최근 금융 관련 사고가 증가하면서 사람들의 관심이 집중되고 있다. 모바일도 예외는 아니다. 대부분의 스마트폰 사용자는 '스미싱'이 무엇인지 설명하지 않아도 알고 있을 정도이다. 그만큼 피해가 생활에 밀접하게 다가와 있음을 방증하는 것이다.

 

악성코드 제작자는 각종 사회적 이슈를 이용하여, 악성코드를 배포하는데, 이번에는 '아이폰6' 소유 욕구를 자극하고 있었다. 안드로이드 기반의 스마트폰 사용자를 '아이폰6'로 유혹한다? 물론 실제로 아이폰6를 주는 것은 아니지만, 안드로이드 사용자가 아이폰으로 바꾼다면, 악성코드 제작 그룹은 이제 '스미싱' 을 어떻게 하겠다는 것일까?

 

서론은 여기까지 하고, 본론으로 들어가겠다.

 

'아이폰6 이벤트' 메시지에 포함된 링크로 접근하면, 악성 앱(apk)이 업로드된 페이지로 연결된다. 해당 앱을 다운로드 하여 설치하면, 크롬으로 위장한 아이콘을 볼 수 있다.


[그림 1] '스미싱'을 통한 악성 앱 설치 과정

 

악성 앱을 설치하면 크롬으로 위장한 아이콘이 생성된다. 해당 앱을 실행하면, 아이콘은 사라지고, 휴대폰 관리자 활성화를 요구한다.

 

[그림 2] 악성 앱의 아이콘 및 휴대폰 관지자 활성화

 

악성 앱의 Classes.dex 에는 직접적으로 악의적인 코드를 넣지 않았다. 대신 p.dex 파일을 로드하여 악의적인 코드를 실행한다.

 


[그림 3] classes.dex 코드

 

p.dex 파일은 악성 앱(apk) 파일의 'assets' 에 존재한다.

 


[그림 4] 악성 앱 구조

 

p.dex의 주요 기능은 아래와 같다.

 

스마트폰에 설치된 뱅킹 앱 정보 수집 => 정상 뱅킹 앱 제거 유도 => 제거된 정상 앱을 사칭한 악성 뱅킹 앱 설치 유도

 

악성 앱은 "새로운 버전이 출시되었습니다." 메시지와 함께 기존에 설치된 정상 앱을 제거하도록 유도한다.

 


[그림 5] 정상 앱 제거 과정

 

아래 패키지명과 일치하는 앱이 설치되어 있는지 확인하고, 제거하도록 유도한다.

 

"com.wooribank.pib.smart",

"com.kbstar.kbbank",

"com.ibk.neobanking",

"com.sc.danb.scbankapp",

"com.shinhan.sbanking",

"com.hanabank.ebk.channel.android.hananbank",

"nh.smart",

"com.epost.psf.sdsi",

"com.kftc.kjbsmb",

"com.smg.spbs"

[표 1] target 뱅킹 앱 리스트

 

스마트폰에 설치된 정상 뱅킹 앱을 제거를 유도하고, 제거한 정상 앱으로 위장한 악성 앱을 아래의 패키지명으로 설치하도록 유도한다.

 

"com.cash.apc.woori.kr.android.apd",

"com.kr.androids.kbstar.kbbankings.app",

"com.ibk.korea.kr.androids.ibkbanking",

"com.goog.sc.android.dadbdkr.scbankapp",

"com.android.google.shinhanbbk.kr.app",

"com.hana.google.kr.channel.korea.app",

"com.we.google.nhb.kr.bk.app",

"com.android.post.fsps.kr.wu.sdsi",

"com.kr.android.ftkc.kjb.kjbsmb.app",

"com.androids.kr.kf.androids.sm.spb"

[표 2] target 뱅킹 앱을 사칭한 악성 앱 리스트

 

은행별 다운로드 되는 링크는 아래의 코드 조합으로 이루어진다.

 


[그림 6] target 뱅킹 앱 리스트 & 추가 악성 앱 다운로드 코드

 

은행별로 코드를 조합하면 아래와 같은 주소에서 악성 앱을 다운로드 하게 된다.

 

http://******.****.net:6545/com.cash.apc.woori.kr.android.apd.apk

http://******.****.net:6545/com.kr.androids.kbstar.kbbankings.app.apk

http://******.****.net:6545/com.ibk.korea.kr.androids.ibkbanking.apk

http://******.****.net:6545/com.goog.sc.android.dadbdkr.scbankapp.apk

http://******.****.net:6545/com.android.google.shinhanbbk.kr.app.apk

http://******.****.net:6545/com.hana.google.kr.channel.korea.app.apk

http://******.****.net:6545/com.we.google.nhb.kr.bk.app.apk

http://******.****.net:6545/com.android.post.fsps.kr.wu.sdsi.apk

http://******.****.net:6545/com.kr.android.ftkc.kjb.kjbsmb.app.apk

http://******.****.net:6545/com.androids.kr.kf.androids.sm.spb.apk

[표 3] 추가로 다운로드하는 악성 뱅킹 앱

 

실제로 정상 앱이 제거되고, 악성 앱이 설치되는 과정은 아래와 같다.

 


[그림 7] 정상 앱 제거 및 정상 앱으로 위장한 악성 앱 설치 과정

 

악성 앱이 설치되면, 스마트폰의 공인인증서 및 금융 정보를 탈취한다.

 


[그림 8] 악성 앱에 의한 금융 정보 탈취

 

이러한 악성 앱들은 분석가의 분석시간을 오래 걸리게 하려는 방법으로 사용하거나, 자신이 만든 서버의 생명주기를 연장하기 위한 수단으로 코드를 난독화 한다. 이 악성 앱에서는 탈취한 정보를 전송하는 서버주소를 파악하기 어렵게 난독화 하였다. 사용한 방법을 살펴보면 아래와 같다. 아래 코드는 3개의 클래스에 나뉘어 있는 코드들이다. 이 3개의 코드를 조합하고 계산해야만 접근하는 주소를 알 수 있다.


[그림 9] 서버 주소의 난독화

 

계산 방법은 간단하다.

 

우선, 1.class의 "012017006020095000 ~중략~ 010001016016027010088" 값을 3.class 의 xor 함수 계산과 2.class 의 값을 조합하면, 접근하는 페이지의 주소를 알 수 있다. 값을 계산하면 아래와 같은 주소를 알 수 있다.

 

http://*.*****.com/profile?hostuin=28*****449

[표 4] XOR + 코드 조합의 계산 결과

 

해당 주소로 접근하여 IP주소를 받아온다.


[그림 10] QQ블로그의 IP주소

 

XXX!.XXX!XXX!XXX! 와 같은 형식의 IP주소를 받아오면, 치환 코드를 이용해 문자열을 변환하고, XOR 계산을 통해 얻은 값과 조합하여 또 다른 주소를 반환한다.

 


[그림 11] IP주소의 치환 및 XOR 과정

 

주소를 계산하는 과정을 정리하면, 문자열 => XOR 계산 + 코드 조합 => QQ블로그 접속 => IP주소 획득(가변) => IP주소 치환 + 문자열 XOR + 코드 조합 => 서버주소 완성 => 탈취한 금융 정보 전송!

 

이러한 과정을 거쳐 최종적으로 아래의 서버주소로 탈취한 정보를 전송한다.

 

126.**.***.**7/****/****/cers.php

[표 5] 악성 앱에 의해 탈취된 정보를 수집하는 서버주소

 

하지만 위에서 살펴본 것처럼 서버주소는 제작자에 의하여 수시로 변경이 가능하도록 설계되었다. 이 분석정보를 작성하는 중간에도 주소가 변경된 것으로 보아, 제작자는 활발히 활동하는 것으로 추정된다.

 

QQ 블로그를 이용한 악성코드는 Windows 기반의 banki 류 에서 hosts 파일을 변조할 때 자주 이용되는 방식이었다. Windows에서 사용하는 악성코드의 배포 방법과 정보 수집 방식들을 모바일에서 적용하는 사례가 증가하고 있다.

 

V3 제품에서는 아래와 같이 진단이 가능하다

 

<V3 제품군의 진단명>

 

 

 

 

 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

 요즘 스마트폰을 이용하는 사람은 어느곳에서나 쉽게 찾아 볼 수 있게 되었다. 스마트폰의 편리하고 다양한 기능이 많은 사람들을 스마트폰 유저로 만든 것이 아닐까? 이러한 스마트폰의 다양한 기능을 이용하다 보면, 폰에는 자연스럽게 많은 정보들이 쌓이게 된다. 편리하고 유용한 스마트폰이지만, 쌓이는 정보가 많을 수록 주의해야하는 점도 많아지게 되었다. 스마트폰의 정보를 탈취하는 대표적인 악성앱은 "스미싱"의 형태로 유포되는 "BANKUN" 이다. BANKUN 의 의미는 Bank Uninstall 의 줄임말이다. 의미 그대로 정상적인 은행앱의 삭제를 유도하고, 악성앱의 설치를 시도하는 악성코드 이다. 이러한 유형의 악성코드를 살펴보고, 감염되지 않도록 예방하는 방법에 대해 살펴보자.

 

 아래 그림은 안랩의 "안전한 문자"앱에서 최근 유행하는 스미싱의 유형을 알려주는 화면이다. 이러한 기능을 통해 유행하는 스미싱에 대하여 사전에 인지하고, 설치하지 않도록 주의하자.

[그림 1] 안랩 "안전한 문자" 스미싱 알림 기능

 

 돌잔치를 가장한 스미싱은 과거에도 유행 했었지만, 최근에 다시 유행하고 있다. 최근 트렌드 알림 "돌잔치 초대장"이 얼마나 많이 악용되고 있는지 확인해 보자.

 

[그림 2] 최근 트렌드중 "돌잔치 초대장"

 

 "돌잔치 초대장"으로 유포중인 악성앱중에 하나를 살펴보자. 문자메시지의 링크를 클릭하면, 아래와 같은 악성앱을 다운로드 받게된다. 패키지명은 com.sdwiurse 이고, 앱의 이름은 googl app stoy 이다.

 

[그림 3] 악성앱 권한(좌) / 설치 후 아이콘(우)

 

[그림 4] 악성 앱의 권한정보

 

 권한정보를 살펴보면 메시지, 주소록, 저장소, 전화통화 등에 접근이 가능하다. 이것은 해당 내용을 수집할 가능성이 있다고 짐작 할 수 있다.(물론 정상앱에서도 사용할 수 있는 권한이다.) 악성앱이 설치되면 스마트폰에 설치되어 있는 은행앱이 무엇인지 확인하여, 그 은행에 해당하는 금융정보 탈취를 시도한다.

 

[그림 5] 스마트폰에 설치된 앱 체크리스트

 

 악성 앱을 실행하면 아래와 같은 과정이 진행된다. 사용자를 속이기 위해 "공지사항"과 같은 내용을 사용하며, 가짜 이미지를 이용해 백신이 동작중인 것처럼 위장하기도 한다.

 

[그림 6] 악성 앱 설치 화면

 

이후 사용자의 금융정보를 탈취하기 위해 공인인증서와 개인정보를 수집한다.

아래는 스마트폰 기기정보와 사용자가 입력하는 정보를 탈취하는 코드중 일부이다.

[그림 7] 정보 수집 코드


 

사용자의 이름, 주민번호, 계좌번호, 비밀번호, 보안카드 번호와 같은 개인 정보의 입력을 유도하고 있다.

  

[그림 8] 금융정보 입력 창


 

위와 같은 정보탈취 뿐만 아니라 추가적인 악성 앱의 설치를 시도한다.

  

[그림 9] 추가 악성앱 설치 유도

 


악성 앱에 의하여 수집된 기기정보, 공인인증서, 금융정보는 메일서비스를 이용하여 특정 메일주소로 발송 한다.

[그림 10] 메일 서비스를 이용한 정보 탈취

 


탈취된 정보는 악성코드 제작자의 메일로 전송되며, 그 정보는 아래와 같다. 

[그림 11] 악성코드 제작자의 메일함

 


메일의 첨부파일에는 공인인증서와 금융정보가 압축되어 있다.

[그림 12] 금융정보 및 공인인증서

 

 [그림 8]에서 입력한 금융정보(이름, 계좌번호, 비밀번호, 패스워드, 보안카드 일련번호, 공인인증서 암호, 주민번호)는 아래와 같이 전송한다.

[그림 13] 사용자가 입력한 금융정보

 

 요즘은 PC 보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 앱은 공식 마켓에서 다운로드 받아 설치하는 것이 상대적으로 안전하다. 하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 가져야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL에 접근하여 앱을 설치 하지 않도록 주의해야 한다. 또한 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 보다 안전한 스마트폰 환경을 만들어야 한다.

 

 

V3 제품에서는 아래와 같이 진단이 가능하다

 

<V3 제품군의 진단명>

Android-Trojan/Bankun

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

 지난 4월 16일 수요일 아침. 대한민국 국민들은 믿기지 않는 소식을 접하게 된다. 그것은 세월호 침몰 사고 였다. 지금도 그 당시의 충격이 가시지 않고 있다. 유가족 뿐만 아니라 대한민국 국민 모두가큰 슬픔에 잠겨 있었지만, 세월호와 관련된 허위사실이 SNS로 유포되거나, 악용된 '스미싱' 등이 슬픔에 잠긴 국민들에게 다시한번 돌이킬 수 없는 상처를 주고 있다.

 

'스미싱' 이란 문자메시지에 포함된 인터넷 주소를 클릭하면 악성 앱(apk)을 다운로드 받게되고,이 앱을 스마트폰 사용자가 설치/실행하게 되면,사용자의 개인정보 및 금융정보를 탈취 당하게 된다.

 

세월호 관련 '스미싱' 문자는 "실시간 속보…", "침몰 그 진실..", "생존자 확인…" 등과 같은 문구를 이용했으며, "세월호 사칭 스미싱 대처 방법" 같은 어처구니 없는 어휘를 사용하기도 했다.

실제 원문은 아래와 같이 다양하게 발견되었다.

스미싱 발송 날짜

원문

5 01 목요일

세월호기부상황 조회 3**.net/y7A

4 23 수요일

23 9시경 실종자6 구조성공이다.ㅊㅋㅊㅋ http://goo.gl/**mMVX

4 22 화요일

[속보]세월호 3호창 생존자 2 발견 http://goo.gl/**Wgnd

4 21 월요일

단원고 학생·교사 78 생존 확인 http://ww.tl/**m

4 21 월요일

세월호 사칭 스미싱 문자 추가 발견..주의 당부 스미싱 대처방법 t.**t99.info

4 20 일요일

세월호 침몰  진실은... http://ww.tl/**so

4 20 일요일

믿기 어려운 세월호 침물 관련 충격 영상 공개 !!http://goo.gl/**kuii

4 20 일요일

세월호 침몰  진실 ...  http://goo.gl/**uX6D[FW]

4 19 토요일

세월호 사칭 스미싱 문자 추가 발견…주의 당부 스미싱 대처방법http://goo.gl/**X4r1

4 19 토요일

[GO! 현장세월호 구조된 6 어린이 http://126.107.**.204/

4 19 토요일

*실시간속보[세월호]침몰사망자55명더늘어*동영상보기 hosisting.**fo

4 18 금요일

[여객선침몰청해진해운 "승선자 명단 없는 사망자명단 kowa.**rtit.com

4 18 금요일

세월호 침몰  진실은...~http://ztc.me/**d

4 18 금요일

세월호 침몰  진실은...http://ww.tl/**ws

4 18 금요일

[연합뉴스]여객선 (세월호)침몰사고 구조현황 동영상 http://goo.gl/**buRb

4 18 금요일

*(실시간속보세월호침몰 사망자 25명으로 늘어..검색더보기 www.sto**paint**.net

4 18 금요일

*실시간속보세월호침몰 사망자 25 늘어 더보기 http://psm8060.h**web.net/ADT.apk

  [표1] 세월호 관련 스미싱 


악성 앱이 사용한 아이콘은 구글 마켓과 세월호 사진 등으로 만들어져 있었다.

 

[그림1] 악성 앱이 사용한 아이콘

 

이러한 세월호 관련 스미싱 악성 앱은 사용자의 연락처 정보, 디바이스 정보, 금융정보를 탈취하여 외부 서버로 전송 하도록 설계되어 있었다.

 

이번 세월호 사건을 악용한 스미싱 제작자는 지난 2014년 1월 카드사 정보유출 사건을 악용하기도 했다.

당시 사용된 메시지와 아이콘은 아래와 같다.

[그림2] 카드사 정보 유출 스미싱(좌) / 악성 앱 아이콘(우)

 

 악성 앱은 스마트폰에서 사용중인 은행 앱을 체크하여, 해당 은행 앱으로 위장한 악성앱을 다운로드 받는 기능이 존재하는데, (카드사 정보유출 사건과)대상 패키지명(은행 앱)이 동일하며, 정보를 탈취하고 전송하는 서버주소의 매개 변수 값도 동일하게 구성되어 있다. 또한 서버주소는 수시로 변경 가능하도록 C&C 명령을 받아 수행하도록 설계되어 있다.

[그림3] 대상 패키지 및 정보 탈취 서버정보의 일부 코드, 카드사 정보유출 사건(좌) / 세월호 사건(우)

 

스미싱 피해를 막기 위해서는 의심스러운 문자메시지의 URL은 클릭하지 않고 스마트폰에 백신 앱을 항상 최신 버전으로 유지해야 한다.또한, "안전한 문자"와 같은 스미싱 예방을 도와주는 앱을 설치하면 좀더 안전하게 스마트폰을 사용할 수 있다.

https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

 

뿐만 아니라, 세월호 사건을 악용한 피싱 사이트도 발견 되었다.

트위터에 수많은 사용자의 이름으로 해당 내용이 게시된 것을 확인 할 수 있었다.

[그림4] 세월호 사건의 허위 SNS내용

 

또한 해당 피싱 사이트는 유명 커뮤니티에서도 발견되었다.

[그림5]세월호 사건을 악용한 피싱 사이트

 

 

작성자의 다른 글도 세월호 사건을 언급하고 있다.

[그림6] 동일 작성자에 의해 5/8일 게시된 글

 

해당 피싱 사이트는 NAVER 로그인 페이지로 위장되었으나,자세히 보면 로그인 FORM 과 위치가 맞지 않다.

[그림7] 정상적인 네이버 로그인 페이지(좌) / 악의적인 피싱 사이트(우)

 

사용자가 입력한 아이디와 패스워드는 대만에 위치한 서버(피싱 사이트)로 전송한 후, 정상적인 네이버 페이지에 접속 한다.

 

[그림8] 사용자가 입력한 ID/PW 를 피싱 사이트로 전송하는 페이지 소스코드

 

해당 데이터 패킷을 보면, 아이디와 패스워드가 전송되는 것을 볼 수 있다.

[그림9] 사용자의 계정정보가 전송되는 네트워크 패킷

 

 특히,이번 세월호 관련 스미싱 악성 앱은 국민적 관심과, 슬픔을 돈벌이로 이용하려는 범행 수법으로, 아주 악렬하기 때문에 꼭 검거되어, 강하게 처벌 받기를 바란다.

 

 스미싱 범죄는 '정보통신망이용 촉진 및 정보보호 등에 관한 법률'에 의거 처벌 받을 수 있으며,개인정보 무단 수집의 경우 5년 이하의 징역 또는 5000만원 이하의 벌금형에 처할 수 있다.

 


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

IE 취약점(MS13-080) 주의보!

웹하드 사이트에서 유포된 백도어 악성코드 발견

반복 감염 유발하는 USB 악성코드 발견

일반 사용자에게도 유포된 이력서 첨부 파일

화면보호기 확장자(.scr)를 이용한 악성 파일


2) 모바일 악성코드 이슈

모바일 메신저 피싱 앱 설치하는 악성 앱 등장

암호화된 안드로이드 악성코드의 등장

공공기관 및 기업 사칭 스미싱 증가


3) 보안 이슈

스팸 메일을 발송하는 다리미?

PHP.net 해킹으로 인한 악성코드 유포

DNS 하이재킹을 통한 홈페이지 해킹

어도비 해킹 피해자, 3800만 명으로 증가


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2013년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.45을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

ZeroAccess 악성코드의 지속적인 등장

구글 업데이트를 위장한 ZeroAccess 악성코드

IE 실행 시 중국 사이트 접속?!

대형 인터넷 쇼핑몰을 겨냥한 금융 피싱 악성코드 기승

난독화된 스크립트 악성코드 감염 주의

최신 음악 토렌트 파일을 위장한 PUP 유포

홍콩금융관리국 위장 악성 스팸 메일

페이징 파일에 잔존하는 데이터


2) 모바일 악성코드 이슈

한국인터넷진흥원을 사칭한 스미싱 주의!

금융사 피싱 앱 변종 발견

금융 예방 서비스?


3) 보안 이슈

제로데이 IE 취약점, CVE-2013-3893 

어도비사 고객정보 및 소스코드 유출 사건


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.45 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

스마트 폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성 앱과 개인정보를 포함한 인터넷 뱅킹 정보를 탈취하려는 악성 앱이 급격히 증가하고 있다.

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 설치 유도 방식 중에 가장 널리 이용되고 있는 것이 스미싱이다.

 

이러한 스미싱으로부터 사용자의 정보와 자산을 보호하기 위해 안랩에서는 '안전한 문자' 앱을 안드로이드 스마트폰 사용자에게 무료로 제공하게 되었다.

 

 

'안전한 문자'는 모바일 백신 제품이 아니므로, 스마트 폰 제조사를 통하여 제공하고 있는 V3 모바일 백신 제품과 함께 사용하기를 권한다.

 

앞으로 안랩에서 제공하는 '안전한 문자'를 사칭한 악성 앱이 발견될 수 있으므로, 반드시 공인 마켓에서 'AHNLAB' 개발자를 확인하고 설치 해야 한다.


[그림 1] 안랩 '안전한 문자' Play 스토어

 

 

https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

구글 플레이 마켓에서 다운로드 받을 수 있다. '안전한 문자'를 설치 및 실행해 보자.

 

'안전한 문자' 앱의 설치와 설정은 [다음] 단계를 넘어가면서 쉽게 설정할 수 있다.

앱의 기능은 아래 그림과 같이 간결하면서도 이해하기 쉽게 표현했다.

[그림 2] '안전한 문자' 앱 실행 1

 

 

[그림 3] '안전한 문자' 앱 실행 2

 

링크를 검사할 수 있도록 설정하는 화면이다.

 

[그림 4] '안전한 문자' 링크 검사 설정


 

문자 메시지 검사 화면이다.

 

[그림 5] '안전한 문자' 검사 화면

 

   

위험한 문자를 발견했을 때 화면이다.

 

[그림 6] 위험한 문자 발견

 

'안전한 문자'는 △악성 URL이 포함된 문자 메시지 탐지, △ URL을 통한 웹 브라우징 실행 시 실시간 감지 기능, △알 수 없는 소스(출처) 허용 설정 여부 확인 등 3가지 다차원 보안 기능으로 스미싱 위협을 탐지한다.

먼저 '안전한 문자'는 사용자가 URL이 포함된 문자 메시지의 수신 시, 해당 URL을 자동 검사해 악성 앱 포함 여부를 알려준다. 메시지에 포함된 URL이 악성으로 확인될 경우는 위험을 알리는 경고 창이 떠 사용자에게 위협을 알려준다. 초기 탐지된 의심스러운 URL이 포함된 문자일 경우에는 스마트폰 상단에 있는 상태 확인 바에 '안전한 문자'의 아이콘이 노란색으로 '주의'할 것을 알려 주고, 악성이 아닐 경우 초록색으로 표시된다.

   

'안전한 문자'는 설치 후 최초 실행 시 문자 실시간 감시 활성화와 함께 자동으로 문자 메시지 수신함 전체 검사가 이루어진다. 이후 사용자가 안전한 문자 서비스의 '실시간 감시 기능'을 껐다가 켜면 최근 7일간 수신한 문자를 검사한다. 또한, 스마트폰 기종에 따라 MMS(멀티미디어 메시지)의 실시간 감시 및 검사도 지원한다.

   

특히 '안전한 문자'의 URL 실행 실시간 감지 기능은 타 유사 서비스(피싱 방지 앱 서비스)에서 제공하지 않는 기능이다. 이 기능(실시간 URL 링크 감지)은 문자메시지뿐 아니라 페이스북, 트위터, 카카오톡, 메모장 등 스마트폰 내 다양한 앱에서 URL을 실행해 웹사이트에 접속할 경우에도 악성 앱 다운로드 여부를 탐지해 알려줘 더욱 유용하다.

   

또한, 사용자가 스마트폰 환경 설정을 '알 수 없는 소스(출처) 허용' 상태로 해놓았을 경우 경고하는 기능도 추가해 무의식적인 사용에 따른 피해방지도 가능하다. 이는 (악성 앱일 가능성이 높은) 공식 마켓 이외 출처의 앱 설치 시도를 막는 1차적인 안전장치이다.

   

사용자는 '안전한 문자'를 이용해 실시간으로 악성 URL이 포함된 문자 메시지나, 악성 앱을 다운로드하는 URL 링크를 감지하고 V3 모바일로 즉각 치료하면 된다.

   

'안전한 문자'는 구글 플레이 마켓(https://play.google.com/store/apps/details?id=com.ahnlab.safemessage)에서 무료로 다운받아 설치할 수 있다. 지원언어는 한국어로 추후 영어 외 언어지원으로 서비스를 확대해 나갈 예정이다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

안드로이드 폰 사용자들을 타깃으로 금융 관련 정보를 탈취하려는 Bankun 악성 앱의 변종이 발견되었다. 기존에 발견되었던 방식보다 더욱더 진화한 형태로 점점 그 방식이 정교해지고 있어 사용자들의 주의가 필요하다.

 

앱 설치 시에 아래와 같이 아이콘 모양은 'Play 스토어' 아이콘과 같으나 정상 앱 이름의 경우 'Play 스토어' 인 반면 악성 앱은 'Google App Store' 인 것을 확인할 수 있다.

 

[그림 1] 악성 앱 아이콘 모양

 

악성 앱 실행 시에는 설치파일이 손상되었다는 오류와 함께 아래와 같은 팝업 메시지를 보게 된다.

 

[그림 2] 앱 실행 시, 팝업되는 메시지

 

위 그림에서 '확인'이나 '취소' 버튼을 터치 시에 앱의 아이콘은 보이지 않게 되며, 앱이 서비스로 실행되게 된다. 아래 그림은 앱 정보 화면이며, 앱이 삭제된 후에도 서비스로 등록되어 실행되고 있는 것을 확인할 수 있다.

[그림 3] 악성 앱 실행 정보

 

해당 앱은 서비스로 실행되면서, 사용자의 스마트폰에 어떤 뱅킹 앱이 설치가 되어있는지 확인 후, 그 앱에 맞는 악성 앱을 다운로드 한다. 이후 정상 앱을 삭제하고 다운로드된 악성 앱을 설치하도록 시도한다.

 

 [그림 4] 악성 뱅킹 앱을 다운로드 받는 코드 (일부)

 

악성 앱이 다운로드 되어 실행되면 기존에 유포되었던 금융사 피싱 앱과는 달리 V3 mobile PLUS 실행을 가장하고 금융감독원을 사칭한 팝업 메시지를 띄운다.

 


 
[그림 5] 다운로드 된 뱅킹 실행 시, 보이는 화면

 

확인을 터치 시, 아래와 같이 실제로 사용자의 공인증서를 확인할 수 있으며 이는 기존에 발견되었던 피싱 앱과는 달리 정상 앱과 매우 유사한 형태임을 확인할 수 있다.

 

 [그림 6] 공인인증서 암호 요구 화면

 

위 악성 앱 역시 스미싱 형태로 유포되고 있으며, 금융사 피싱 앱은 일반 사용자들이 정상 앱과 구분을 할 수 없을 정도로 정교화되어 가고 있다. 이에 사용자는 문자내용에 포함된 링크가 존재할 경우 접속에 주의해야만 하며, 사전에 V3 모바일 백신과 같은 믿을 수 있는 제품을 사용하여 감염되지 않도록 주의하는 것이 중요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Downloader/Bankun

  

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

스마트 폰 사용자들을 타깃으로 금전적 이득을 목적으로 개인정보를 포함한 인터넷 뱅킹 정보를 탈취하려는 악성 앱이 다수 발견되고 있어 사용자의 주의가 필요하다.

 

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 이번에 발견된 스미싱은 [그림 1]과 같이 한국인터넷 진흥원을 사칭하고 있으며, [개인정보방침]이라는 내용으로 앱의 설치를 권하는 메시지를 보내고 있다.

 

   

 

 

 

 

 

 

[그림 1] 한국인터넷진흥원을 사칭한 스미싱

 

메시지에 포함된 단축 URL을 클릭하면 앱(APK)을 다운로드 받게 되어 있다.

 

다운받은 악성 앱의 설치과정에서 아래와 같은 권한정보를 확인할 수 있다.

 

[그림 2] 악성 앱 권한정보

 

설치 후 아이콘과 앱 이름은 아래와 같이 나타난다.

하지만 앱을 실행하게 되면 아이콘이 사라지며, 기기관리자 권한을 획득하려고 시도한다.

 

[그림 3] 악성 앱 실행 전(좌) / 실행 후(우)

기기관리자 획득을 시도하는 화면은 아래와 같으며, 스마트폰에 따라 "휴대폰 관리자", "디바이스 관리자"로 나타날 수 있다.

 

[그림 4] 휴대폰 관리자 활성화 화면

 

휴대폰 관리자를 활성화하게 되면, 사용자가 앱을 삭제하는 것이 번거로우며, 아이콘이 이미 삭제되었기 때문에 앱이 삭제된 것으로 착각할 수도 있다.

 

설치된 악성 앱을 제거하기 위해서는 아래와 같은 방법으로 조치하면 된다.

['환경설정'->'보안'->'디바이스 관리자']를 실행한 후 'sample_device_admin' 항목에 대한 체크를 해제한다.

 

[그림 5]악성 앱 제거 방법

 

악성 앱의 기능에 대하여 살펴보면, 스마트폰의 전화번호와 주소록(전화번호, 메일주소) 정보를 탈취한다.

 

[그림 6] 주소록 정보를 탈취하는 소스 코드

 

 

 

 

 

 

실제 주소록정보가 전송되는 과정은 아래와 같다.

 

 

[그림 7] 메일계정을 이용한 사용자 정보 탈취(네트워크 패킷)

 

악성 앱 제작자는 메일로 전송된 정보를 아래와 같이 확인하고 있다.

 

[그림 8] 악성 앱 제작자의 메일계정

스마트 폰 사용자는 문자내용에 포함된 링크가 존재할 경우접속에 주의해야 하며, 사전에 V3 모바일 백신과 같은 믿을 수 있는 모바일 백신 제품을 사용하여 감염되지 않도록 주의하는 것이 중요하다.

 

또한 ['환경설정'->'보안'->'알 수 없는 소스']항목에서 "허용하지 않음"으로 설정하면, 공식마켓 이외의 앱은 설치가 제한되므로 더욱 안전한 환경에서 스마트폰을 사용할 수 있다.

 

[그림 9] '환경설정'->'보안'->'알 수 없는 소스'

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

 

<V3 제품군의 진단명>

 

Android-Trojan/Langya (2013.09.23.01)

 

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@


스마트 폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성 앱과 인터넷 뱅킹 정보를 포함한 개인정보를 탈취하려는 시도가 급격히 증가하고 있다.

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 이번에 발견된 스미싱은 [그림 1]과 같이 안랩을 사칭하고 있으며, 스미싱을 예방하기 위해 (가짜) V3 Mobile 앱을 설치하라는 내용이다.

 

자사에서는 불특정 다수에게 이러한 불안전한 메시지를 발송하지 않는다.

 

안랩 V3 모바일 제품은 스마트 폰 제조사를 통하여 제공하고 있다. 따라서 반드시 스마트 폰 제조사에서 제공하는 경로를 통하여 제품을 설치해야 한다.

 

 


          [그림 1] 안랩을 사칭한 스미싱

   

메시지에 포함된 앱(APK)을 설치하게 되면 아래와 같은 아이콘이 생성된다.

 

[그림 2] 악성 앱 아이콘

 


아이콘 모양은 V3 이지만 앱 이름은 "내가사께!"로 나타난다.

앱 제작 시 이름에 대한 수정을 미처 하지 못한 것으로 추정된다. (과거 동일 제작자에 의해 명명된 악성 앱 이름을 그대로 사용했다. / 이후 부연설명)

 

앱을 실행하면 아래와 같은 화면이 나타나며, 악성 행위가 동작하게 된다.

 

[그림 3] 악성 앱 실행 화면

 

[그림 2]와 같이 악성 앱이 실행되면, 사용자가 모르는 사이에 악성코드 내부에 저장된 2개의 번호로 앱의 설치완료 문자를 전송하며, SD Card의 .temp 디렉터리를 만들어 주소록, 통화기록, 문자 정보를 저장한다.

이렇게 저장된 정보는 미리 정의된 특정 서버로 전송하고, 그 결과를 문자로 알리게 설계되었다.

 

- 악성코드 내부에 저장된 2개의 전화번호로 앱의 설치를 알린다.

 

[그림 4] 악성 앱의 소스 코드 1

- 주소록, 통화내역, 문자내용 정보를 수집하는 코드 중 일부

 

[그림 5] 악성 앱의 소스 코드 2

 

 

- 수집된 정보를 전송하는 과정

 

[그림 6] 특정 서버로 정보를 전송하는 과정

 

 

 

- 사용자로부터 탈취한 정보는 c, d, f 파일명으로 특정 서버로 전송된다.

 

[그림 7] 특정 서버에 저장된 정보들(악성코드 제작자가 운영하는 서버)

 

악성 앱 제작자는 과거에도 동일한 기능을 가지고 있는 악성 앱을 제작했었다.

과거에 제작한 악성 앱의 아이콘은 아래와 같았다.

 

[그림 8] 동일 제작자의 악성 앱 아이콘

 

스마트폰 사용자는 문자내용에 포함된 링크가 존재할 경우 접속에 주의해야 하며, 사전에 V3 Mobile 백신과 같은 믿을 수 있는 제품을 사용하여 감염되지 않도록 사전에 주의하는 것이 무엇보다 중요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/FakeV3

Android-Spyware/BarSmish

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2013년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.44을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

메모리 패치형 Banki의 온라인 뱅킹 정보 탈취 기법 분석

고객님, 영수증이 발급되었습니다

아마존 구매 관련 메일로 위장한 스팸 메일

특정 은행 대출 승인 메일로 위장한 스팸 메일

휴가철, 사용자의 휴가비를 노려라!

동영상 재생 프로그램을 이용한 악성코드 유포

토렌트 파일로 위장한 악성코드 주의

Your reservation is now confirmed!’

델타 항공 메일로 위장한 악성코드 유포


2) 모바일 악성코드 이슈

V3 모바일 설치 위장 스미싱 주의!

금융사 피싱 앱 주의


3) 보안 이슈

자바 취약점과 결합된 메모리 해킹

인터넷 뱅킹 보안 대책


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.44 발간



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원