취약점을 이용해서, PC 사용자가 감염사실을 인지 할 수 없도록 동작하는 국내 인터넷 뱅킹 정보 탈취 악성코드가 끊임없이 발견되고 있다. 과거 국내를 대상으로 제작된 정보 탈취 형 악성코드는 주로 주말에 취약점을 통해서 유포/확산 되었지만, 모니터링 결과 주중에도 변형을 제작하여 유포하고 있다.
국내 인터넷 뱅킹 정보 탈취 악성코드는 Windows 뿐만 아니라, Android 기반의 스마트폰 앱으로도 유포되었으며, 변종이 계속 발견되고 있다. 더욱이 구글 공식 마켓인 Play Store 에 등록되어 있어 그 영향이 작지 않을 것이다.
해킹된 웹사이트에 삽입된 악성 스크립트를 통하여 유포되는, 즉 취약점을 통하여 감염되는 흐름은 이 전에 다루었으므로 생략하겠다. 취약점을 통하여 PC에 다운로드/실행 되는 악성 파일은 아래와 같다.
hxxp://121.***.**.229:280/goutou.exe
해당 파일이 실행되면 아래와 같은 명령으로 시스템의 Hosts 파일이 변조된다.
이후 PC 사용자는 인터넷 뱅킹을 위해 정상(은행) 사이트를 방문하지만, 실제로는 제작자에 의하여 의도된 피싱(은행) 사이트로 접속하게 되는 것이다.
[그림 1] Hosts 파일 변조
사용자가 주의 깊게 살펴보지 않으면 정상 사이트와 구분하기 어렵다.
-
[인증절차]를 요구하는 피싱사이트
[그림 2] 정상 사이트(왼쪽) / 피싱 사이트(오른쪽)
다른 은행사이트(피싱)도 유사하게 [인증절차]를 요구하고 있다.
[그림 3] 은행(피싱)사이트
피싱 사이트에서 요구하는 [인증절차] 를 확인해 보면 아래와 같다.
[그림 4] 이름 / 주민번호 입력을 요구하는 피싱 사이트
위 페이지의 소스를 살펴보면 name_info1, 2, 3 사용자 이름과 주민번호를 인자 값으로 받아서 특정 서버로 전송할 것으로 추정된다.
[그림 5] 페이지 소스
이름과 주민번호 정보를 수집한 후에는 보안카드 비밀번호와 같은 추가 정보를 수집하기 위한 페이지로 이동된다.
[그림 6] 추가 정보 수집 페이지
실제 사용자에 의해 입력된 정보가 특정서버로 전송되는 과정은 아래와 같다.
[그림 7] 사용자에 의해 입력된 정보가 전송되는 과정
이러한 Windows 기반의 악성코드가 Android 기반의 스마트폰에서도 발견되었다.
아래 그림8의 페이지는 구글 마켓에 등록된 인터넷 뱅킹 정보 탈취형 악성 앱이다.
[그림 8] 구글 Play Store 에 등록된 악성 앱
"NH농협스마트뱅킹", "KB국민스마트뱅킹", "IBK 기업스마트뱅킹", "새마을금고스마트뱅킹", "우리스마트뱅킹"
5개 은행의 이용자를 타겟으로 제작되었으며, 하루 간격으로 변종이 유포되었다. 1월 15일에는 "LEAD TEAM", 16일에는 "ZHANG MENG", "waleriakowalczyk", 17일에는 "Kyle Desjardins" 의 제작자명으로 등록되어 유포되었다.
위 악성 앱 중에 하나를 확인해 보겠다.
[그림 9] 설치 화면(좌) / 실행 화면(우)
[그림 10] 피싱 사이트 접속 유도 화면
[그림 11] 은행(피싱)사이트 접속 화면
[그림 12] 은행(피싱)사이트 접속 화면
위 화면에서 볼 수 있듯이 사용자의 개인정보 및 인터넷 뱅킹 정보를 입력하도록 유도하고 있다.
해당 부분의 코드를 살펴보면 피싱사이트로 접속을 유도하는 부분을 확인할 수 있다.
[그림 13] 피싱 사이트 접속 유도의 일부 코드
[그림 14] 인터넷 뱅킹 정보 탈취 사이트의 일부 코드
Windows 기반의 악성코드 감염을 최소화하기 위해선 보안패치를 항상 최신으로 유지하고, 안전성이 확인되지 않은 파일공유사이트(p2p,토렌트)를 이용하지 않는 것이 좋다.
▶ Microsoft업데이트
http://update.microsoft.com
▶ Flash Player 업데이트
http://get.adobe.com/kr/flashplayer/
▶ Java (JRE) 업데이트
http://www.java.com/ko/
Android 기반의 금융 관련 앱을 설치할 떄는 해당 금융사가 등록한 것인지, 제작자가 올바른지 확인하고 설치하는 습관이 필요하다.
V3 제품에서는 아래와 같이 진단이 가능하다.
<V3 제품군의 진단명>
Trojan/Win32.Banki
Android-Trojan/Yaps
'악성코드 정보' 카테고리의 다른 글
국내 방산업체 APT 공격 포착 (1) | 2013.02.01 |
---|---|
연말정산 시즌, 세금 관련 스팸메일 주의! (0) | 2013.02.01 |
온라인 뱅킹 트로이목마 Banki(2) (0) | 2013.02.01 |
온라인 뱅킹 트로이목마 Banki(1) (0) | 2013.02.01 |
새로운 V3 오픈 베타 서비스 개시 (0) | 2013.01.29 |
댓글