 09일 출시한 스미싱 원천 차단솔루션 "뭐야 이 문자" 무료 앱을 통해서 유입시점에 완벽하게 사전탐지 및 제거를 할 수 있다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop

 


혹시 이와 관련되어 있거나 유사한 스미싱 의심 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 소액결제사기 끝판왕? 엔프로텍트 모바일 앱으로 둔갑


잉카인터넷 대응팀은 모바일 보안관제를 진행하던 중, 기존 소액결제사기용 스미싱 악성앱 변종이 nProtect Mobile 제품으로 위장한 형태를 최초 발견하였다. 악성앱 제작자는 자신이 만든 악성파일이 잉카인터넷 보안관제에 지속적으로 노출되고, 관련 정보가 노출되자 아예 nProtect Mobile 제품처럼 사칭하기 시작한 것으로 추정된다. 이는 공격자가 새로운 변종을 제작하여 유포하면 그 즉시 탐지되고 신속하게 업데이트되어 소액결제사기 피해가 최소화되고 있기 때문인 것으로 분석되며, 곧 공개할 스미싱 원천 차단솔루션에 대한 사전 반격으로도 예측된다. 그만큼 공격자들은 잉카인터넷 대응팀의 신속한 대응능력에 촉각을 곤두세우고 있으며, 자신들의 사기범행에 있어서 최대 방해요소로 인식하고 있는 것이 아닌가 판단된다. 

현재 해당 악성앱은 nProtect Mobile for Android 제품에 [Trojan/Android.KRSpammer.GT] 탐지명으로 긴급 업데이트되었으며, 현재 진단 및 치료가 가능하다. 또한 공격자에 대한 추적을 지속적으로 하고 있고, 변종 유포에 대한 실시간 감시태세를 유지하고 있다. 또한 기습적인 악성앱 유포에 대한 이상징후를 예의주시하며, 만반의 대응태세을 갖추고 있다.

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.

[안내]모바일 결제사기+디도스 등 스미싱 원천차단방지 솔루션 공개예정
http://erteam.nprotect.com/400

2. nProtect Mobile 제품으로 사칭한 악성앱

nProtect Mobile for Android 제품으로 위장한 악성앱은 기존에 다양한 소액결제사기용 악성앱을 유포했던 조직에 의해서 제작되었으며, 잉카인터넷 대응팀은 해당 조직들에 대한 추적을 유지하고 있다.

[주의]다날 결제완료 청구 확인내용으로 위장한 스미싱 등장
http://erteam.nprotect.com/404

[주의]스마트초이스 휴대폰 과다청구요금 미환급액조회 위장 스미싱
http://erteam.nprotect.com/403

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[주의]사이렌24 사칭, 주민번호 사용내역으로 스미싱 사기 진화
http://erteam.nprotect.com/397

[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
http://erteam.nprotect.com/389

[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
http://erteam.nprotect.com/386

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

악성앱은 2013년 03월 10일 새벽 1시 30분경에 제작된 것으로 분석되었으며, 현재 대부분의 모바일 보안제품에서 탐지하지 못하고 있다. 만에 하나 실제 nProtect Mobile 제품으로 착각하여 이용자 피해가 발생하지 않도록 하기 위해서 nProtect Mobile for Android 제품에는 긴급 업데이트가 완료되어, 현재 이 시간 정상적으로 탐지 및 삭제가 가능한 상태이다.

잉카인터넷의 nProtect Mobile for Android 제품은 구글 플레이 공식마켓이나 대응팀 공식블로그를 통해서 정식 설치가 가능하므로, 문자메시지나 별도의 웹 사이트에서는 설치를 하지 않도록 하여야 한다.

https://play.google.com/store/apps/details?id=com.inca.nprotect

nProtect Mobile 제품으로 사칭한 악성앱은 설치가 시도될 때는 다음과 같이 과도하게 민감한 권한을 요구하게 된다.


설치가 완료되면 스마트폰 바탕화면에 다음과 같이 아이콘이 생성되는데, 가짜의 경우 "nProtect Mobile" 이름으로 생성되지만, 실제 정상적인 이름은 "nProtect" 이다. 또한, 아이콘 뒷 배경에 약간의 검정 화면이 포함된 것도 다른점이다.


이 악성앱도 기존과 마찬가지로 스마트폰에 감염되면 소액결제사기용 승인문자 가로채기 기능을 수행하며, 많은 경우 최대 30만원의 피해를 입을 수 있으므로, 각별한 주의가 필요하다.

가짜 nProtect Mobile 아이콘을 실행하면, 화질이 매우 떨어지는 nProtect Mobile 업데이트 이미지 화면을 사용자에게 보여주지만 모두 조작된 내용이다.



3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk


안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 소액결제사기형 스미싱 위협 지각변동?


잉카인터넷 대응팀은 안드로이드 소액결제사기 위협동향을 예의주시 하던 중에 최근까지 국내에서 확인된 소액결제사기 유형과는 전혀 다른 새로운 스미싱 악성앱을 최초로 발견하였다. 이전에는 범죄자들이 직접 악성앱을 제작하여 마치 정상적인 앱처럼 보이도록 위장수법을 사용했고, 악성앱을 실행시 가짜 오류메시지나 접속불가 내용을 보여주어 마치 일시적인 서비스 장애문제로 보이게 하는 단순 속임수 방법을 동원했다. 그러나 이번에 발견된 유형은 실제 2013년 02월 18일 국내에 정식출시된 "맥도날드 맥모닝 알람 앱"을 리패키징하였기 때문에 실제 정상앱 기능이 문제없이 작동된다. 그렇기 때문에 이용자는 자신이 악성앱에 노출되었다는 것 자체를 인지하기 어렵다. 이처럼 정상앱을 리패키징하여 악성앱 기능을 추가하는 방식은 이미 해외에서는 널리 악용되었지만, 한국 맞춤형 스미싱에서 발견된 경우는 이번이 처음이다.

이번 신호탄을 계기로 정상앱을 리패키징한 악성앱이 국내에도 증가될 우려가 커진만큼 이용자들의 철저한 주의가 필요하다. 특히, 정상앱을 변조하는 경우 스미싱 수법 뿐만 아니라, ▲"인터넷 웹 커뮤니티를 통한 다양한 유통이 가능"해지기 때문에 신속한 탐지와 차단이 어렵고, 잠재적 위협요소로 이어질 수 있다. 이처럼 모바일 범죄자들은 언제든지 유출된 개인정보(이름, 휴대폰번호, 주민번호)와 명의를 도용하여, 악성앱과 결합시킨 새로운 범행을 저지를 수 있다는 점에서 만반의 대비태세가 필요하다.

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 변종여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk



2. 한국형 안드로이드 악성앱 리패키징 이상징후?

스미싱 소액결제사기 범죄가 우후죽순으로 급증하고 있는 가운데 2013년 03월 08일 새로운 종류가 발견되었다. 이번 소액결제사기용 악성앱은 맥모닝 알람앱 처럼 사칭하고 있으며, 정상앱의 기능을 그대로 보여주기 때문에 이용자는 쉽게 현혹되며, 자신이 악성앱에 감염된 사실도 모른채 소액결제사기 피해(최대 30만원)를 입을 수 있다. 

문자메시지(SMS)를 통한 다단계 스미싱 사기가 기하급수적으로 늘어나면서 금전적인 피해도 비례적으로 증가하는 추세이다. 자칫 호기심과 스미싱 문자에 현혹되어 심각한 피해를 입을 수 있다는 점을 명심해야 한다.

금번 새롭게 발견된 악성앱은 아래와 같이 마치 맥도날드에서 무료커피 쿠폰을 주는 모바일 알람 앱으로 사칭하여 사용자를 유혹하며, 단축URL 서비스를 통해 소액결제사기용 악성앱(KRSpammer) 설치를 유도하게 된다.

발신번호 사칭 : 02-1544-5553
★ 맥 도 날 드 ★ 무 료 커 피 쿠폰 주는 모바일 알람 앱 http://***********

스미싱 문자메시지에 포함되어 있는 인터넷 주소를 클릭할 경우 아래와 같이 "my.apk" 파일이 다운로드된다.


맥모닝으로 위장한 악성파일은 겉으로 보기에는 정상앱과 거의 똑같기 때문에 육안상으로 악성여부를 구분하기는 어렵다. 다만, 악성앱이 파일용량에서 사이즈가 다소 크다는 것을 비교해 볼 수는 있다. 


다운로드 완료된 파일을 사용자가 클릭하여 설치를 시작하면 아래와 같은 설치권한을 보게 된다.

 


[설치]버튼을 누르고 설치가 완료되면, 스마트폰 바탕화면에 아래와 같이 "맥모닝알람" 이라는 이름과 아이콘이 생성된다. 악성앱은 정상앱 기능을 모두 도용해서 사용하였기 때문에 앱의 모든 기능은 정상적으로 작동되며, 저작권 위반에 해당되기도 한다.


사용자가 해당 앱을 실행하면 아래와 같이 정상적인 맥모닝 알람 프로그램이 실행되고, 사용자는 정상앱 설치로 인식하게 되지만, 악성앱은 은밀하게 악의적인 소액결제사기 행위를 수행하게 된다.

 


대부분의 스미싱 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다는 점을 기억해 두는 것이 좋다. 

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

3. 스미싱 피해 예방법

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 국내 안드로이드 스마트폰 이용자를 노린 위협 증대


잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 직접 겨냥 악성파일을 추가로 발견하였다. 이번에 발견된 KRSpammer 변종 악성파일은 파리바게뜨, 카페베네, 피자헛, 다빈치커피, 롯데리아 안드로이드 앱 이벤트를 위장하여 국내 특정 사용자들에게 배포되었다. 악성파일 제작자는 국내 이용자들의 소액결제 승인 문자메시지를 몰래 가로채기 하여 불법적으로 인터넷 결제를 시도하는 등의 사이버 범죄를 시도하고 있으며, 일부에서는 실제 피해도 발생하고 있는 것으로 알려진 상태이다. 잉카인터넷 대응팀은 nProtect Mobile for Android 무료제품에 긴급 업데이트하였으므로, 이용자들은 최신 버전으로 업데이트하여 전체 검사를 수행해 보는 것을 적극 권장한다.



★ 현재 유명 회사를 사칭해서 변종이 지속적으로 유포 중입니다. 혹시 이와 관련된 문자메시지를 받으시는 경우 isarc@inca.co.kr 주소로 관련 정보를 신고해 주시면 신속히 분석하고 대응해 드리겠습니다.

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

◈ 환급금조회 사칭, 파리바게뜨 앱 위장 등 지속적인 변종 출현중!

각종 피싱 SMS를 이용하여 해당 악성 애플리케이션의 변종이 지속적으로 출현하고 있다. 이번에는 유명 제빵 업체로 위장한 피싱 SMS를 통해 유포 시도가 이루어졌으며, 수집된 정보의 유출 IP만이 기존의 악성 애플리케이션과 상이하다. 아래의 그림은 해당 제빵 업체에서 홈페이지를 통해 공지중인 피싱 주의 알림중 일부이다.


카페베네를 위장한 안드로이드 악성앱도 보고된 상태이다.

 





악성파일 제작자는 그외에도 다양한 유명 국내업체를 사칭해서 악성앱을 전파할려고 시도했던 것으로 보인다. 아래와 같이 국내 다수의 기업 아이콘을 악용하였다.



2013년 01월 09일 다빈치 커피의 무료 이벤트로 위장한 변종이 추가발견됐다.


2013년 01월 11일에는 롯데리아 쿠폰 위장한 형태가 추가 발견됐다.


2. 요금과다청구 환급금조회 사칭 악성파일 정보


악성파일은 얼마전 발견되었던 안드로이드 악성파일(KRSpammer) 변종과 비슷한 방식으로 전파되었는데, 이번에는 [고객님! 요금과다청구 환급금조회 http://tinyurl.com/(일부생략) ☜클릭] 내용으로 사용자로 부터 악성 URL 링크 클릭을 유도하고 있다.

현재 악성 링크가 정상적으로 작동되고 있어, 일부분을 강제로 모자이크 처리한 상태이며, 기존의 변종과 동일하게 Dropbox 서비스를 통해서 "SmartBilling.apk" 파일이 설치시도 되고 있다.

※ 파리바게트 위장형과 카페베네 위장형 변종은 파일명이 "SmartBill.apk" 이다.

 



안드로이드 스마트폰의 경우 APK 설치가 진행되며, 인터넷 익스플로러 브라우저에서는 아래와 같이 다운로드가 시도된다.


현재까지 확인된 바에 의하면 악성파일은 2가지 변종 형태로 제작되었으며, 2012년 11월 24일과 11월 25일 경에 배포된 것으로 추정된다. 기존과 동일하게 "스마트청구서" 형태의 변종 1개와 새로운 이름의 "e-청구서" 형태가 확인된 상태이다.


또한, 악성파일 내부에는 동일하게 다음과 같은 아이콘 리소스를 포함하고 있어 여러가지 형태로 변종 제작이 시도되고 있다는 것을 예측할 수 있다. 이번에는 "bkg_nok.png""icon_sexy.png" 등이 추가되었다.


새롭게 발견된 변종은 각각 "스마트청구서" 와 "e-청구서" 이름으로 제작 배포되었다.


설치 후 실행되면 모두 아래와 같이 가짜 에러화면을 동일하게 보여주며, 사용자로 하여금 단순 서버 접속 장애로 보이도록 위장하지만, 이는 의도된 가짜 메시지로 이용자를 속이기 위한 과정이고, 이후 이용자의 SMS(MMS) 메시지를 감시하기 시작한다.


이번 Trojan/Android.KRSpammer.F 변종은 Trojan/Android.KRSpammer.D 변종에서 아래와 같이 감시대상 발신번호가 일부 더 추가되었고, 정보 유출 IP주소 등이 변경되었다.

[Trojan/Android.KRSpammer.D]

"15880184" : 옥션
"16000523" : 모빌리언스
"15990110" : 11번가
"15663355" : 다날
"15665701" : G마켓
"15880184" : 옥션
"15990110" : 11번가
"15665701" : G마켓
"16001705" : 모빌리언스
"15663357" : 다날
"16000523" : 모빌리언스
"15663355" : 다날
"019114"   : LG텔레콤
"15997474" : 11번가 도서
"15663357" : 다날
"15991552" : 문자통
"16008870" : 피망
"15883810" : 한게임
"16443333" : 아이템 베이
"15448881" : 인포 허브
"15445553" : 인포 허브
"16443333" : 아이템 베이
"16008870" : 피망
"15663355" : 다날
"15883810" : 한게임
"16001705" : 모빌리언스
"16000523" : 모빌리언스
"16441006" : 서울 신용 평가 정보
"15771006" : 서울 신용 평가 정보
"15663357" : 다날
"0190001813" : 국번 없음
"15660020" : 엔씨소프트
"16001522" : 나이스 신용 평가 정보
"15885188" : 꾸민새 네트워크
"15883610" : 중앙일보
"15885984" : 다우페이
"15885412" : 뿌리오 고객센터
"16449999" : 국민은행
"15992583" : 아이엠페이
"15885180" : 넷마블

[Trojan/Android.KRSpammer.F]

"0220093777" : 문자 나라
"15992583" : SK M&C
"16004748" : 문자 조아
"15663315" : 대부도 펜션 빌리지

수집된 문자 정보 등은 다음과 같은 IP주소로 무단 유출 시도된다.


- 27.126.185.86
- 49.212.203.91

악성파일은 홍콩과 일본 등의 특정 호스트로 정보를 유출 시도한다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 국내 안드로이드 보안위협 신호탄


2012년 10월 26일 한국내 안드로이드 스마트폰 이용자를 직접적으로 겨냥한 안드로이드 악성파일이 구글 플레이 마켓에서 배포되고 있던 정황이 공식적으로 처음 확인되었다. 이 내용은 스마트폰 정보보호 민관합동 대응반을 통해서 신속하게 정보공유가 진행되었고, 유관기관들과 긴밀한 긴급대응이 진행되었다. 이번에 발견된 안드로이드 악성파일은 한글 소개서비스는 물론 대담하게도 정부기관을 사칭하여 설치를 유도했다는 점에서 더 큰 충격을 주고 있다. 이에 잉카인터넷 대응팀은 확보된 안드로이드 악성파일에 대해서 nProtect Mobile for Android 제품에 [Trojan-SMS/Android.KRSpammer]라는 대표 진단명으로 변종 탐지 및 치료기능을 긴급 업데이트한 상태이고 유사변종 출현 및 이상징후에 예의주시를 하고 있다.
 

해당 안드로이드 악성파일은 마치 스팸(Spam) 및 금융권 피싱 등을 차단하는 용도의 안드로이드 보안 애플리케이션처럼 위장하였으며, 개발자는 STech 이라는 필명을 사용하여 ▶Spam Guard, ▶Spam Blocker, ▶Stop Phishing!! 이라는 3가지 종류의 앱을 구글 플레이 마켓에 등록해 둔 상태이다. 특히, 코드 내부에는 국내 이통사와 보안업체 아이콘을 포함하고 있어, 처음부터 의도적으로 국내 이용자를 노려 제작된 것으로 추정된다.

※ <참고>스마트폰 정보보호 민관합동 대응반
방송통신위원회와 한국인터넷진흥원(KISA)이 스마트폰 보안위협의 신속한 정보공유와 선제적인 대응협력 체제 구축을 위하여 보안업체, 이동통신사, 단말기 제조사 등의 실무진들이 함께 참여하는 민관 스마트폰 정보보호 협력구성 특별 조직체이다.

2. 안드로이드 악성파일 정보

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

안드로이드 악성파일은 방송통신위원회(방통위)를 사칭해 마치 (스팸문자 차단 애플리케이션)처럼 위장된 내용과 단축 URL링크 주소를 클릭하도록 유도하는 형태로 배포되었고, 연결된 링크는 STECH 이라는 개발자가 등록한 구글 플레이(Google play) 마켓으로 연결된다. 구글 플레이 마켓에는 Spam Guard, Spam Blocker, Stop Phishing!! 등 3가지가 등록되어 있다.



특히, Spam Guard 프로그램의 경우 우리나라 태극기 이미지를 이용하여 프로그램 아이콘에 사용하였고, 최근까지도 국내에서 매우 극성을 부리고 있는 금융권 사칭 피싱과 스팸문자 피해를 필터링할 수 있는 프로그램처럼 소개를 하고 있어, 국내 상황을 익히 잘 알고 있는 사람이나 조직의 소행으로 어느정도 추정이 가능하다.



안드로이드 악성파일 내부에는 다음과 같은 다양한 아이콘 리소스 이미지를 포함하고 있는데, 이중에는 국내 유명 보안업체와 이동통신사 등의 아이콘을 포함하고 있어 제작자는 여러형태로 위장된 내용을 이용하려 했던 것으로 보인다.


위에서 언급된 3가지 악성 애플리케이션(Spam Guard, Spam Blocker, Stop Phishing!!)은 모두 동일한 정보에 대한 외부 유출 시도를 하며, 큰틀에서 악성 동작과 관련한 코드는 대부분 동일하다.

※ 전체 악성 동작

☞ 특정 외부 사이트로 단말기 및 SMS 정보 유출

※ 전체 유출 정보

☞ 감염된 스마트폰의 전화번호
☞ 감염된 스마트폰의 망사업자명(통신사명)
☞ 특정 번호에서 발신된 SMS


또한, 3가지 악성 애플리케이션 모두 아래와 같이 동일한 권한을 필요로 하고 있다.


해당 악성 애플리케이션들은 내부에 아래와 같은 3가지의 리시버를 등록하고 있으며, 해당 리시버의 동작을 통해서 악의적인 기능이 수행된다.

※ 등록된 리시버

☞ SMSService
 - SMS, MMS 수신시 동작한다.
 - 내부에 정의된 특정번호로 SMS가 수신될 경우 해당 정보에 대한 유출을 시도한다.

☞ RebootService
 - 재부팅시 동작한다.
 - 재부팅되면 메인액티비티를 실행하여 해당 애플리케이션이 동작하도록 한다.

☞ KeepAlive
 - 애플리케이션 실행 시 알람메니저를 통한 리시버 호출로 동작한다.
 - 지속적으로 인텐트를 수신받아 외부 특정 서버와의 통신 및 특정 정보 유출을 시도한다.


또한, 해당 악성 애플리케이션은 아래의 그림과 같이 리시버에 대한 우선순위를 설정하여, 다른 애플리케이션의 리시버보다 우선적으로 동작할 수 있도록 설정하고 있다. (BINARY_INTEGER 최대값 2147483647로 설정)


악성 애플리케이션이 실행되면 아래의 그림과 같이 한글로 사용문구가 표기된 메인 액티비티가 출력되지만, 실제로 스팸차단 기능은 전혀 포함하지 않고 있으며, 오직 스마트폰 이용자의 전화번호, 통신사 정보, 특정 번호에서 수신된 SMS 내용 등이 미국의 IP 주소로 전송 시도 되고 있다.


해당 악성 애플리케이션은 실행과 동시에 아래의 일부코드를 통해 특정 외부 사이트로 전화번호, 망사업자명 등의 정보를 유출 시도하며, KeepAlive 리시버를 통해 기능이 수행된다.


또한, 아래의 SMSService 리시버 일부 코드를 통해 수신되는 SMS에 대한 감시 후 내부에 저장된 특정 번호와 발신 번호가 동일할 경우 외부 사이트로 해당 SMS에 대한 내용을 유출 시도하게 된다.

 

※ 내부에 등록된 감시용 발신번호

15445553, 15448881, 15660020, 15663355, 15663357, 15665701, 15771006, 15880184, 15883610, 15885188, 15990110, 15991552, 15997474, 16000523, 16001522, 16001705, 16008870, 16441006, 16443333


해당 전화번호들은 휴대폰 소액결제 전문업체, 인터넷 쇼핑몰, 온라인 게임업체, 온라인 게임아이템 거래업체 등의 번호로 사용자에게 수신된 결제 내역이나 중요정보 등이 무단유출되는 피해를 입을 수 있다.


구글 플레이 마켓에서 발견된 3가지 악성 애플리케이션은 종류에 따라서 사용되는 IP주소가 각기 조금씩 다르고, 현재는 한국인터넷진흥원(KISA)에 의해서 모두 차단이 된 상태이다.

☞ 50.18.59.8 (Spam Blocker)
☞ 54. 243.187.198 (Stop Phishing!)
☞ 50.18.59.185 (Spam Guard)

정보가 유출 시도 되는 IP는 아래의 그림과 같이 미국에 소재하고 있다.


3. 안드로이드 악성파일 보안대비

그동안 해외(중국, 러시아 등) 이용자를 노린 안드로이드 악성파일은 매우 다양하고 많은 변종형태가 발견되어 보고된 바 있지만, 처음부터 의도적으로 국내 안드로이드 스마트폰 이용자를 주요 표적으로 제작된 악성파일 형태가 발견된 것은 공식적으로 처음이다.

이는 국내 스마트폰 이용자를 겨냥한 보안위협의 신호탄이라 할 수 있으며, 앞으로 다양한 형태의 보안위협으로 진화될 수 있을 것으로 예상된다. 따라서 이용자들은 스마트폰용 보안제품을 설치하여 정기적으로 업데이트 및 검사를 수행하도록 하는 노력이 중요하며, 의심스러운 애플리케이션이 발견되면 정부 및 보안업체 등에 신속히 신고하고 상담을 받는 것도 중요하겠다.

잉카인터넷 대응팀은 이번에 발견된 악성파일 3종을 nProtect Mobile for Android 제품에 Trojan-SMS/Android.KRSpammer.A, Trojan-SMS/Android.KRSpammer.B, Trojan-SMS/Android.KRSpammer.C 로 긴급업데이트를 완료한 상태이다.

또한, 일반 사용자들의 경우 백그라운드 상태에서 동작하는 악성 애플리케이션을 육안으로 식별해 내기란 매우 어려울 수 있다. 때문에 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 주의와 노력이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 해외 보안 업체를 통해 지하철 요금 지불과 관련하여 결제카드의 리셋 기능을 지원하는 애플리케이션에 대한 정보가 공개된 바 있다. 해당 애플리케이션은 NFC 기능을 통해 결제카드에 대한 리셋 기능을 수행하며, 실제로 해외 지하철역에서 선불요금이 만료된 결제 카드에 대한 리셋 시연을 보이는 영상까지 공개되어 있다. 물론 국내에서 정상적인 동작을 기대하기는 어렵고 해당 애플리케이션이 악성이 아닌 POC(개념증명)를 위해 준비되었다는 점에서 약간의 거리는 있겠지만 날로 확산되어 가고있는 안드로이드 보안 위협에 대한 사용자들의 인식 전환을 위해서는 한번쯤 짚고 넘어가 볼 수 있는 문제일 수 있다.

※ 실제 시연 동영상

http://vimeo.com/49664045

※ NFC[Near Field Communication]

10cm 이내의 가까운 거리에서 다양한 무선 데이터를 주고받는 통신 기술

2. 유포 및 동작 설명

해당 애플리케이션은 아래의 그림과 같이 구글 정식 마켓을 통해 다운로드가 가능하다.


해당 애플리케이션을 다운로드하여 설치하면 아래의 그림과 같이 NFC제어 관련 권한을 요구하는 화면이 출력된다.


아래의 그림은 전체 권한 선언을 포함한 AndroidManifest.xml 파일의 일부 내용이다.


해당 애플리케이션은 위 그림에서 확인이 가능하듯 Android SDK 2.3.3 이상 버전에서 정상적인 동작이 가능하다. 또한, Main 액티비티외에 추가적으로 탭형식으로 구성된 2개의 액티비티가 존재하고 있음을 확인할 수 있으며, 별도의 리시버나 서비스는 등록되어 있지 않다.

해당 애플리케이션은 Manifest에 정의된 내용으로 미루어 보아 아래의 일부 코드와 같이 NFC 기능 동작을 위한 Action이 추가된 필터를 제외하고는 특별한 동작을 수행하지 않음을 확인할 수 있다.


위와 같은 설정 등을 전제로 해당 애플리케이션이 실행되면 아래의 그림과 같이 TabActivity로 구성된 메인화면을 볼 수 있다.


지하철 패스 카운트(총 10번 사용가능)가 모두 소진된 카드를 해당 애플리케이션을 통해 스캔하게 되면 아래의 일부 코드 등을 통해 다시 총 10번이 사용가능하도록 지하철 패스 카운트를 리셋하게 된다.


해당 애플리케이션의 이러한 리셋 기능은 Tag ID를 얻어 MifareUltralight API를 통한 입출력 기능 등으로 구현되어 있으며, 위에서 언급한 시연 동영상 처럼 실제 해외 지하철역에서 사용 가능한것으로 확인되고 있다.

3. 마무리

해외 보안 업체 등을 통해 안드로이드 보안 위협과 관련하여 위와 같은 POC개념의 애플리케이션들이 지속적으로 보고되고 있다. 그만큼 악용가능한 범위가 넓다는 반증일 수 있다. 실제적으로 유비쿼터스화 되고 있는 실생활에서 스마트폰을 이용해 모든 제어가 가능해지고 있는 만큼 개인 스마트폰의 보안 위협에 대한 제고는 반드시 이루어져야하나, 일반적으로 사용자들의 스마트폰에 대한 보안 인식은 아직까지 이에 미치지 못하고 있는 실정이다.

좀 더 편하고 좀 더 즐거운 생활을 가능하게 해주는 스마트 기능이 좀 더 불편하고 좀 더 안전하지 못한 상황을 초래하지 않게 하기 위해서는 아래와 같은 기본적인 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 이미 여러차례 안드로이드 기반의 악성파일이 해외에서 급격하게 증가하고 있다는 정보를 다수 공개한 바 있다. 또한 2012년 01월 06일에는 국내 유명 자료실을 통해서 안드로이드용 악성파일이 실제 국내 이용자에게도 배포된 사례를 공식적으로 발표했었다. 그러나 아직까지 안드로이드 스마트폰을 사용하는 국내 이용자들은 이러한 악성파일이 어떠한 과정을 통해서 배포되고 있는지 알기가 어렵기 때문에 "잉카인터넷 대응팀은 현재 이 시간 실제 유포 중인 악성파일의 전 과정을 최초로 공개"하게 되었으며, 이를 통해서 안드로이드 악성파일에 대한 보안경각심이 한층 제고되길 기대해 본다.



안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

잉카인터넷 안드로이드 악성파일 지속적 대응 체계 유지
http://erteam.nprotect.com/237

2. 실제 유포 과정 공개

중국 및 러시아 등에는 안드로이드기반의 설치 파일(APK)을 자유롭게 공유하고 다운로드할 수 있는 커뮤니티형 웹 사이트들이 다양하게 존재하며, 매우 다양한 안드로이드 애플리케이션(앱)이 불특정 다수에게 공개되고 있다. 그렇다보니 정상적인 파일들 사이에 은밀하고 조용히 악성파일들이 몰래 숨겨져 있는 경우가 증가하고 있다.

잉카인터넷 대응팀은 2011년도에 안드로이드 기반 악성 앱 자동 탐지 및 분석 시스템을 자체 개발하여 운용 중에 있으며, 이를 통해서 다양한 안드로이드 악성파일 유포 현황을 실시간 모니터링하고, 새롭게 발견된 안드로이드 악성파일을 신속하게 nProtect Mobile for ANDROID 제품에 치료 기능을 수시로 업데이트하고 있다. 

▣ 실제 사례

다음은 실제 중국에서 운영중인 안드로이드 마켓의 일부 화면이며, 사용자들에게 인기가 많은 다양한 애플리케이션이 공개된 것을 확인할 수 있다. (악성파일의 직간접적인 유포지 공개를 엄격하게 제한하기 위해서 부분적으로 모자이크 처리를 하였다.)

 

 
대부분은 정상적인 안드로이드 프로그램이지만, 일부 악성파일이 아무런 제약없이 정상 애플리케이션과 함께 사용자의 다운로드를 기다린다.

사용자가 특정 앱을 선택하게 되면, 다음과 같이 별도의 다운로드 서비스를 제공하는 정상적인 인터넷 주소로 이동하게 된다.


해당 웹 페이지에 존재하는 QR(Quick Response) 코드를 이용해서 스마트폰에서 직접 다운로드 및 설치가 가능하며, 웹 페이지에 있는 다운로드 기능을 통해서도 컴퓨터에 쉽게 받을 수 있도록 구성되어 있다.


다운로드가 된 악성파일은 변종이 다수 존재하는 KungFu 종류로 확인되었으며, 다음과 같이 다양한 단말기 정보 등을 수집 시도한다.

- IMEI (Device ID)
- IMSI (Sim Serial Number)
- 전화번호 (Line Number)
- 통신망 사업자 정보 (Network Operator Name)
- 단말기 제조사 및 모델명 (Brand Model)
- 안드로이드 SDK 버전 (Android OS Build Version)


수집된 단말기 및 개인정보는 해외의 특정 호스트로 사용자 몰래 전송을 시도하게 된다.


해당 악성파일은 nProtect Mobile for ANDROID 최신 버전에서 다음과 같이 무료로 진단/치료할 수 있다.


3. 마무리

현재 해외에서는 안드로이드 애플리케이션을 공유하는 커뮤니티와 블랙마켓 들이 매우 활발하게 운영되고 있고, 이러한 곳을 통해서 안드로이드용 악성파일이 꾸준히 은밀하게 유포되고 있다. 잉카인터넷 대응팀은 매주 수백종의 새로운 안드로이드 악성파일을 수집하고 신속하게 패턴 업데이트를 제공하고 있으므로, 사용자들은 최신으로 업데이트하여 정기적으로 검사를 수행하는 노력이 필요하다.


스마트폰 보안 위협으로부터 안전하기 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect