1. 스미싱을 통한 개인정보 중국 이메일로 유출


잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 겨냥한 스미싱 사기범들이 개인정보 및 문자메시지(SMS) 수집 방식을 웹 서버에서 중국 무료 웹메일 서비스로 변경한 것을 다수 발견하였다. 웹 서버 기반의 정보수집 방식은 명령제어(C&C) 서버의 IP주소 차단을 통해서 조기에 무력화될 수 있다. 그렇다보니 공격자들은 노출된 서버의 IP 주소를 꾸준히 변경하거나 새로운 서버를 구축하여 사용하였다. 스미싱 공격자 측면에서는 자신들이 운영하는 서버가 국내에서 접속이 차단되는 것을 원하지 않기 때문에 웹 서버 방식에서 웹 메일 서비스 방식으로 교체하였고, 웹 서버를 구축하여 운용하는 것 보다 무료 웹 메일 서비스를 이용하는 방식이 상대적으로 편리하고 유용했기 때문인 것으로 해석된다.

이에 잉카인터넷 대응팀은 현실적으로 무료 웹 메일의 도메인 접속 자체를 차단하는건 무리가 있어 악성앱에 포함되어 있던 이메일 계정의 접속차단을 시켰지만, 스미싱 범죄자들은 자신의 계정이 변경되지 않도록 보호장치를 추가하는 등 갈수록 지능화되고 있는 추세이다. 특히, 조사과정 중 공격자가 스미싱 범죄를 하기 위해서 모의로 사전 테스트한 내용과 일부 신상정보의 정황으로 보아 중국내 거주하는 한국인이거나 조선족으로 의심된다.

2. 스미싱 악성앱 정보

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
http://erteam.nprotect.com/428

[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
http://erteam.nprotect.com/425

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
http://erteam.nprotect.com/426

[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
http://erteam.nprotect.com/424

[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가

http://erteam.nprotect.com/422

[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견

http://erteam.nprotect.com/420

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

스미싱용 문자메시지는 다음과 같이 결혼식과 관련된 내용으로 위장하여 불특정다수에게 전파되었다. 더불어 공격자는 이미 문자 수신 대상자들에 대한 개인정보(주민번호, 전화번호 등)를 다수 보유하고 있는 상태로 악성앱 설치를 유도하게 된다.


스미싱용 문자메시지에 포함되어 있는 단축 URL 주소를 클릭하게 되면 악성앱(APK)이 이용자 단말기에 다운로드된다. 그 다음에 이용자가 해당 앱을 클릭하여 설치를 계속 진행하면 다음과 같이 연락처, 문자메시지, 인터넷, 휴대폰 정보 등의 민감한 기능에 접근하는 권한요구 화면을 볼 수 있게된다. 안드로이드 스마트폰 이용자들은 특정앱을 설치할 때 다음과 같은 정보들을 요구하는 앱을 볼 경우 악성앱에 노출될 수 있으므로, 각별히 주의하는 습관이 필요하다.


[설치]버튼을 클릭하면 기기관리자 기능 실행여부를 물어보고, 실행할 경우 이용자가 악성앱을 쉽게 삭제하지 못하도록 방해하게 된다. 이 부분은 기기관리자 기능을 통해서 사용자가 해제할 수 있다.


악성앱이 정상적으로 설치되면 이용자의 전화번호부와 문자메시지 등을 수집하여 중국의 특정 웹 메일 주소로 이용자 몰래 발송하게 된다.

다음 화면은 실제 악성앱의 내부코드 화면으로 문자메시지 내용 등을 이메일로 발송하는 것을 확인할 수 있다.


스미싱 범죄자는 중국 웹 메일 서비스(163.com)에 계정을 생성하고, 악성앱에 감염된 사용자들의 정보를 수집하도록 만들어 두었다.


악성앱에 감염되면 개인정보 유출과 함께 다음과 같이 범죄자에 의해서 다수의 휴대폰 소액결제사기 피해를 입게 된다. 아래는 극히 일부의 피해현황이며, 실제로 엄청난 양의 피해가 발생하고 있는 상황이다.
 


악성앱 제작자는 자신의 스마트폰 단말기를 이용해서 악성앱이 정상적으로 정보를 유출하는지 모의 테스트를 수행했으며, 그로 인해서 이메일에는 제작자의 스마트폰 정보가 고스란히 남아 있다.



3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


 

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat

 


저작자 표시
신고
Posted by nProtect
잉카인터넷 대응팀에서는 국외에서 유포된 수십만종 이상의 안드로이드 악성앱을 수집하여 대응 중에 있으며, 동시에 국내 이용자만을 특수하게 겨냥한 소액결제사기 목적의 안드로이드 기반 스마트폰 보안위협에 대한 원천차단 방지 기술을 이미 2012년에 확보한 상태이다.  잉카인터넷 대응팀은 이 기술을 적용한 스미싱(Smishing) 전용 차단솔루션을 개발완료하여 일반에 무료로 제공하며, 이를 통해 스미싱으로 인한 피해를 최소화할 수 있을 것으로 기대된다. 

기존에 국내에 공개되어 있는 일부 스미싱 탐지 제품들의 경우 최신 스미싱 문자를 정상적으로 탐지하지 못하거나, 스미싱이 아닌 일반적인 문자메시지를 포괄적으로 탐지하는 사례가 많아서 사용자 혼란과 오해가 발생할 가능성이 있다.

그러나 잉카인터넷 대응팀이 개발한 솔루션은 작년부터 최근까지 국내에서 자체 발견한 1,000종 이상의 국내 맞춤형 스미싱 형태를 실제 분석한 데이터를 기반으로 하고 있어, 기존에 알려져 있지 않았던 신종 스미싱 문자메시지까지도 자동으로 분석하고 탐지할 수 있도록 개발하였다
.

"뭐야 이 문자" 앱은 Google Play Store를 통해 앱을 다운로드를 할 수 있다.

◈ "뭐야 이 문자" 무료 다운로드 URL
https://play.google.com/store/apps/details?id=com.nprotect.antismishing


 

[주의]구글코드 사이트를 이용한 안드로이드 스미싱 사기형!
http://erteam.nprotect.com/411

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377


하기 화면은 잉카인터넷 대응팀에서 실시간으로 수집 중인 실제 스미싱 문자메시지 화면과 분석자료이다.


특히, 최근들어 탐지를 우회하기 위한 목적으로 사용 중인 URL Obfuscation 기법과 Multi URL Shortener 등에 대한 분석기능까지 탑재하고 있어, 스미싱이 유도하는 악성앱에 대한 감염을 원천적으로 차단할 수 있다.




현재까지 국내에서 발견되고 있는 안드로이드 기반 스마트폰 보안위협은 대부분 문자메시지(SMS/MMS)를 통해 전파 중에 있다. 물론 구글 플레이 공식마켓이나 서드파티 마켓 등을 통한 악성앱 유포방식도 존재하지만, 국내에선 문자메시지(SMS)를 통한 감염 유도수법이 가장 널리 악용되고 있다.

※ 스미싱(Smishing) = 문자메시지(SMS) + 피싱(Phishing)

한국 맞춤형으로 발생하고 있는 대표적인 스미싱 사기유형은 다음과 같다.


잉카인터넷 대응팀에서 개발한 스미싱 차단방지 솔루션은 그동안 한국내에서 발생한 최신 악성앱과 자체 보유한 수십만종의 외산 악성앱 등 최상위 수준의 악성 데이터베이스(DB)를 기반으로 자체 분석기술 및 모바일 보안관제 능력 등이 종합적으로 활용되었다. 이는 안드로이드 악성앱의 단순 설치권한 등을 체크하는 방식이 아니기 때문에 유사패턴 오진의 위험성을 최소화하였고, 신변종 스미싱 탐지의 실효성을 증대시켰다.

기존 모바일 백신제품들은 알려진 국내외 악성앱을 탐지하도록 제작되어 있어 상대적으로 많은 리소스가 필요하지만, 이번에 개발된 스미싱 차단방지 솔루션은 국내에서 발견되고 있는 한국맞춤형 악성앱을 전문적으로 차단하도록 개발되었다. 특히, 실시간 감시의 부담을 최소화하는데 포커스를 맞춰 최대한 경량화하였고, 배터리 소모량과 리소스 점유에 대한 문제를 해소하여 스미싱 전용 보안솔루션으로서 이용자 편의성 및 보안성 증대에 크게 기여할 수 있을 것으로 예상된다.

더불어 그동안 발견된 악성앱의 악위적 행동코드를 종합하여, 악성 문자메시지가 유입되는 과정에서 스미싱 행위를 1차 판단하고, 유입 이전 시점에 사전차단이 가능하도록 설계하였다. 아울러 혹시라도 알려지지 않은 유사 공격수법이 등장할 경우를 대비해 악성 패턴 기반 기술로 새로운 악성앱도 신속하게 추가탐지할 수 있도록 입체적 대응기술도 적용하였다. 이러한 스미싱 원천차단방지 솔루션은 일반인들에게 전면 무상으로 배포하며, 안드로이드 스마트폰 이용자들의 보안수준을 한 단계 향상시켜주어 현재 사회적 문제로 가중되고 있는 소액결제사기범죄 및 모바일 디도스 등의 혼란을 최소화하는데 조금이나마 도움이 될 것으로 기대한다.

또한, 보안솔루션이라는 거부감을 최소화하고, 이용자들이 좀더 친근감을 느낄 수 있도록 인터페이스를 구성하였으며, 최신 보안정보를 실시간으로 확인해 볼 수 있도록 제작되었다. 아래 화면은 Splash Image 이다.


메인 화면은 문자메세지 사기감시와 악성앱 동작감시 기능 등으로 구성되어 있으며, 사용자가 손쉽게 ON/OFF 를 설정할 수 있다. 또한, 잉카인터넷 대응팀의 최신 보안 트랜드를 손쉽게 확인해 볼 수 있다.


프로그램이 작동된 이후에 악성 스미싱 문자메시지가 수신되면 다음과 같이 문자메시지 탐지화면과 [삭제·신고], [허용] 선택을 할 수 있다.


[삭제·신고] 버튼을 클릭하게 되면 수신된 악성문자 메시지를 삭제하며, 다음과 같이 잉카인터넷 대응팀(erteam@inca.co.kr)으로 해당 문자메시지를 간단하게 신고할 수 있고, 신고를 통해서 수집된 악성문자 메시지는 유관기관 등에 공유되어, 유포지 서버 차단 등의 목적으로 활용된다.


또한, 악성앱 동작감시 기능을 통해서 기존에 널리 알려져 있는 유사한 변종의 악성앱이 설치될 경우 다음과 같이 악성앱 발견 기능이 작동된다. 이를 통해서 문자메세지 외에 다양한 방식의 악성앱 설치 여부를 탐지하고 예방할 수 있다.


잉카인터넷 대응팀은 각종 모바일 보안위협을 철저하게 분석하고 대응해 나가고 있으며, 원천적으로 차단할 수 있는 제도적 보안시스템을 강화하고 있다.

더불어 문자메시지 뿐만 아니라 웹 사이트 등이나 앱 마켓 등을 통해서도 악성앱 변종이 꾸준히 발견되고 있기 때문에 이용자들은 nProtect Mobile for Android 제품을 이용해서 변종 악성앱에 대한 진단 및 치료가 가능하다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

저작자 표시
신고
Posted by nProtect
1. 구글코드 사이트에 숨은 악성앱


잉카인터넷 대응팀은 국내에 전파 중인 스미싱(Smishing) 사기문자를 집중 모니터링하고 있다. 최근 그 수법이 진화에 진화를 거듭하고 있는데, 초기에 많이 사용되었던 모바일 이벤트 쿠폰 사칭방법은 다소 적어진 반면, 결혼식이나 동창회, 돌잔치 심지어는 법원 경매 강제집행 내용 등 스마트 폰 이용자들이 쉽게 현혹될 수 있는 문구가 사용되고 있다. 특히, 모바일 보안제품이나 유명 기업의 서비스처럼 위장한 형태가 증가하고 있어 이용자들의 각별한 주의가 요구된다.


★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

현재 스미싱 사기범죄는 휴대폰 소액결제사기형태가 주류를 이루고 있으며, 주로 안드로이드 운영체제 기반의 스마트폰 사용자가 표적이 되고 있다. 스미싱으로 발견되는 대부분의 악성파일은 APK 라는 안드로이드 악성앱 파일을 설치하도록 유도하고 있다는 점을 명심하고, 신뢰하기 어려운 문자메시지(SMS)를 수신할 경우 내부에 포함된 인터넷 주소로의 접근을 자제하는 보안습관이 중요하다. 특히, 최근에는 윈도우용 악성파일을 사용하는 제작자가 안드로이드 악성앱도 동시에 사용하고 있는 정황이 포착되는 등 사이버 범죄자들이 다양한 멀티 플랫폼을 사용하고 있다는 것을 증명하고 있다.

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[주의]스마트초이스 휴대폰 과다청구요금 미환급액조회 위장 스미싱
http://erteam.nprotect.com/403

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[주의]사이렌24 사칭, 주민번호 사용내역으로 스미싱 사기 진화
http://erteam.nprotect.com/397

[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
http://erteam.nprotect.com/389

[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
http://erteam.nprotect.com/386

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. 악성파일 관련정보

2013년 04월 15일에 국내 스마트폰 이용자들에게 배포된 스미싱 문자메시지 중에 구글코드 서비스로 연결되는 악성앱이 발견되었다. 이 악성앱은 Bit.ly 단축 URL 서비스를 이용하기도 하였고, 스미싱 문자내용처럼 조작된 유사 도메인을 사용하기도 하였다. 최종 연결되는 사이트는 다음과 같이 악성파일 유포목적으로 만들어진 특정 구글코드 사이트로 접근하게 된다.

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.

hxxp://d*******.googlecode.com/*****/R.23.6688.apk
hxxp://b*****.googlecode.com/*****/R.27.550.apk

현재까지 두개의 구글코드 사이트가 확인된 상태이다. 일부 APK 안드로이드 악성앱의 경우 500 여명 이상이 다운로드한 상태로 추정된다.


이와 함께 해당 구글코드 사이트에는 "dkheitong.rar" 라는 파일도 존재하는데, 이것은 중국에서 만들어진 Backdoor 종류의 하나인 DarkShell 악성프로그램이다.

구글코드 관리자는 윈도우용 악성프로그램도 함께 사용하고 있다는 증거이며, 다양한 사이버 범죄에 악용될 수 있다.


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS


저작자 표시
신고
Posted by nProtect

1. 맥도날드 빅맥버거셋트 할인쿠폰 위장 기승


잉카인터넷 대응팀은 안드로이드 기반 스마트폰 이용자들을 집중 겨냥한 소액결제 사기목적의 문자 메시지(SMS) 주의보를 여러차례 발령한 바 있다. 그런 와중에 근래들어 유사한 소액결제사기 피해자가 폭발적으로 급증하고 있어, 매우 각별한 주의가 요망된다. 최근들어 ▶맥도날드 빅맥버거셋트 할인쿠폰 ▶스타벅스 어플 설치하면 카페라떼 공짜 ▶CGV 앱 설치시 주말영화 티켓 50%할인 ▶피자헛 50% 모바일 할인권 ▶롯데리아 한우불고기셋트 사용쿠폰 등등으로 교묘히 패스트푸드나 영화, 유명 외식업체 등을 모방 사칭한 악성 문자메시지(SMS)가 국내 불특정 다수의 스마트폰 이용자들에게 무차별적으로 배포되고 있는 상황이다. 특히, 안드로이드 악성파일을 이용한 휴대폰 소액결제 사기는 명의자 본인 확인을 위한 결제 승인문자 자체가 실제 피해자의 스마트폰 문자메시지에서는 보여지지 않도록 숨겨지기 때문에 피해사실 자체를 바로 인지하거나 즉시 대처하기란 현실적으로 쉽지 않다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

이 때문에 안드로이드 기반 사이버 범죄자들은 이러한 점을 역이용해서 불법적인 금전적 이득을 꾸준히 취하고 있는 매우 심각한 상황이다. 이러한 소액결제 사기는 악성파일 제작자들이 정상적인 승인절차를 이용하고 있기 때문에 선의의 피해자들에 대한 피해구제도 쉽지 않고, 악순환이 지속되고 있는 실정이다. 따라서 이용자들은 문자메시지로 수신된 쿠폰이나 이벤트 내용에 쉽게 현혹되지 않도록 주의가 필요하며, 단축URL 주소를 무심코 클릭하지 않는 보안습관이 필요하다. 더불어 모바일용 Anti-Virus 제품의 실시간 감시 등을 활성화하는 등 적극적인 차단과 예방 노력이 절실하다.

[주의]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
http://erteam.nprotect.com/394

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377


맥도날드 쿠폰으로 사칭한 소액결제 사기용 문자 메시지 피해가 증가하면서, 맥도날드 홈페이지에서는 아래와 같이 피해를 최소화하고, 예방차원의 주의 및 안내용 공지사항을 홈페이지에 접속한 고객들에게 제공하고 있다.


2. 악성파일 감염용 문자메시지(SMS) 정보

최근들어 아래와 같은 안드로이드 악성앱을 설치시키는 문자메시지가 다양하게 전파되고 있으므로, 안드로이드 기반 스마트폰 이용자들은 다음 사례를 유심히 살펴보고 비슷한 문자메시지나 유사한 소액결제범죄에 현혹되지 않도록 각별히 주의를 해야 한다.

잉카인터넷 대응팀의 보안관제 중 가장 많이 발견되고 있는 문자메시지는 다음과 같고, 계속해서 변형된 문자들이 지속적으로 수집되고 있다.

★맥도날드★
빅맥버거셋트 사용쿠폰 도착!
(전지역이용가능)
http://tiny.cc/생략





이외에도 스타벅스, 다빈치커피, 도미노피자, 베스킨라빈스, 비비큐치킨, 카페베네 등 매우 다양한 방식으로 위장하여 안드로이드 악성파일을 전파시키고 있다는 점에서 스마트폰 이용자들의 세심한 주의가 요구된다.

좀더 자세한 내용은 아래 링크를 통해서 확인해 볼 수 있다.

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

문자메시지(SMS)에 포함되어 있는 단축URL 을 클릭하여 악성앱(APK) 파일을 설치하게 되면 이용자에게 전송되는 승인결제용 문자메시지를 이용자에게 보여지지 않도록 조작한 후, 악의적인 사기범죄자들에게 몰래 전송하게 된다.

아래 화면은 실제로 결제대행업체에서 발송하는 승인문자 이지만 안드로이드 악성파일로 인해서 사용자에게 보여지지 않는다.


이 문자메시는 사기 범죄자들에 의해서 가로채기 되며, 승인번호를 입력하여 불법적으로 소액결제 승인을 완료하게 된다. 그 이후에 구매한 게임아이템이나 사이버머니 등을 다시 현금화하는 과정을 거쳐 금전적 이득을 챙기게 된다.

다음 화면은 이러한 소액결제 문자메시지로 인해서 피해를 입은 사용자의 실제 소액결제 내역이다. 보통 최대 30만원까지 적지 않은 금액의 피해로 이어지고 있는 매우 심각한 상황이다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(isarc@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


저작자 표시
신고
Posted by nProtect
1. SMS 단축URL과 안드로이드 악성앱 이용한 공공의 적


그동안 ▲구글코리아 ▲카카오 업데이트 ▲V3모바일 ▲복지알림이 ▲알약모바일 ▲발렌타인데이 제과점 및 외식업체 쿠폰 등 다양한 이벤트 형태로 사칭한 한국 맞춤형 모바일 DDoS 및 소액결제 과금 유발형 안드로이드 악성앱들에 대한 공격사례를 업계 최초로 여러차례 공개한 바 있다. 그에 따라 관계기업이나 기관, 언론 등을 통해서 다수의 주의보가 발령되기도 하였다. 특히, 잉카인터넷 대응팀은 보안 사각지대에 놓여 있던 안드로이드 보안위협에 대한 다양한 실체와 현상을 신속히 진단하고 사회적 문제로 대두되고 있는 현실을 구체적 사례 기반의 정보로 꾸준히 알리고 있는 선봉장 역할을 수행하고 있다. 이런 가운데 연말정산 환급금 신청기간과 즈음하여 납세자 연맹으로 위장하고, 마치 누락된 국세청 연말정산의 환급금 도우미 신청내용으로 가장한 문자메시지(SMS)가 살포된 정황을 추가 포착하였다. 

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

이번에도 사회분위기와 사용자의 심리를 교묘하고 적절히 악용하여 이용자 스스로 안드로이드 악성앱을 설치하도록 유인하였다. 만약 악성앱에 감염이 되면 사이버 범죄자들에 의해서 최대 30만원 상당의 휴대폰 소액결제 피해를 입을 수 있으므로. 연말정산을 이용하는 직장인들의 각별한 주의가 필요하다. 아울러 과거 연말정산 환급금 신청에 실제로 한국 납세자 연맹의 환급 도우미 서비스가 제공된 바 있었기 때문에 만에하나 유사한 수법의 사기문자를 목격할 경우 절대 단축URL 주소를 클릭하지 말아야 한다. 이처럼 하루가 다르게 변모하고 있는 스마트 시대에 상상하기 어려울 정도로 빠르게 직면한 안드로이드 보안위협은 이제 남의 일로만 치부하기엔 너무 늦었다는 점을 반드시 명심해야 한다.

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[주의]안드로이드 전용 모바일 보안업데이트로 가장한 좀비폰 미끼
http://erteam.nprotect.com/387

[주의]허위 햄버거 할인쿠폰 및 이벤트 문자메시지(SMS)의 역습
http://erteam.nprotect.com/386

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

2. 연말정산 환급금 도우미로 둔갑한 지능화된 소액결제사기

이번에 발견된 문자메시지는 다음과 같이 납세자연맹 누락된 국세청 연말정산 환급금 환급도우미로 신청하세요라는 문구와 함께 구글 단축 URL 주소를 포함하고 있는데, 문자에 포함된 단축 URL 주소를 클릭할 경우 악성앱이 있는 사이트로 접근하게 된다.

 


문자메시지에 포함된 구글 단축URL 주소를 클릭하면 해외 Dropbox 파일공유 사이트에 등록되어 있는 "smartbilling.apk" 악성앱 파일이 다운로드 시도된다.


APK 파일 내부에는 아래와 같이 다양한 방식의 앱으로 위장할 때 사용하기 위한 목적의 아이콘 리소스가 포함되어 있고, 한국납세자연맹 아이콘이 가장 최근에 포함된 최신 변종이다.


다운로드 완료 후에 사용자가 해당 APK 파일을 실행하면 다음과 같이 한국납세자연맹 아이콘과 글자로 위장한 악성앱의 설치 진행여부를 묻는 화면이 나온다. 기존 소액결제 사기앱(KRSpammer)들과 동일하게 문자메시지(SMS)를 수신하거나 인터넷 기능을 사용하는 등 악의적인 목적의 권한을 다수 사용하는 것을 확인할 수 있다.

 


최종적으로 [설치] 버튼을 클릭하게 되면 아래와 같이 설치가 완료되며, 스마트폰 단말기에도 악성 앱 아이콘이 추가 등록된다.

 



사용자가 정상적인 앱으로 착각하여 한국납세자연맹 아이콘을 클릭하여 실행하면 아래와 같이 고의로 조작된 가짜 에러화면과 내용을 보여주고, 마치 이용자폭증으로 인한 일시적인 접속에러로 보이도록 속이게 한다.

하지만 아래 내용은 단순히 사용자가 착각하게 만드는 과정이고, 악성앱을 전파시킨 사이버 범죄자는 감염된 이용자의 명의와 신분을 도용하여 게임관련 사이트 등에서 정상적인 소액결제를 수행하고 전송되는 승인문자를 은밀히 가로채어 실제 휴대폰 이용자에게 소액결제 과금을 전가시키는 사기피해를 입히게 된다. 

Error!
Error Code: [Error]현재
이용자폭증으로 인하여
접속불가능하오니 잠시 후에 다시
접속해 주시기 바랍니다.


3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨 것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 해당 이동통신사에 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (
www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


저작자 표시
신고
Posted by nProtect
1. 한국 맞춤형 Mobile DDoS 악성파일 활개


잉카인터넷 대응팀은 스마트폰용 모바일 서비스로 유명한 카카오(kakao) 업데이트와 관련된 내용으로 사칭한 안드로이드 악성파일이 2013년 01월 21일부터 국내에 다수 전파 중인 정황을 포착하였다. 악성파일은 기존의 KRFakePk 변종으로 DDoS 기능을 가진 대표적인 안드로이드 악성파일이다. 최근까지 변종이 꾸준히 제작되고 있으며, 국내 스마트폰 이용자들에게 문자메시지(SMS)로 전파되고 있어 각별한 주의가 필요하다. 특히, 한국내 이용자들을 주요 표적으로 Zombie Smart Phone Bot-Net 구성 목적의 공격이 감행되고 있다는 점에 주목된다. 좀비 스마트폰을 이용할 경우 GPS 기반의 이동형 위치 DDoS 공격이 가능하기 때문에 탐지 및 방어에 어려운 문제가 발생할 수 있다.

예를들면 특정 웹 서버가 운영중인 인터넷 데이터 센터(IDC) 주변의 좀비폰만을 이용해서 위치기반 공격을 한다거나 위치별 좀비폰 그룹화를 통해서 동시다발적인 이동통신 네트워크 망 서비스 거부공격을 한다거나 하는 공격 시나리오를 예상해 볼 수 있다. 이렇듯 Mobile 기반의 DDoS 공격은 기존의 PC기반 DDoS 공격과 다소 차별화된 특성을 이용한 특수공격을 수행할 수 있다.      



[주의]안드로이드 전용 모바일 보안업데이트로 가장한 좀비폰 미끼
http://erteam.nprotect.com/387

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협
http://erteam.nprotect.com/382

[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가
http://erteam.nprotect.com/368

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[주의]롯데리아 앱 위장 KRSpammer 변종 출현!
http://erteam.nprotect.com/361

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

2. 악성파일 정보

KRFakePK 악성파일은 기존에 구글 코리아와 폰키퍼, V3 모바일 보안제품 등으로 위장하여 국내에 집중적으로 유포된 바 있다.


이번에는 국내에서 널리 알려져 있는 카카오(kakao) 서비스로 위장해서 스마트폰 이용자들을 현혹시키고 있다는 점이 특징이다.

불특정 다수의 국내 스마트폰 이용자들에 아래와 같은 단문 문자메시지(SMS)가 전파되었고, 문자에 포함되어 있는 구글 단축 URL 서비스를 이용해서 사용자 클릭을 유도한다.

kakao 1월21일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://184.(생략).126/google.apk

kakao 1월25일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://192.(생략).132/Android.apk

kakao 1월27일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://ila.kr/생략 -> http://184.(생략).126/google.apk

kakao 1월29일 업데이트 했습니다.
새로운 버전 설치해주세요
http://goo.gl/생략

http://goo.gl/생략 -> http://ila.kr/생략 -> http://184.(생략).126/google.apk


일부 문자메시지(SMS)의 경우 아이폰(iOS) 이용자에게도 발송되었는데, 해당 악성파일은 안드로이드(Android OS) 기반의 악성파일이기 때문에 안드로이드 단말기 사용자에게만 영향을 미치게 되고, 아이폰 사용자는 단축 URL 주소의 링크를 클릭해서 파일을 실행하더라도 악성파일에 감염되지는 않는다.


구글 단축 URL 주소는 ila.kr 단축 주소 서비스로 연결되고, 다시 미국의 특정 서버로 연결된다. 이처럼 단축 URL 주소 서비스를 2중으로 사용한 경우는 처음으로 확인됐다.

공격자는 자신이 사용하는 단축 URL 주소 서비스가 지속적으로 차단되자, 다양한 방식을 시도하는 것으로 추정된다.

최종적으로 설치되는 "google.apk" 악성파일은 미국의 특정 서버에 등록되어 있고, 악의적인 기능을 수행하게 된다. 기존까지 변종은 모두 중국쪽 서버 IP 주소를 이용했고, 잉카인터넷 대응팀은 블로그를 통해서 해당 IP 대역폭에 대한 차단필요성을 언급한 바 있다. 이후 공격자는 IP 대역폭을 기존과 다르게 적용하기 시작했다.

- 103.21.208.0 ~ 103.21.211.255

유포지에 대한 IP주소 및 관련정보는 한국인터넷진흥원(KISA) 상황실에 신속하게 공유된 상태이다.


문자 메시지는 카카오(kakao)와 관련된 내용이지만 전파중인 악성파일은 "google.apk" 파일이며, 설치되면 다음과 같이 구글 앱스토어로 위장되어 작동된다.



설치된 App Store 아이콘을 실행하게 되면 실제 구글 플레이 마켓으로 연결하여 마치 정상적인 앱처럼 보이도록 조작한다. 이를 통해서 사용자가 악성 앱을 삭제하지 않도록 하며, 공격자의 명령을 대기하는 잠복기(Bot)에 들어가게 된다.


해당 악성 앱은 기존 변종과 동일하게 DDoS 기능을 보유하고 있는 것으로 파악된 상태이기 때문에 공격자는 꾸준히 좀비폰을 양산하기 위한 시도를 진행 중인것으로 예상된다.

아래 화면은 이번에 카카오 업데이트 문자로 위장하여 전파된 악성파일이 보유하고 있는 DDoS 공격 기능 코드부분이다.

 
3. 대응방법

대부분의 안드로이드 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하거나 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

* 대표 진단명 변경 Trojan/Android.KRFakePK -> Trojan/Android.KRDDoS
 
- Trojan/Android.KRFakePK.A (폰키퍼 위장)
- Trojan/Android.KRFakePK.B (구글 서비스 위장)
- Trojan/Android.KRFakePK.C (구글 서비스 위장)
- Trojan/Android.KRFakePK.D (구글 서비스 위장)
- Trojan/Android.KRFakePK.E (구글 서비스 위장)
- Trojan/Android.FakeV3.B (V3 제품 위장)
- Trojan/Android.FakeV3.C (V3 제품 위장)
- Trojan/Android.KRFakePK.F (카카오 및 구글 서비스 위장)
- Trojan/Android.KRFakePK.G (카카오 및 구글 서비스 위장) 외 다수

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.


2013년 01월 30일 변종 추가 발견 (#Update 04)

다음과 같이 마치 114(이동통신사 고객지원센터) 발신자 번호로 위장하여 문자 메시지(SMS)로 변종이 다량 전파 중에 있다.

[긴급]안드로이드전용 모바일 보안업데이트
링크클릭
http://goo.gl/생략


악성파일은 "app8.apk" 파일이 전파되고 있고, V3 Mobile Plus 2.0 제품처럼 위장하고 있다. 이렇게 위장한 경우는 2013년 01월 24일 잉카인터넷 대응팀이 최초 보고한 바 있다.

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협
http://erteam.nprotect.com/382


저작자 표시
신고
Posted by nProtect

1. 개 요

 

 잉카인터넷 대응팀은 최근 해외 웹 사이트에서 다량의 안드로이드 악성 애플리케이션이 제작되고 서버에 업로드 되어 있는 정황을 포착하였다. 해당 사이트에 업로드 되어 있는 안드로이드 애플리케이션들은 모두 동일한 재패키징 형태의 악성 애플리케이션이며, 이미 잉카인터넷에서는 모든 악성 애플리케이션에 대한 진단/치료 기능을 제공하고 있다. 업로드 되어 있는 악성 애플리케이션들은 대부분 채팅형 애플리케이션이거나 잘 알려진 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 감염될 수 있는 위험이 있다.

물론, 해당 애플리케이션은 러시아에서 제작되고 그 대상도 러시아 사용자들을 주 타겟으로 하고 있어 국내에서의 감염 피해는 크지 않을 것으로 판단된다.

다만, 최근 국내에서도 안드로이드 악성 애플리케이션이 정식 마켓을 통해 유포가 이루어지는 등 향후 보안 위협성이 상당히 큰만큼 사용자들은 안드로이드 애플리케이션의 다운로드 및 설치에 각별한 주의를 기울여야할 것으로 보인다.

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

2. 유포 경로 및 악성 애플리케이션 정보

아래의 그림은 현재 특정 해외 사이트에 대량으로 안드로이드 악성 애플리케이션이 업로드된 상태를 보여주고 있다.

 

해당 사이트의 하위경로에 모두 위와 같은 악성 애플리케이션들이 업로드되어 있으며, 손쉽게 코드상으로 해당 애플리케이션에 대한 추가적인 다운로드 및 설치를 유도할 수 있다. 업로드된 해당 악성 애플리케이션들은 모두 아래와 같은 패키지 코드가 동일하게 추가되어 있다.

추가적으로 등록된 위와 같은 패키지는 해당 악성 애플리케이션들이 실행됨과 동시에 특정 번호로 사용자 몰래 SMS 무단 발송을 시도하게 된다. 아래의 코드는 내부에 포함된 XML파일에서 SMS를 수신할 번호와 내용을 추출하여 무단 발송 시도하는 코드를 보여주고 있다.

또한, 업로드되어 있는 악성 애플리케이션들은 모두 재패키징된 형태의 악성 애플리케이션으로 실행화면이 아래의 그림과 같이 대부분 유사한 것이 특징이다.(유명 스마트폰 게임 등의 아이콘으로 위장한 경우도 있다.)

 


3. 마무리

이러한 재패키징 형태의 악성 애플리케이션들은 누구나 손쉽게 만들 수 있고 다량 제작도 가능하다. 또한, 정상적인 애플리케이션을 수정하여 재배포도 가능하기 때문에 상당히 보안상 취약할 수 있다. 문제는 현재 해외를 중심으로 이러한 재패키징 형태의 악성 애플리케이션이 무분별하게 제작되어 유포되거나 유포를 앞두고 있다는 것이다.

안드로이드 애플리케이션의 경우 다운로드시 일반 사용자들은 공식적인 구글 마켓을 이용할 수도 있고, 비공식적인 서드파티 마켓을 이용할 수도 있기 때문에 이러한 형태의 악성 애플리케이션이 국내에 유입되거나 제작이 이루어질 경우 감염 범위는 걷잡을 수 없이 늘어날 수 있을 것이다.

현재로서는 이러한 악성 애플리케이션들의 다운로드 차단 등의 수단은 한계가 있을 수 있다. 때문에 다양한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
 



 

저작자 표시
신고
Posted by nProtect

1. 개 요


최근 해외에서 SMS Zombie로 일컬어지는 악성 애플리케이션이 발견되어 화제가 되고 있다. 악성 애플리케이션에 대한 스마트폰 보안 위협의 민감성이 약화되고 있는 시점에 중국에서는 약 50만대 가량의 단말기가 해당 악성 애플리케이션에 감염된것으로 추산되고 있으며, 이에 따른 막대한 금전적 손실이 있을것으로 예상되고 있다. 물론 해당 악성 애플리케이션은 중국의 안드로이드 OS기반 스마트폰 사용자만을 대상으로 동작하고 있는 만큼 국내에서 별다른 피해는 발생하지 않을 것으로 예상된다. 다만, 해외에서는 이미 금전적 이득을 목적으로 이러한 악성 애플리케이션의 실제 유포 및 감염 동작이 이루어지고 있다는 점에서 상당히 주목할만 하다고 할 수 있다.

  
2. 유포 및 감염 동작



해당 악성 애플리케이션은 아래의 그림과 같이 현재도 중국의 비공식 마켓 등을 통해서 유포가 이루어지고 있다.

위와 같은 비공식 마켓을 통해 다운로드 및 설치가 가능한 악성 애플리케이션은 실제로 SMS 무단 발송, 각종 정보 수집 등의 악성 동작을 하는 추가적인 악성 애플리케이션에 대한 설치를 유도하는 동작을 수행한다.

아래의 그림은 해당 악성 애플리케이션에 대한 설치 화면이다.

위 화면을 보면 설치 시 필요 권한이 나타나 있지 않고 설치 완료 후 "열기" 버튼도 비활성화 되어 있다. 이는 해당 악성 애플리케이션이 월페이퍼 형태로 제작되어 있고 기능 동작에 필요한 추가적인 권한은 메니페스트 정의가 아닌 코드상의 동적 등록 절차에 따른 것이다. 또한, 서비스로만 동작되기 때문에 별도의 런처가 등록되지 않아 "열기" 버튼도 활성화 되지 못한 것이다.

아래의 그림은 해당 악성 애플리케이션에 대한 AndroidManifest.xml 코드중 권한과 관련된 일부이다.

▶ Dropper 형태의 숙주 악성 애플리케이션 분석

해당 코드를 살펴보면 월페이퍼의 서비스 동작에 필요한 권한 이외에는 따로 등록된것이 없다. 결국 해당 악성 애플리케이션은 설치만으로는 스스로 동작하지 못하며, 아래의 그림과 같이 "배경화면" -> "라이브 배경화면"의 붉은색 월페이퍼를 선택해야 동작하게 된다.

위의 절차와 같이 해당 월페이퍼를 실행하면 아래의 그림과 같이 추가적인 애플리케이션 설치를 유도하는 AlertDialog가 화면에 출력된다.

위 그림의 오른쪽 버튼은 "취소", 왼쪽 버튼은 "확인" 버튼이다. 확인 버튼을 클릭하게 되면 아래의 그림과 같이 해당 악성파일 내부에 포함되어 있는 추가적인 파일의 설치를 시도하게 된다.

위 그림과 같이 해당 파일은 그림파일로 위장하고 있지만 실제로는 APK 파일이다. 결국 "확인" 버튼 클릭을 통해 그림파일로 위장된 추가적인 악성 애플리케이션의 설치가 진행될 수 있으며, Dropper 형태의 숙주 악성 애플리케이션의 악성 동작은 여기까지가 전부이다.

▶ 실제적인 악성 동작을 수행하는 추가적인 악성 애플리케이션 분석

아래의 그림은 내부에 포함되어 있던 추가적인 악성파일의 설치 화면이다.

해당 악성 애플리케이션 또한 서비스로만 동작되므로 위 그림과 같이 "열기" 버튼은 비활성화 되어 있다. 아래의 그림은 해당 악성 애플리케이션의 권한을 확인할 수 있는 AndroidManifest.xml 파일의 일부 코드이다.

설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같이 서비스로 로드되어 있는 것을 확인할 수 있다.

또한, 기기관리자 권한을 얻기 위해 아래의 그림과 같이 기기 관리자 활성화 창을 출력하게 된다.

위 그림과 같이 "활성화", "취소" 버튼이 모두 존재하고 있으나 실제로는 "활성화" 버튼만이 정상적으로 동작한다. "취소" 버튼을 클릭하게 될 경우 아래의 일부 코드에 의해 지속적으로 위 그림과 같은 기기 관리자 활성화 창만을 출력하게 된다.

결국 해당 악성 애플리케이션은 "활성화" 버튼 클릭 유도를 통해 기기 관리자 권한을 얻게되며, 이를 통해 애플리케이션 삭제 등과 같은 권한을 획득하게 된다.

※ 기기 관리자 권한 획득

보통 악성 애플리케이션이 기기 관리자 권한을 획득하는 경우는 자신의 생명력 유지를 위함이 대부분이다. 기기 관리자 권한을 획득할 경우 일반적인 언인스톨 과정을 통해서는 아래의 그림과 같이 삭제가 불가능하다.


※ 삭제 방법

이러한 종류의 애플리케이션은 악성과 정상 모두 존재할 수 있으며, 삭제를 위해서는 아래의 그림과 같은 방법이 필요하다.

☞ "환경 설정" -> "장소 및 보안" -> "기기 관리자 선택"


위 그림과 같이 해당 메뉴로 이동한 후 클릭 -> "비활성화"를 진행한다. 물론 "비활성화"를 클릭하여도 해당 악성 애플리케이션의 경우는 비활성화 체크 화면에서 다음 단계로 넘어가지 않는다. 이는 악성 애플리케이션의 내부 코드에 의해 비활성화에 대한 클릭리스너로 인한 증상이므로 신경쓰지 말고 홈버튼을 길게 누른 후 "작업 관리자" -> "실행중인 프로그램 모두 종료" -> 프로그램 탭에서 "해당 악성 애플리케이션 삭제"를 진행한다.

위와 같이 기기 관리자 권한 획득, 프로세스 로딩과 함께 해당 악성 애플리케이션은 설치 후 아래의 그림과 같은 특정 경로에 "phone.xml" 파일을 생성하게 된다.

해당 파일("phone.xml")은 아래의 일부 코드에 의해 내부에 특정 키워드를 포함해 생성되며, 중국어 간자체로 인코딩되어 있다.

아래의 그림은 phone.xml의 내부에 실제로 포함된 내용을 보여주고 있으며, 해당 파일의 파싱 작업 등을 통해 은행계좌 정보와 같은 금융권 정보 및 모바일 거래 정보에 대한 탈취를 시도할 수 있다.(SMS 감시에 의해 수행된다.)

위와 같은 절차가 마무리된 후 해당 악성 애플리케이션은 아래의 그림과 같이 감염된 스마트폰의 내부 정보를 수집하여 특정 번호(13093632006)로 SMS를 사용자 몰래 무단으로 발송하게 된다.

※ SMS 발신 상세 내용

- 1.5V:Model(모델정보:sdk);os(os버전정보);Language(사용언어);NET(네트워크사용정보:3G/wifi)

또한, 네트워크가 사용불가능 하거나 wifi가 아닌 3G를 사용하고 있을 경우는 아래의 일부 코드에 의해 특정 문구가 포함된 SMS를 동일한 번호로 사용자 몰래 무단 발송하게 된다.

이외에도 해당 악성 애플리케이션은 감염된 스마트폰의 루팅 여부를 확인한 후 아래의 일부 코드를 통해 동일한 번호로 SMS를 무단으로 발송하게 된다.

해당 악성 애플리케이션은 본격적인 정보 탈취 기능 수행을 위해 SMS 감시 기능도 수행하게 된다. AndroidManifest.xml상에는 이를 위한 권한이 선언되어 있지 않다. 그럼에도 불구하고 이와 같은 기능이 수행 가능한 이유는 AndroidManifest.xml이 아닌 아래와 같이 내부 코드상에 SMS 감시 관련 리시버를 동적으로 등록해 놓았기 때문이다.

해당 악성 애플리케이션은 SMS 감시를 위한 리시버가 AndroidManifest.xml에 포함될 경우 여러가지 보안 솔루션에 의해 Filter될 가능성이 존재하기 때문에 이와 같은 동적 등록 절차를 따랐을 가능성이 높다.

이렇게 등록된 SMS 관련 리시버는 수신되는 모든 SMS에 대한 감시를 수행하며, 미리 생성된 "phone.xml" 내부에 포함된 키워드와 파싱 비교 작업 후 조건이 충족될 경우 아래의 일부 코드를 통해 특정 번호로 해당 SMS를 사용자 몰래 무단 발송하게 된다.

위와 같이 악성 애플리케이션 입장에서 특정 조건이 충족되는 SMS는 특정 번호로 무단 발송된 후 사용자가 알 수 없도록 아래의 일부 코드를 통해 몰래 삭제 조치 된다.

3. 예방 조치 방법

위와 같이 실제적으로 악성 동작을 수행하는 악성 애플리케이션을 1차적인 Dropper가 내부에 포함하고 있는 경우 해당 Dropper가 수정될 경우 지속적인 보안 위협을 가지고 있을 수 있다. 더불어 감염될 경우 기기 관리자 권한 획득을 요구하는 위와 같은 악성 애플리케이션의 경우는 Zombie란 진단명에 어울리게 일반 사용자의 경우 삭제하기 조차 어렵다.

때문에 이러한 수많은 보안 위협으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단명 현황

- Trojan/Android.SMSZombie.A
- Trojan/Android.SMSZombie.B
- Trojan/Android.SMSZombie.C



 

저작자 표시
신고
Posted by nProtect

1. 개 요


얼마전 유럽의 사용자들을 대상으로 한 프리미엄 서비스 SMS관련 애플리케이션이 발견되어 이슈
가 된 바 있다. 기존과 달리 중국과 러시아에 국한되지 않고 감염 범위를 다양하게 가져간 측면에서 화제가 되었는데 최근 해당 악성 애플리케이션의 변종이 또다시, 출현하여 감염 범위 확장에 대한 심각성이 더욱 고조되고 있다. 이러한 추세라면 얼마 지나지 않아 곧 유럽을 뛰어넘어 훨씬 다양한 국가에서 수 많은 악성 애플리케이션들이 활동을 시작할 것이라는 추정이 가능하다. 잉카인터넷 대응팀에서는 해당 변종을 다수 확보한 상태이고, 지속적으로 업데이트를 수행 중이다.
  

참고로 국내에 공식적인 감염 사례가 보고되지는 않았으며, 외산 안드로이드 기반 악성파일이 악용하는 프리미엄 SMS 기능은 국내 환경과 차이가 있기 때문에 직접적인 피해가 발생할 가능성은 낮은 편이다. 

[참고]안드로이드 악성 애플리케이션 유럽 상륙
http://erteam.nprotect.com/220

2. 유포 경로 및 감염 증상

이번에 출현한 변종의 경우 기존의 악성 애플리케이션의 유포 경로와 뚜렷한 차이점을 보이는데 바로 구글의 안드로이드 마켓을 통해 유포가 시도되었다는 점이다. 물론, 블랙마켓 및 3rd Party 마켓을 통해서도 유포가 이루어지며, 안드로이드 마켓 측에서는 현재 해당 악성 애플리케이션들을 모두 차단시켜 놓은 상태이다.
 
기존에 발견되었던 유럽을 대상으로한 악성 애플리케이션은 총 8개국을 감염 대상으로 삼고 제작되었다. 그러나, 이번에 발견된 변종의 경우 그보다 대폭 상승한 총 18개국을 감염 대상으로 하고 있다.

※ 감염 대상 국가 (총 18개국)

 - 아제르바이잔
 - 아르메니아
 - 영국
 - 벨라루스
 - 독일
 - 그루지아
 - 이스라엘
 - 카자흐스탄
 - 키르키스스탄
 - 라트비아
 - 리투아니아
 - 러시아
 - 폴란드
 - 타지키스탄
 - 우크라이나
 - 프랑스
 - 체코
 - 에스토니아

또한, 해당 악성 애플리케이션의 경우 기존에 유포되었던 것들과는 다르게 다양한 애플리케이션을 통해 한꺼번에 유포를 시도하였다. "게임", "월 페이퍼" 등 다양한 종류를 통하여 동일한 악성 기능을 가지는 총 27개의 악성 애플리케이션들이 구글의 안드로이드 마켓에 등록된 것으로 알려졌다.

이미지 출처 : Symantec Blog


※ 안드로이드 마켓에 등록된 악성 애플리케이션 목록 (총 27개)

Corazon LLC:
 - Horoscope (horoscope.android)
 - Horoscope (com.corazon.horoscope)

Corelly LLC:
 - Horoscope (com.corelly.horoscope)

Ranzy LLC:
 - Twilight (com.Twilight.wallpapers)
 - Puss in Boots (com.Puss.Boots.wallpapers)
 - Moneyball (com.Moneyball.wallpapers)

Astrolog LLC:
 - Sim City Deluxe FREE (com.astrolog.sim.city.deluxe.free)
 - Need for Speed Shift FREE (com.astrolog.need.forspeed.shift.free)
 - Great Little War Game FREE (com.astrolog.great.little.war.game.free)

Logastrod:
 - Cut the Rope (com.Cut.the.Rope)
 - Angry Birds (com.Angry.Birds)
 - Assassins Creed (com.Assassins.Creed)
 - Talking Tom Cat (com.Talking.Tom.Cat)
 - NEED FOR SPEED Shift (com.nsf.Shift)
 - Where is My Water? (com.swampy.Water)
 - Great Little War Game (com.Great.little.War.Game)
 - World of Goo (com.World.Goo)
 - Shoot The Birds (com.Shoot.The.Birds)
 - Riptide GP (com.Riptide.GP)
 - Talking Larry the Bird (com.Talking.larry.Bird)
 -  Bag It! (com.Bag.It)
 - Talking Larry the Bird (com.Talking.Larry.Bird)
 - Angry Birds (com.Angry.Birds.free)

Allwing Concept:
 - TETRIS (com.tetris.free)
 - Pool Master Pro (com.Pool.Master.free)
 - Reckless Racing (com.Reckless.Racing.free)
 - Paradise Islad (com.Paradise.Island.free)

유포에 동원된 악성 애플리케이션들은 무료 게임, 월 페이퍼 등으로 위장되었기 때문에 일반 사용자들의 경우 쉽게 현혹되어 해당 악성 애플리케이션들을 다운로드 할 수 있다.

해당 악성 애플리케이션의 악성 동작은 이미 출현한 바 있는 프리미엄 서비스 SMS 관련 악성 애플리케이션과 동일하다. 차이점이 있다면 애플리케이션 실행 시 아래와 같은 URL을 통해 추가적인 APK파일 다운로드 및 설치 시도 등이 있으나, 현재는 해당 URL이 차단되어 더이상의 다운로드는 불가능한 상태이다.

※ 추가 APK 파일 다운로드 URL

http://(생략)/app/riptide.apk

※ 최초 다운로드 조건

☞ 감염된 스마트폰의 국가 코드 정보가 위에서 언급한 18개국의 국가 코드와 일치하지 않을 경우.


아래의 그림은 해당 악성 애플리케이션에 대한 실행 화면이다.


 

 

 

해당 애플리케이션은 위 그림과 같이 최초 감염된 후 실행 시 추가적인 APK 파일에 대한 다운로드 및 설치를 시도하게 된다. 그 후 "3"번 과정을 거치기 전 감염된 스마트폰의 국가 코드 정보를 조회 후 위 에서 설명한 18개의 국가 코드 정보와 일치 경우 아래의 일부 코드와 같이 프리미엄 SMS 서비스에 특정 내용이 포함된 문자 메시지를 발송해당 프리미엄 SMS 서비스 측으로 부터 문자 메시지를 회신 받을 경우 사용자 몰래 해당 SMS를 삭제하게 된다.

 


또한, 만일 감염된 스마트폰의 국가 코드정보가 내부에 정의된 18개의 국가 코드 정보와 일치하지 않을 경우에는 "4"번 항목과 같이 재차 특정 URL에서 추가적인 APK 파일에 대한 다운로드를 시도하게 된다.

3. 예방 조치 방법

해당 악성 애플리케이션의 특징은 기존의 유포 방식과 다르게 구글의 안드로이드 마켓을 이용했다는 점, 감염 대상 국가가 중국, 러시아 등의 특정 국가에 국한되지 않고 점점 그 대상을 확대해 나가고 있다는 점, 마지막으로 한번에 여러 종류의 악성 애플리케이션을 제작하여 유포를 시도했다는 점 이렇게 세가지로 요약해 볼 수 있다. 여기서 구글의 안드로이드 마켓에 등록된 해당 악성 애플리케이션들은 모두 다운로드 횟수에서 상위를 차지하고 있는 카테고리인 "무료 게임", "월 페이퍼" 등의 종류로 업로드 되어 있어 일반 사용자들의 경우 쉽게 현혹되어 감염될 수 있다는 점도 주목할만 하다.

이러한 악성 애플리케이션의 경우 위장 등의 사회공학 기법을 사용하고 정상 마켓을 통해 서비스 된다는 점 때문에 일반 사용자들의 경우 악성 여부를 식별해 내기가 매우 까다로울 수 있다. 때문에 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-SMS/Android.EUsendSMS.A
- Trojan-SMS/Android.EUsendSMS.B

 


 

저작자 표시
신고
Posted by nProtect

1. 개 요


현재까지 발견되었던 안드로이드 악성 애플리케이션의 경우 대부분 중국 및 러시아 스마트폰 사용자들을 대상으로 제작 및 유포가 이루어지고 있었다. 그러나 최근 해외 보안 블로그를 통해 지금까지 별다른 감염 사례가 없었던 유럽의 다양한 국가들을 대상으로한 안드로이드 악성 애플리케이션 출현이 보고되어 화제가 되고 있다. 물론 해당 악성 애플리케이션의 기능 자체는 여타 다른 악성 애플리케이션의 기능과 별다른 차이점은 없으나, 그 감염 대상이 특정 국가를 벗어나 새로운 대상으로 옮겨갔다는 것이 주목할 필요가 있다.

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션 또한, 지금까지의 안드로이드 악성 애플리케이션과 다를바 없이 블랙마켓 및 3rd Party 마켓 등을 통해 유포가 이루어지고 있다.

해당 악성 애플리케이션을 설치 시도할 경우 아래의 그림과 같이 특정 권한 요구 화면을 보여줄 수 있다.

 
※ 전체 권한

- android:name="android.permission.INSTALL_PACKAGES"
- android:name="android.permission.USE_CREDENTIALS"
- android:name="android.permission.INTERNET"
- android:name="android.permission.BLUETOOTH_ADMIN"
- android:name="android.permission.DEVICE_POWER"
- android:name="android.permission.READ_CONTACTS"
- android:name="android.permission.SEND_SMS"
- android:name="android.permission.RECEIVE_SMS"
- android:name="android.permission.ACCESS_GPS"
- android:name="android.permission.ACCESS_LOCATION"


해당 악성 애플리케이션의 경우 위의 전체 권한과 같이 여러가지 권한을 포함하고 있으나, 설치 시는 위 그림과 같이 두개의 권한만을 보여주게 된다.

또한, 설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같은 아이콘을 가지게 되며, 실행 시 아래의 그림과 같은 특정 메시지를 화면상에 출력하게 된다.
  

▶ 실행 아이콘


▶ 실행 화면

  

해당 악성 애플리케이션은 실행 시 위 그림과 같이 특정 메시지를 출력하는것 이외에는 별다른 동작을 하지 않는다. 다만, 내부 코드를 들여다 보면 해당 메시지 출력외에 아래와 같은 악성기능 동작을 확인할 수 있다.

※ 악성 동작

- 사용자 몰래 SIM카드의 국가 코드를 통해 특정 조건에 맞추어 프리미엄 SMS 과금 서비스 이용


위와 같은 악성동작을 하기위해 악성 애플리케이션은 내부에 한개의 리시버(SMSReceiver)를 등록하고 있으며, 높은 우선순위 책정을 통해 항상 동작될 수 있게 설정되어 있다.
  

▶ 해당 리시버는 아래와 같은 특정 Action이 발생할 시 동작된다.

※ 체크 항목

- "android.provider.Telephony.SMS_RECEIVED"

  

악성 애플리케이션이 실행되면 우선 위의 실행화면과 같이 특정 메시지("ERROR: Android version is not compatible")를 무조건적으로 출력하게되며, 해당 스마트폰의 SIM카드에서 국가코드에 대한 정보를 수집하게된다.

악성 애플리케이션은 내부에 아래의 일부 코드와 같이 "프랑스, 벨기에, 스위스, 룩셈부르크, 캐나다, 독일, 스페인, 영국" 등 8개국에 대한 국가코드 정보를 담고 있으며, 특정 조건과 일치할 경우 해당 국가별 프리미엄 SMS 번호로 서비스 사용을 위한 SMS 발송을 사용자 몰래 시도하게 된다.
  

▶ 국가코드와 관련한 조건 체크 코드


▶ 국가코드 조건 체크 후 프리미엄 SMS 발송 코드

  

위 과정을 통해 사용자 몰래 프리미엄 SMS가 발송되면, 해당 프리미엄 서비스 측에서는 요청된 사항에 대해 SMS형태로 해당 스마트폰에 답신을 하게된다. 이때, 악성 애플리케이션에 등록된 리시버는 수신되는 SMS를 체크하여 아래의 코드와 같이 특정 조건을 충족할 경우 프리미엄 서비스 측에서 받은 SMS를 특정 전화번호(0646112264)로 다시 포워딩한 후 포워딩한 전화번호(0646112264)를 통해 수신받는 SMS를 모두 삭제처리 한다.


위와 같은 동작이 수행될 경우 프리미엄 서비스 측에서 수신받는 SMS는 모두 삭제가 이루어지기 때문에 사용자는 이러한 일련의 악성 동작을 인지할 수 없게된다.

3. 예방 조치 방법

위와 같은 악성 애플리케이션은 기존에 발견되었던 SMS Send 관련 악성 애플리케이션과 기능자체는 별다른 차이점이 없다. 다만, 공격 대상이 더이상 러시아, 중국 등의 특정 국가만의 사용자가 아닌 다양한 국가의 사용자들을 대상으로 하였다는 점이 주목할만하다.

이러한 추세가 이어진다면 유럽 및 특정 국가 뿐만 아니라 다양한 형태의 공격기법을 통해 세계 각국의 스마트폰 사용자들을 대상으로 유포가 이루어질 수 있다. 지속적으로 출현하고 있는 여러가지 악성 애플리케이션에 감염될 경우 금전적 손실 등 다양한 피해를 유발할 수 있으므로, 사용자들은 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 것이 안전한 스마트폰 사용을 위한 최선의 방법이 될 수 있을 것이다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.


저작자 표시
신고
Posted by nProtect