1. 웹 접속만으로 무조건 악성파일에 감염된다? 그건 아니다!
2005년 경부터 보안이 허술한 국내 웹 사이트가 변조되어 각종 악성파일이 끊임없이 유포시도 되고 있다. 보통 Drive by download 방식이라고 말하는 이 기법은 대표적인 3대 취약점(Microsoft, Adobe, Oracle)들이 주로 이용되고 있다. 따라서 이용자들은 마이크로 소프트사의 운영체제와 응용프로그램, 어도브사의 플래시 플레이어와 PDF 리더, 오라클사의 자바 프로그램 등을 항시 최신버전으로 업데이트하여 시스템을 유지하고, 개인용 보안솔루션을 함께 활용하면 악성파일 감염 빈도를 충분히 낮출 수 있다.
이용자 컴퓨터에 원격코드 실행가능한 보안취약점이 존재하지 않는 경우 악의적인(Exploit) 코드가 삽입된 웹 사이트에 접근하더라도 악성파일(EXE)에 바로 감염되지는 않는다. 일부 이용자들은 변조된 웹 사이트에 접속만 할 경우 자동으로 악성파일에 감염되는 것으로 오해하는 경우가 있는데, 단순히 악의적인 스크립트만 실행될 뿐 최종적인 악성파일이 직접적으로 실행되지는 않는다. 결국 반드시 보안취약점이 결합되어야만 악성파일에 노출된다는 것을 명심해야 한다.
국내의 불특정 다수를 대상으로 유포 중인 이런 악성 파일들은 대체로 온라인 게임계정 탈취, 가상화폐 채굴(마이닝), 인터넷 뱅킹 이용자를 노린 전자금융사기용(피싱/파밍)과 같은 사이버 범죄 형태를 띄고 있고, 사이버 테러형태의 악성파일과는 종류가 구분된다. 물론 악성파일 자체적으로 변종 업데이트 및 원격제어 기능 등을 탑재하여 이용자 컴퓨터에 몰래 잠복하면서 잠재적 보안위협으로 작용할 수 있다.
2. 안드로이드 웹 사이트 이용자도 노린다.
2014년 03월 13을 기존 Windows OS 기반의 공격자들이 새롭게 안드로이드 스마트폰 이용자들을 공격대상으로 추가한 징후가 여러 건 포착됐다. 안드로이드 스마트폰 저변이 확대되면서 웹 기반 공격자들이 모바일 이용자들까지 포함을 시도하고 있는 것이다. 보통 웹을 통한 악성파일 유포기법은 보안취약점과 결합되어야만 원격지에서 코드실행이 가능하다. 특히, 안드로이드 악성앱(APK)도 다운로드 후에 반드시 추가 실행을 통한 설치과정이 필수적 요소이다.
지금까지 확인된 바에 의하면 아직까지 안드로이드 취약점과 결합되어 자동으로 설치(감염)가 진행되지는 않은 것으로 보이고, 스크립트에 의해서 다운로드까지 자동으로 이뤄지는 것으로 확인된 상태이다.
"unsa.apk" 안드로이드앱은 2013년 스미싱으로 배포된 바 있었던 운세사칭 개인정보 수집형 악성앱으로 확인됐다. 작년부터 스미싱으로 다수 발견된 바 있는 악성앱이 그대로 웹 유포에 재활용된 것이다. 이 악성앱은 운세를 확인해 주는 것처럼 위장한 후 이용자의 이름과 주민등록번호를 입력하게 유도하는 피싱형 악성앱이다. 이 정보를 탈취한 후 휴대폰 소액결제사기 등에 바로 이용될 수 있게 된다. 참고로 실제 이 코드가 발견됐을 당시에는 APK 링크가 제대로 연결되어 있지 않아 실제 바로 다운로드가 진행되지는 않았다.
앞서 공개한 운세 사칭 안드로이드 악성앱 외에 스마트뱅킹 이용자를 공격대상으로 삼은 악성앱 유포도 발견됐다.
변조된 웹 사이트에 안드로이드 스마트폰 이용자가 접속할 경우 상기와 같은 스크립트 코드가 작동하고, 단말기에는 "mbn.apk" 악성앱이 자동으로 다운로드된다. 그러나 다운로드만 진행될 뿐 자동으로 실행되어 설치가 진행되지는 않기 때문에 바로 감염되지는 않는다. 이용자가 다운로드된 앱을 반드시 추가로 클릭하여 설치과정을 거쳐야만 감염이 이뤄지게 된다. 아직까지는 보안취약점과 결합되지는 않았으나, 추후 안드로이드 취약점과 결합될 경우 자동감염이 이뤄질 수 가능성도 배제하긴 어렵다.
악성앱이 설치되면 안드로이드 스마트폰 이용자의 모바일 뱅킹 앱을 악성으로 교체하여 금융정보 탈취를 시도하게 된다. 해당 악성앱들은 nProtect Mobile for Android 제품군에 진단/치료 기능이 이미 오래 전에 추가되어 있던 악성앱들로 파악되었다.
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat
2005년 경부터 보안이 허술한 국내 웹 사이트가 변조되어 각종 악성파일이 끊임없이 유포시도 되고 있다. 보통 Drive by download 방식이라고 말하는 이 기법은 대표적인 3대 취약점(Microsoft, Adobe, Oracle)들이 주로 이용되고 있다. 따라서 이용자들은 마이크로 소프트사의 운영체제와 응용프로그램, 어도브사의 플래시 플레이어와 PDF 리더, 오라클사의 자바 프로그램 등을 항시 최신버전으로 업데이트하여 시스템을 유지하고, 개인용 보안솔루션을 함께 활용하면 악성파일 감염 빈도를 충분히 낮출 수 있다.
이용자 컴퓨터에 원격코드 실행가능한 보안취약점이 존재하지 않는 경우 악의적인(Exploit) 코드가 삽입된 웹 사이트에 접근하더라도 악성파일(EXE)에 바로 감염되지는 않는다. 일부 이용자들은 변조된 웹 사이트에 접속만 할 경우 자동으로 악성파일에 감염되는 것으로 오해하는 경우가 있는데, 단순히 악의적인 스크립트만 실행될 뿐 최종적인 악성파일이 직접적으로 실행되지는 않는다. 결국 반드시 보안취약점이 결합되어야만 악성파일에 노출된다는 것을 명심해야 한다.
국내의 불특정 다수를 대상으로 유포 중인 이런 악성 파일들은 대체로 온라인 게임계정 탈취, 가상화폐 채굴(마이닝), 인터넷 뱅킹 이용자를 노린 전자금융사기용(피싱/파밍)과 같은 사이버 범죄 형태를 띄고 있고, 사이버 테러형태의 악성파일과는 종류가 구분된다. 물론 악성파일 자체적으로 변종 업데이트 및 원격제어 기능 등을 탑재하여 이용자 컴퓨터에 몰래 잠복하면서 잠재적 보안위협으로 작용할 수 있다.
2. 안드로이드 웹 사이트 이용자도 노린다.
2014년 03월 13을 기존 Windows OS 기반의 공격자들이 새롭게 안드로이드 스마트폰 이용자들을 공격대상으로 추가한 징후가 여러 건 포착됐다. 안드로이드 스마트폰 저변이 확대되면서 웹 기반 공격자들이 모바일 이용자들까지 포함을 시도하고 있는 것이다. 보통 웹을 통한 악성파일 유포기법은 보안취약점과 결합되어야만 원격지에서 코드실행이 가능하다. 특히, 안드로이드 악성앱(APK)도 다운로드 후에 반드시 추가 실행을 통한 설치과정이 필수적 요소이다.
지금까지 확인된 바에 의하면 아직까지 안드로이드 취약점과 결합되어 자동으로 설치(감염)가 진행되지는 않은 것으로 보이고, 스크립트에 의해서 다운로드까지 자동으로 이뤄지는 것으로 확인된 상태이다.
"unsa.apk" 안드로이드앱은 2013년 스미싱으로 배포된 바 있었던 운세사칭 개인정보 수집형 악성앱으로 확인됐다. 작년부터 스미싱으로 다수 발견된 바 있는 악성앱이 그대로 웹 유포에 재활용된 것이다. 이 악성앱은 운세를 확인해 주는 것처럼 위장한 후 이용자의 이름과 주민등록번호를 입력하게 유도하는 피싱형 악성앱이다. 이 정보를 탈취한 후 휴대폰 소액결제사기 등에 바로 이용될 수 있게 된다. 참고로 실제 이 코드가 발견됐을 당시에는 APK 링크가 제대로 연결되어 있지 않아 실제 바로 다운로드가 진행되지는 않았다.
앞서 공개한 운세 사칭 안드로이드 악성앱 외에 스마트뱅킹 이용자를 공격대상으로 삼은 악성앱 유포도 발견됐다.
변조된 웹 사이트에 안드로이드 스마트폰 이용자가 접속할 경우 상기와 같은 스크립트 코드가 작동하고, 단말기에는 "mbn.apk" 악성앱이 자동으로 다운로드된다. 그러나 다운로드만 진행될 뿐 자동으로 실행되어 설치가 진행되지는 않기 때문에 바로 감염되지는 않는다. 이용자가 다운로드된 앱을 반드시 추가로 클릭하여 설치과정을 거쳐야만 감염이 이뤄지게 된다. 아직까지는 보안취약점과 결합되지는 않았으나, 추후 안드로이드 취약점과 결합될 경우 자동감염이 이뤄질 수 가능성도 배제하긴 어렵다.
악성앱이 설치되면 안드로이드 스마트폰 이용자의 모바일 뱅킹 앱을 악성으로 교체하여 금융정보 탈취를 시도하게 된다. 해당 악성앱들은 nProtect Mobile for Android 제품군에 진단/치료 기능이 이미 오래 전에 추가되어 있던 악성앱들로 파악되었다.
3. 스미싱 예방법 및 대응책
스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.
◈ "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| [모바일 분석] 데이팅 앱의 과도한 정보 수집 주의 (0) | 2021.03.12 |
|---|---|
| [모바일 분석] SHAREit 취약점 관련 업데이트 권고 (0) | 2021.03.03 |
| [주의]신용카드 개인정보유출 내용을 사칭한 스미싱 전파 중 (0) | 2014.01.23 |
| [주의]스미싱, 네이트온 메신저로 공격 범위확대! (0) | 2014.01.16 |
| [주의]비아그라와 음란사이트로 위장한 표적형(?) 음란 스미싱 (0) | 2013.12.20 |