본문 바로가기
악성코드 정보

맥 PUP 설치로 금전적 이득 노리는 Installmiez

by xcoolcat7 2017. 3. 1.

* Installmiez

Installmiez는 ExtInstall, InstallCore 등으로도 불리는 맥 PUP (Potential Unwanted Program)으로 2015년 초 처음 발견되었다. 2015년 최소 4,084개, 2016년 최소 59,125개, 2017년 2월까지 최소 17,473 개가 발견되어 2017년 2월 현재 8 만개 이상의 변형이 확인되었다.  



초기에는 가짜 플래시 플레이어 설치 파일 등으로 가장했지만 최근에는 실제 플래시 플레이어, 동영상 플레이어, 자바 등을 다운로드 해 설치하는 DMG 파일로 배포된다. 그리고 추가로 사용자에게 겁을 줘 과금을 유도하는 스케어웨어(Scareware)를 추가 설치하도록 유도한다. 제작자는 이런 프로그램 설치를 통해 돈을 벌고 있는 것으로 보인다. 

해당 프로그램 설치만으로는 악성코드가 설치되지 않아 트로이목마로 분류하지 않고 잠재적으로 원하지 않는 프로그램 (PUP)로 분류 된다. V3 제품군에서 해당 파일을 진단하기 위해서는 PUP 진단 기능을 활성화 해야 한다.


* DMG 분석


맥OS(macOS) 설치 파일인 DMG 파일로 배포되고 있다. 사용자가 DMG 파일을 연결하면 설치 파일 화면에 나타난다.




Installer.app을 더블클릭하면 변형에 따라 Flash Video Player, HD Video Player, Java 등 중에 하나를 설치하는 화면이 나타난다.

실제 동영상 플레이어 등이 설치된 후 웹브라우저로 특정 사이트 (예 : http://ic-dc.present***conecpt.com 등)로 접속해 시스템에 문제가 있을 수 있으니 점검을 위해 추가 프로그램 다운로드를 권한다. 설치하려는 프로그램에 따라 화면이 조금씩 다르다.

사용자가 다운로드를 승인 할 경우 추가 PUP가 다운로드 되고 더블클릭 하면 설치된다.


* 설치 프로그램 분석

설치 되는 프로그램은 크게 어드벤스드 맥 클리너(Advanced Mac Cleaner), 맥키퍼(MacKeeper), 맥 메카닉(Mac Mechanic), 맥 퓨리파이어(Mac Purifier) 등이다. 이들 프로그램은 맥을 최적화 한다고 하지만 사소한 문제를 큰 문제처럼 과장해 사용자에게 겁을 주고 과금을 요구하는 프로그램으로 스케어웨어(Scareware)에 해당하는 PUP(Potential Unwanted Program)로 볼 수 있다. 특히 맥키퍼 제작사는 피해를 입은 사람들이 제기한 소송에 200 만 달러의 합의금을 내기도 했다.





macOS를 설치한 시스템에서도 수십에서 1,500 개 이상의 문제가 있는 것처럼 보여준다.





사용자가 문제를 해결하려고 앱 내 기능을 사용하면 과금을 요구한다.



* 대응


불필요한 프로그램 (PUP, Potential Unwanted Program) 이므로 기본 검사에서는 진단되지 않는다. V3 제품에서 진단하기 위해서는 검사 대상에서 ‘불필요한 프로그램(PUP)’을 진단 할 수 있게 선택해야 한다.


안랩 V3 제품군에서는 Installmiez DMG 파일은 BinImage/Installmiez 로 진단되며 최종 설치되는 실행 파일들은 프로그램에 따라 진단된다.


OSX-PUP/Amcleaner

OSX-PUP/Macmechanic

OSX-PUP/Mackeeper

OSX-PUP/Macpurifier


* 예방


InstallMiez 뿐만 아니라 다른 악성코드로부터의 완벽한 예방법은 없지만, 다음과 같은 예방법으로 감염 가능성을 최소화할 수는 있다. 참고로 맥OS의 기본 보안 기능으로는 해당 악성코드 설치 및 실행을 막을 수 없다.

1. 최신 macOS 버전을 사용하고 앱스토어(App Store) 업데이트 기능으로 최신 업데이트를 유지한다.


2. 다운로드 해서 앱을 설치 하지 않는다면 앱스토어(APP Store)에서 다운로드 한 앱 허용을 선택한다. ([시스템 환경설정] -> [보안 및 개인 정보 보호]에서 설정 가능)


3. 백신 프로그램의 엔진 버전을 최신으로 유지하고 주기적으로 시스템 검사를 실시한다.


4. 백신 프로그램의 PUP 진단 기능을 활성화 한다.


5. 메일 첨부 파일 또는 다운로드 한 파일이 실행 파일일 경우 의도한 파일이 맞는지 확인한 후 실행한다.


6. 프로그램을 설치 할 때 최종 사용자 사용권 계약(EULA)를 유심히 읽거나 설치 화면에서 불필요한 추가 프로그램 설치가 이뤄지는지 유심히 확인한다.


7. 프로그램을 설치 하기 전에 해당 프로그램의 평판에 대해 알아 본다.



* 결론


맥 사용자가 증가하면서 맥 사용자를 노린 악성코드도 증가하고 있다. 이 중 사용자에게 겁을 줘 과금을 요구하는 PUP (Potential Unwanted Program)성 프로그램의 증가가 뚜렷하다. 인터넷에서 프로그램을 다운로드 할 때는 가급적 해당 프로그램의 평판을 확인할 필요가 있다. 몇몇 업체는 평판까지 속이기 위해 좋은 평의 내용을 올리는 경우도 있으므로 프로그램 다운로드 사이트 댓글 뿐 아니라 검색 엔진을 통해 얼마나 많은 사람들이 해당 앱의 제거를 원하는지도 확인할 필요가 있다.






저작자표시

'악성코드 정보' 카테고리의 다른 글

유포 경로가 다양한 디도스 공격 목적의 악성코드  (0) 2017.04.06
일부 파일에 대해 복구가 가능한 VenusLocker 랜섬웨어  (0) 2017.03.17
CryLocker 변형인 Sage 랜섬웨어  (0) 2017.02.24
CryptoMix 의 변형 CryptoShield 랜섬웨어  (0) 2017.02.24
취약점을 통해 유포되는 CryLocker 랜섬웨어  (0) 2017.02.24

관련글

댓글

티스토리툴바