잉카인터넷 대응팀에서는 국외에서 유포된 수십만종 이상의 안드로이드 악성앱을 수집하여 대응 중에 있으며, 동시에 국내 이용자만을 특수하게 겨냥한 소액결제사기 목적의 안드로이드 기반 스마트폰 보안위협에 대한 원천차단 방지 기술을 이미 2012년에 확보한 상태이다.  잉카인터넷 대응팀은 이 기술을 적용한 스미싱(Smishing) 전용 차단솔루션을 개발완료하여 일반에 무료로 제공하며, 이를 통해 스미싱으로 인한 피해를 최소화할 수 있을 것으로 기대된다. 

기존에 국내에 공개되어 있는 일부 스미싱 탐지 제품들의 경우 최신 스미싱 문자를 정상적으로 탐지하지 못하거나, 스미싱이 아닌 일반적인 문자메시지를 포괄적으로 탐지하는 사례가 많아서 사용자 혼란과 오해가 발생할 가능성이 있다.

그러나 잉카인터넷 대응팀이 개발한 솔루션은 작년부터 최근까지 국내에서 자체 발견한 1,000종 이상의 국내 맞춤형 스미싱 형태를 실제 분석한 데이터를 기반으로 하고 있어, 기존에 알려져 있지 않았던 신종 스미싱 문자메시지까지도 자동으로 분석하고 탐지할 수 있도록 개발하였다
.

"뭐야 이 문자" 앱은 Google Play Store를 통해 앱을 다운로드를 할 수 있다.

◈ "뭐야 이 문자" 무료 다운로드 URL
https://play.google.com/store/apps/details?id=com.nprotect.antismishing


 

[주의]구글코드 사이트를 이용한 안드로이드 스미싱 사기형!
http://erteam.nprotect.com/411

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377


하기 화면은 잉카인터넷 대응팀에서 실시간으로 수집 중인 실제 스미싱 문자메시지 화면과 분석자료이다.


특히, 최근들어 탐지를 우회하기 위한 목적으로 사용 중인 URL Obfuscation 기법과 Multi URL Shortener 등에 대한 분석기능까지 탑재하고 있어, 스미싱이 유도하는 악성앱에 대한 감염을 원천적으로 차단할 수 있다.




현재까지 국내에서 발견되고 있는 안드로이드 기반 스마트폰 보안위협은 대부분 문자메시지(SMS/MMS)를 통해 전파 중에 있다. 물론 구글 플레이 공식마켓이나 서드파티 마켓 등을 통한 악성앱 유포방식도 존재하지만, 국내에선 문자메시지(SMS)를 통한 감염 유도수법이 가장 널리 악용되고 있다.

※ 스미싱(Smishing) = 문자메시지(SMS) + 피싱(Phishing)

한국 맞춤형으로 발생하고 있는 대표적인 스미싱 사기유형은 다음과 같다.


잉카인터넷 대응팀에서 개발한 스미싱 차단방지 솔루션은 그동안 한국내에서 발생한 최신 악성앱과 자체 보유한 수십만종의 외산 악성앱 등 최상위 수준의 악성 데이터베이스(DB)를 기반으로 자체 분석기술 및 모바일 보안관제 능력 등이 종합적으로 활용되었다. 이는 안드로이드 악성앱의 단순 설치권한 등을 체크하는 방식이 아니기 때문에 유사패턴 오진의 위험성을 최소화하였고, 신변종 스미싱 탐지의 실효성을 증대시켰다.

기존 모바일 백신제품들은 알려진 국내외 악성앱을 탐지하도록 제작되어 있어 상대적으로 많은 리소스가 필요하지만, 이번에 개발된 스미싱 차단방지 솔루션은 국내에서 발견되고 있는 한국맞춤형 악성앱을 전문적으로 차단하도록 개발되었다. 특히, 실시간 감시의 부담을 최소화하는데 포커스를 맞춰 최대한 경량화하였고, 배터리 소모량과 리소스 점유에 대한 문제를 해소하여 스미싱 전용 보안솔루션으로서 이용자 편의성 및 보안성 증대에 크게 기여할 수 있을 것으로 예상된다.

더불어 그동안 발견된 악성앱의 악위적 행동코드를 종합하여, 악성 문자메시지가 유입되는 과정에서 스미싱 행위를 1차 판단하고, 유입 이전 시점에 사전차단이 가능하도록 설계하였다. 아울러 혹시라도 알려지지 않은 유사 공격수법이 등장할 경우를 대비해 악성 패턴 기반 기술로 새로운 악성앱도 신속하게 추가탐지할 수 있도록 입체적 대응기술도 적용하였다. 이러한 스미싱 원천차단방지 솔루션은 일반인들에게 전면 무상으로 배포하며, 안드로이드 스마트폰 이용자들의 보안수준을 한 단계 향상시켜주어 현재 사회적 문제로 가중되고 있는 소액결제사기범죄 및 모바일 디도스 등의 혼란을 최소화하는데 조금이나마 도움이 될 것으로 기대한다.

또한, 보안솔루션이라는 거부감을 최소화하고, 이용자들이 좀더 친근감을 느낄 수 있도록 인터페이스를 구성하였으며, 최신 보안정보를 실시간으로 확인해 볼 수 있도록 제작되었다. 아래 화면은 Splash Image 이다.


메인 화면은 문자메세지 사기감시와 악성앱 동작감시 기능 등으로 구성되어 있으며, 사용자가 손쉽게 ON/OFF 를 설정할 수 있다. 또한, 잉카인터넷 대응팀의 최신 보안 트랜드를 손쉽게 확인해 볼 수 있다.


프로그램이 작동된 이후에 악성 스미싱 문자메시지가 수신되면 다음과 같이 문자메시지 탐지화면과 [삭제·신고], [허용] 선택을 할 수 있다.


[삭제·신고] 버튼을 클릭하게 되면 수신된 악성문자 메시지를 삭제하며, 다음과 같이 잉카인터넷 대응팀(erteam@inca.co.kr)으로 해당 문자메시지를 간단하게 신고할 수 있고, 신고를 통해서 수집된 악성문자 메시지는 유관기관 등에 공유되어, 유포지 서버 차단 등의 목적으로 활용된다.


또한, 악성앱 동작감시 기능을 통해서 기존에 널리 알려져 있는 유사한 변종의 악성앱이 설치될 경우 다음과 같이 악성앱 발견 기능이 작동된다. 이를 통해서 문자메세지 외에 다양한 방식의 악성앱 설치 여부를 탐지하고 예방할 수 있다.


잉카인터넷 대응팀은 각종 모바일 보안위협을 철저하게 분석하고 대응해 나가고 있으며, 원천적으로 차단할 수 있는 제도적 보안시스템을 강화하고 있다.

더불어 문자메시지 뿐만 아니라 웹 사이트 등이나 앱 마켓 등을 통해서도 악성앱 변종이 꾸준히 발견되고 있기 때문에 이용자들은 nProtect Mobile for Android 제품을 이용해서 변종 악성앱에 대한 진단 및 치료가 가능하다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
2010년 10월 13일 오전 7시 30분경 해외 온라인 결제, 송금 서비스로 잘 열려진 PayPal(https://www.paypal.com/)에서 발송한 것 처럼 위장한  이메일이 국내에 유입된 것이 확인되었으므로, 인터넷 사용자분들의 각별한 주의가 요망됩니다.

해외 보안업체에서도 관련 유사 피싱 메일 정보를 공개하고 있는데, 다양한 형태로 제작되어 유포가 이루어지고 있는 것으로 추정됩니다.


해당 이메일의 본문에는 수신자의 신용카드 정보 변경과 관련하여, 사용자로 하여금 본문에 포함되어 있는 가짜 PayPal 도메인 링크를 클릭하도록 유도합니다.

이메일 형태는 다음과 같습니다.

제목 :
Your credit card information has been changed

내용 :

Your credit card information has been changed.

On October 12, 2010, your credit card has been removed from your PayPal account.

You are receiving this email notification because this email address is listed as the administrative contact email for your PayPal account. If you belive this is an error, click the link below, log in to your PayPal account and follow the instructions.

https://www.paypal.com.au/cgi-bin/helpweb?cmd=_help

Please do not reply to this email. This mailbox is not monitored and you will not receive a response.

Sincerely,
PayPal

----------------------------------------------------------------

PayPal Email ID PP330

첨부파일은 존재하지 않으며, 본문에 포함되어 있는 링크 클릭을 유도합니다.


링크는 마치 paypal.com 도메인처럼 위장하고 있지만, 실제로는 다른 사이트로 연결되도록 구성되어 있습니다.

사용자가 링크 주소를 클릭하면 다음과 같이 가짜 PayPal 사이트로 연결됩니다.


사용자가 해당 사이트에서 PayPal 계정에 로그인을 시도할 경우 사용자 정상적인 로그인 절차처럼 보여지는 가짜 화면이 나타납니다.


그런 다음에 다음과 같이 사용자의 각종 개인정보와 신용 카드 정보 등을 입력하도록 유도하는 내용을 보여주게 됩니다.


사용자가 정보를 입력한 후 Confirm 버튼을 클릭하게 되면 개인 정보가 외부로 유출 시도되며, 다음과 같이 성공적으로 정보가 전송되었다는 완료 내용을 보여준 후 실제 PayPal 사이트로 연결시켜 줍니다.


마지막으로 정상적인 PayPal 사이트로 연결시켜 주어 사용자로 하여금 최대한 신뢰하게 만들고, 입력한 정보가 외부로 유출되었다는 것을 의심하지 않도록 만들어 줍니다.


이처럼 유명 사이트 등에서 보낸 내용처럼 교묘하게 위장한 피싱 메일이 지속적으로 등장하고 있습니다. 인터넷 사용자들은 이러한 메일에 현혹되어 쉽게 개인 정보를 입력하지 않도록 주의하며, 만약에 이러한 정보를 목격했을 경우 phishing@krcert.or.kr 등으로 신고해서 도움을 받으시면 좋겠습니다.





저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect