1. 이제는 모바일 메신저까지 노린다.
잉카인터넷 대응팀은 기존의 스마트뱅킹 악성앱 설치용 스미싱 범죄자들이 네이트온 메신저의 특정 계정을 해킹하여 모바일로 로그인되어 있는 상대방에게 안드로이드 악성앱(APK)을 유포시키는 실제 사례를 처음으로 발견하였다. 기존의 안드로이드 기반 악성앱이 문자메시지(SMS)를 통해서 다량 전파되고 있는 가운데 유명 모바일 메신저로 확대 시도되고 있다는 것이 공식 확인된 것이다.
공격자는 네이트온 메신저의 특정 이용자 계정을 도용해서 PC기반에서 로그인하였고, 로그인되어 있던 모바일 상대방들에게 악성앱을 전파시켰다. 실제 네이트온 메신저는 컴퓨터용에서 로그인을 하면 상대방이 모바일로 연결되어 있는지 PC로 로그인되어 있는지 구분할 수 있기 때문에 맞춤형 공격이 가능한 상태이다.
많은 인스턴트 메신저들이 PC와 스마트폰간의 서비스 연동이 이뤄지면서 이용자 계정이 해킹될 경우 모바일 이용자들에게 악성앱을 손쉽게 유포시킬 수 있다. 2014년 01월 16일 네이트온 메신저를 이용하고 있던 특정 계정이 해킹되어 마치 음악 다운 앱으로 둔갑한 악성앱이 유포된 정황이 포착되었다.
공격자는 마치 이미 알고 있던 지인마냥 사칭해서 간단한 인사와 함께 음악을 다운로드할 수 있는 앱이니 설치하라고 유도하는 문구와 함께 "2014MUSIC.apk" 이름의 악성앱을 전파시켰다.
해당 앱은 국내 스마트뱅킹용 앱의 설치 유무에 따라 해당 금융사에 매칭되는 악성기능을 선별적으로 설치하는 기능을 가지고 있다.
이용자가 해당 악성앱을 받아 클릭을 하면 다음과 같이 구글앱처럼 위장한 아이콘 화면과 위험성이 높은 권한을 다수 확인할 수 있다.
또한, 기존의 여러 악성앱들처럼 기기관리자 기능을 이용해 이용자가 악성앱을 쉽게 제거하지 못하도록 방해한다. 특히, [이건 백신 살해 서비스입니다] 라는 내용을 포함하고 있는 것이 특징이다.
악성앱은 안드로이드 단말기에 "Google Vx" 라는 이름으로 생성되며, 단말기에 따라 일시적으로 화면에 "Google Vx" 라는 문구가 보여진다.
그리고 추가 실행될 때 다음과 같이 해당 앱이 마치 손상된 것처럼 가짜 문구를 보여주고, 이용자로 하여금 스스로 손상된 파일을삭제하는 것처럼 보이도록 여러 메시지를 보여준다.
그러나 실제 악성앱은 삭제되지 않고 기기관리자 기능을 통해서 계속작동하고 있으며, 이용자의 모바일 개인정보 및 금융정보 탈취를 시도하게 된다.
해당 악성앱 내부에는 다음과 같이 국내 스마트뱅킹 앱들의 주요 이미지를 사칭한 화면을 포함하고 있다.
3. 개인정보 및 경찰청 사칭한 스미싱 확산 중
최근들어 사회적인 분위기와 결합시킨 교묘한 내용의 스미싱이 창궐하고 있다. 대표적인 최신 스미싱 내용들을 공개하면 다음과 같다. 문자메시지에 인터넷 주소나 IP주소 등이 포함된 경우 절대로 클릭하지 않는 보안습관이 요구된다.
특히, 금융정보 내용과 연말정산, 경찰청 사칭, 택배 및 우편물 내용으로 현혹하는 스미싱이 급증하고 있으니 절대로 속지 않도록 주의해야 한다. (보안상 일부 문자열 * 표시)
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat
잉카인터넷 대응팀은 기존의 스마트뱅킹 악성앱 설치용 스미싱 범죄자들이 네이트온 메신저의 특정 계정을 해킹하여 모바일로 로그인되어 있는 상대방에게 안드로이드 악성앱(APK)을 유포시키는 실제 사례를 처음으로 발견하였다. 기존의 안드로이드 기반 악성앱이 문자메시지(SMS)를 통해서 다량 전파되고 있는 가운데 유명 모바일 메신저로 확대 시도되고 있다는 것이 공식 확인된 것이다.
공격자는 네이트온 메신저의 특정 이용자 계정을 도용해서 PC기반에서 로그인하였고, 로그인되어 있던 모바일 상대방들에게 악성앱을 전파시켰다. 실제 네이트온 메신저는 컴퓨터용에서 로그인을 하면 상대방이 모바일로 연결되어 있는지 PC로 로그인되어 있는지 구분할 수 있기 때문에 맞춤형 공격이 가능한 상태이다.
[주의]비아그라와 음란사이트로 위장한 표적형(?) 음란 스미싱
☞ http://erteam.nprotect.com/459
[주의]정상적인 웹 사이트 화면을 무단도용하는 지능적 스미싱
☞ http://erteam.nprotect.com/457
[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입
☞ http://erteam.nprotect.com/449
[주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현
☞ http://erteam.nprotect.com/448
[정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황
☞ http://erteam.nprotect.com/445
[주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/442
[주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경
☞ http://erteam.nprotect.com/431
[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428
[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ http://erteam.nprotect.com/425
[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ http://erteam.nprotect.com/426
[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/424
[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ http://erteam.nprotect.com/422
[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ http://erteam.nprotect.com/420
[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ http://erteam.nprotect.com/419
[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ http://erteam.nprotect.com/418
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
☞ http://erteam.nprotect.com/459
[주의]정상적인 웹 사이트 화면을 무단도용하는 지능적 스미싱
☞ http://erteam.nprotect.com/457
[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입
☞ http://erteam.nprotect.com/449
[주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현
☞ http://erteam.nprotect.com/448
[정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황
☞ http://erteam.nprotect.com/445
[주의]보안 앱 위장 이미지 기반 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/442
[주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경
☞ http://erteam.nprotect.com/431
[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428
[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ http://erteam.nprotect.com/425
[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ http://erteam.nprotect.com/426
[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/424
[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ http://erteam.nprotect.com/422
[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ http://erteam.nprotect.com/420
[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ http://erteam.nprotect.com/419
[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ http://erteam.nprotect.com/418
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
많은 인스턴트 메신저들이 PC와 스마트폰간의 서비스 연동이 이뤄지면서 이용자 계정이 해킹될 경우 모바일 이용자들에게 악성앱을 손쉽게 유포시킬 수 있다. 2014년 01월 16일 네이트온 메신저를 이용하고 있던 특정 계정이 해킹되어 마치 음악 다운 앱으로 둔갑한 악성앱이 유포된 정황이 포착되었다.
공격자는 마치 이미 알고 있던 지인마냥 사칭해서 간단한 인사와 함께 음악을 다운로드할 수 있는 앱이니 설치하라고 유도하는 문구와 함께 "2014MUSIC.apk" 이름의 악성앱을 전파시켰다.
해당 앱은 국내 스마트뱅킹용 앱의 설치 유무에 따라 해당 금융사에 매칭되는 악성기능을 선별적으로 설치하는 기능을 가지고 있다.
이용자가 해당 악성앱을 받아 클릭을 하면 다음과 같이 구글앱처럼 위장한 아이콘 화면과 위험성이 높은 권한을 다수 확인할 수 있다.
또한, 기존의 여러 악성앱들처럼 기기관리자 기능을 이용해 이용자가 악성앱을 쉽게 제거하지 못하도록 방해한다. 특히, [이건 백신 살해 서비스입니다] 라는 내용을 포함하고 있는 것이 특징이다.
악성앱은 안드로이드 단말기에 "Google Vx" 라는 이름으로 생성되며, 단말기에 따라 일시적으로 화면에 "Google Vx" 라는 문구가 보여진다.
그리고 추가 실행될 때 다음과 같이 해당 앱이 마치 손상된 것처럼 가짜 문구를 보여주고, 이용자로 하여금 스스로 손상된 파일을삭제하는 것처럼 보이도록 여러 메시지를 보여준다.
그러나 실제 악성앱은 삭제되지 않고 기기관리자 기능을 통해서 계속작동하고 있으며, 이용자의 모바일 개인정보 및 금융정보 탈취를 시도하게 된다.
해당 악성앱 내부에는 다음과 같이 국내 스마트뱅킹 앱들의 주요 이미지를 사칭한 화면을 포함하고 있다.
3. 개인정보 및 경찰청 사칭한 스미싱 확산 중
최근들어 사회적인 분위기와 결합시킨 교묘한 내용의 스미싱이 창궐하고 있다. 대표적인 최신 스미싱 내용들을 공개하면 다음과 같다. 문자메시지에 인터넷 주소나 IP주소 등이 포함된 경우 절대로 클릭하지 않는 보안습관이 요구된다.
특히, 금융정보 내용과 연말정산, 경찰청 사칭, 택배 및 우편물 내용으로 현혹하는 스미싱이 급증하고 있으니 절대로 속지 않도록 주의해야 한다. (보안상 일부 문자열 * 표시)
금감원 개인정보 유출조회확인과정 개인정보 또다시 유출돼.. SBS 조* 기자입니다 *.vbs***.com
[**카드****Info플러스]이경열님의 신용정보변동내역발생.홈페이지확인http://bit.ly/1******
신호위반 청구서 내역 s.coop/1***x
2014년 민방위 훈련일정 안내드립니다 꼭 확인하셔서 불이익이 없도록 확인바랍니다 x.co/3***T
「사이버경찰청」출석요구서(발송완료)사건조회후출석일시확인/ http://co.****.vicp.co /
「사이버경찰청」출석요구서(발송완료)사건조회후출석일시확인/ http://ku.****.1366.co /
{여성가족부}늑대가 나타났다! 성범죄자 알림e 주위에 늑대가 있는지 확인해보세요 x.co/3***T
저희 1월22일 결혼합니다.많이많이 와서 축복해주세요.http://q1.olos****.com
[도로공사] 조*래님차량 단속대상 적발 *.vbs***.com 확인후 빠른처리 요망
[post]고객님의 우편물이 도착하였습니다 확인요망 126.68.**.12
이*열님!종합건강검진받으세요국민건강의료보험공단통지서확인 ni.w****.org
고객님의 네이버메일이 불법사용으로 조회되었습니다. 비밀번호변경하세요! nav.i****.com/r.apk
2013년 신용카드 소득공제용 사용내역 입니다 http://urx.nu/6****
4. 스미싱 예방법 및 대응책
스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.
◈ "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| [주의]Drive by download 방식에 모바일 공격코드 추가 (0) | 2014.03.13 |
|---|---|
| [주의]신용카드 개인정보유출 내용을 사칭한 스미싱 전파 중 (0) | 2014.01.23 |
| [주의]비아그라와 음란사이트로 위장한 표적형(?) 음란 스미싱 (0) | 2013.12.20 |
| [주의]정상적인 웹 사이트 화면을 무단도용하는 지능적 스미싱 (0) | 2013.12.16 |
| [자료]안드로이드 스미싱용 악성앱 분석자료 (0) | 2013.12.05 |