1. Mac OS X

얼마 전 Mac 의 운영체제인 OS X 요세미티(Yosemite)가 업데이트 되었고 아이폰 6는 여전히 큰 인기를 끌며 판매되고 있다. 이전에 음악, 디자인 등 예술계 종사자들 혹은 소수의 매니아들만 사용하던 애플사의 Mac 컴퓨터는, 아이팟과 아이폰의 성공에 힘입어 사용자 계층이 크게 확대되고 대중화되었으며, 이에 따라 OS X 악성코드 또한 증가하고 있는 추세이다.

다만, 다음 통계에서 확인할 수 있듯이, 국내의 OS X 점유율은 아직 10%가 채 안 되어, 국내에서는 비교적 파급력이 크지 않다.

 

[그림 1] 국내 OS 점유율 (출처: StatCounter)

 

그러나 과거 수년간 대형 보안사고 발생에 따른 피해가 점점 커지고, 보안의 중요성에 대한 인식이 확대되면서, 종전의 사용하던 시스템 기반을 리눅스나 맥 등으로 변경을 고려하는 기업과 기관들이 증가하고 있다. 현재 국내에는 맥과 관련된 백신 사용률이 매우 낮고 보급 속도 또한 더딘 상태라, 표적 공격에 매우 취약할 수 있기 때문에, 만약 사고가 나면 그 위험성과 피해는 예상보다 훨씬 클 수 있다. 따라서 당장 큰 위협은 없어 보여도, 이전과 같은 대형 보안 사고가 반복되기 전에, 미리 맥 관련된 악성코드에 대해 짚어둘 필요가 있다. WIL 의 지면을 통해 간략하게나마, 2014년에는 어떤 Mac 악성코드가 발견되었는지 살펴보자.

 

  2. 2014 Mac Malware

지난 2014년의 보안 이슈 키워드로는 '멀티 플랫폼, 금융, 취약점, 고도화' 등을 꼽을 수 있다. 윈도우뿐만 아니라 모바일, POS (Point of Sales), Mac 등 다양한 플랫폼을 공격하는 악성코드들이 발견되었고, 파밍을 비롯하여 메모리 해킹을 이용해 인터넷 뱅킹의 금융정보를 탈취하는 기술까지 다양했고 '하트블리드(Heartbleed)'나 '쉘쇼크(ShellSock)' 와 같은 오픈 소스 취약점도 연이어 공개가 되었다.

2014년에 발견된 Mac 악성코드들은, 물론 기술적인 차이는 있지만 그 형태가 윈도우 악성코드와 비교해서 크게 다르지 않다. 애플사도 과거와는 다르게 GateKeeper 와 같은 보안 기능을 추가하는 등, 마이크로소프트사와 마찬가지로 보안을 크게 염두에 두고 있다. 또한 현재 발견되는 맥 악성코드는 불법다운로드와 프로그램의 취약점, 피싱, 앱스토어 등을 주된 유포 경로로 삼아 감염되는데, 이 또한 윈도우의 사례와 유사하다.

 

GateKeeper

윈도우의 사용자 계정 컨트롤(UAC) 와 유사한 기능으로, 인터넷을 통해 다운로드한 앱이나 써드 파티(Third-party) 앱들로부터 Mac 을 보호하는 기능이다.

 

  (1) Cross Platform - Flashback & Icefog

2012년 발견된 Flashback 악성코드는 맥 사용자들에게는 유명한 악성코드이다. 이때만 해도 애플사는 Java를 기본 패키지로 맥 OS를 배포했는데, Flashback 악성코드는 바로 이 자바의 취약점(CVE-2012-0507, CVE-2011-3544) 을 통해 감염되었다. 이 악성코드는 약 60만대의 맥을 감염시킬 정도로 파급력이 컸기 때문에, 애플사는 Mac OS Lion (10.7) 버전 이후로 Java를 기본 패키지에서 제외했다. 해외 보안 업체 Intego의 통계에 따르면, Flashback 악성코드로 인한 피해는 2014년 초반까지도 계속되었다.

한편 악성코드의 C&C (Command-And-Control) 서버 문자열로 이름 붙여진 Icefog 악성코드는, 한국과 일본의 주요 기업과 기관 대상으로 한 소규모 APT(Advanced Persistent Threat) 악성코드로 당시 매우 위협적이었다. 본격적인 표적공격이라 할 수 있는 이 Icefog 악성코드는 Java의 취약점뿐만 아니라 HWP, Microsoft Office 등의 취약점을 이용하였다.

 

[그림 2] Flashback 악성코드

 

위의 두 악성코드는 Java의 취약점을 감염 경로로 이용했는데, 특히 Icefog 악성코드는 Java 뿐 아니라 다양한 프로그램의 취약점을 이용하여 윈도우와 OS X 플랫폼을 감염시켰다. 이른바 크로스 플랫폼(Cross platform) 공격인데, 하나의 취약점을 통해 다양한 플랫폼을 공격함으로써 피해자가 사용하는 플랫폼에 제약 없이 악성코드를 감염시키는 형태였다. 과거에 이어, 2014년 역시 이러한 크로스 플랫폼 공격 형태의 악성코드는 다양한 형태로 발견되었다.

 

  (2) RAT - LaoShu

2014년 1월에 발견된 LaoShu 악성코드는 피싱 메일을 통해 유포되었다. 이 메일은 유명 운송업체를 가장하고 다운로드 링크를 포함하여 사용자가 파일을 다운로드 하도록 유도하였다. PDF 아이콘으로 위장한 Laoshu 악성코드는 RAT (Remote Access Trojan) 악성코드로 분류되며, 다른 RAT 류의 악성코드와는 달리 사용자의 컴퓨터 정보, 인터넷 연결 정보, 데이터들을 탈취하는데 그 기능이 집중되어 있었다. 데이터 명의 확장자가 DOC, DOCX, XLS, XLSX, PPT and PPTX, ZIP 인 파일 정보를 탈취하였고 또 다른 파일을 다운로드 하여 스크린샷 이미지들 또한 탈취하였다.

[그림 3] (좌)유포된 이메일 전문 (출처: Sophos) / (우)스크린샷 이미지 전송 코드

 

이러한 RAT류의 악성코드들은 주로 APT(Advanced Persistent Threat) 형태로 특정 기업, 기관을 대상으로 배포, 감염되었지만, 2014년부터 대상 범위가 불특정 다수의 일반인들까지 확대되었다. 2014년에 발견되었던 뱅킹류의 악성코드에 CyberGate RAT, Gh0st RAT 등이 포함된 것이 그 예이다. LaoShu 악성코드도 주로 기업이나 기관을 대상으로 하던 기존과는 달리 일반인들을 대상으로 유포된 RAT류 악성코드의 대표적 예로, Mac 또한 윈도우와 그 흐름을 같이 하고 있다.

 

  (3) BitCoin – CoinThief

CoinThief, CoinStealer라 불리는 이 악성코드는 2014년 2월경 발견되었으며, 주 목적은 비트코인을 채굴하는 것이다. 온라인 가상 화폐의 일종인 '비트코인(Bitcoin)' 은 P2P(파일공유 시스템)를 기반으로 발행 및 거래가 이루어지는데, 이러한 비트코인의 가치가 상승하면서 이를 탈취하기 위해 Mac 에 배포된 것으로 보인다. 2014년 8월경 리눅스에서도 같은 형태의 악성코드가 Ssabobot, Bossabot 이라는 이름으로 발견되었다.

CoinThief 악성코드는 정상 애플리케이션으로 가장하여 유포되었다. 해킹으로 인해 2014년 3월에 파산한 Mt.Gox (당시 세계 최대 비트코인 거래소) 관련 애플리케이션과 유명한 게임인 'Angry Birds' 애플리케이션이 대표적이다. 또한 CoinThief 악성코드 종류 중에는 OS가 Windows인지 Mac인지 체크 후, 각 OS에 맞는 악성코드를 배포하여 감염시키기도 하였다.

 

[그림 4] (좌) Mt.Gox 를 위장한 윈도우 악성코드 실행화면 / (우) Angry Birds

 

Mt.Gox 사가 파산한 뒤, 얼마 전 세계 최대의 비트코인 거래소로 자리잡은 비트스탬프가 출금 거래를 중단했다. '거래 과정에서 문제가 감지되었다' 는 것이 그 이유인데, 이러한 불안함 속에서도 비트코인의 가치는 하락하지 않고 있다. 또한 2015년에도 인터넷 뱅킹, 모바일 뱅킹과 관련된 악성코드는 물론이며, 가상화폐 비트코인 관련 악성코드 또한 크게 증가할 것으로 보인다. 이에 Mac 또한 예외없이 이 악성코드에 대한 대비책이 있어야 할 것이다.

 

  (4) BotNet - Luaddit

iWorm이라는 이름으로도 알려진 Luaddit 악성코드는 2014년 9월 해외 보안업체 Dr. Web에 의해 발견되었다.

[그림 5] Luaddit (출처: Dr. Web)

 

Luaddit 악성코드는 일반적인 Trojan 악성코드와 유사하나, 감염된 Mac과 관련되어 확인된 IP 가 1만 7천여 개 이상이라는 것이 특이점이다. 이는 윈도우뿐만 아니라 Mac 에서도 대규모 Botnet에 감염될 수 있다는 것을 의미한다. 물론 Flashback 악성코드와 같은 Mac의 대규모 악성코드 감염 사례가 이미 있었지만, 이 Luaddit 악성코드는 윈도우와 마찬가지로 Mac 또한 악성코드로 인한 대규모 피해로부터 안전지대가 아니라는 것을 다시 한 번 확실히 보여주었다. 당시에 해당 악성코드는 애플사의 XProtect 에도 'iWorm'이라는 이름으로 업데이트되었고, 자사에서는 'Luaddit'로 진단이 가능하다.

 

  (5) Modular & Open Source - Ventir

2014년 10월에 발견된 Ventir는 다양한 기능이 모듈화된 악성코드로 확인되었다. 보통 악성코드들은 정보탈취, 원격제어 등 하나의 기능과 목적을 위해 제작되는 반면, Ventir 악성코드는 Dropper 파일 안에 키로거, 백도어, 이벤트 모니터 등의 기능들이 모두 모듈화되어 있었다. 아래 그림은 하나의 Dropper 안에서 각각의 기능을 수행하는 파일들의 위치를 보여준다.

 

[그림 6] 각 모듈의 파일 위치 (출처: Kaspersky)

 

Ventir 악성코드의 대표적 특징은 모듈들 중 오픈 소스가 사용된 점이다. 이러한 오픈 소스는 사용자들이 자유롭게 이용이 가능하며, Github 과 같은 사이트를 통한 코드 공유가 매우 편리하다. 위에서 언급한 Gh0st RAT 툴도 이러한 오픈 소스의 한 예로 볼 수 있다. 이러한 오픈 소스를 적극 활용한 악성코드 배포가 증가하게 되면, 상대적으로 악성코드로부터 안전하다고 여겨지는 Mac OS X 를 대상으로 한 새로운 악성코드 제작도 매우 쉬워진다. 따라서 이 악성코드는 그 자체로 끼치는 피해로만 그치는 것이 아니라, 다양한 악성코드 증가에도 큰 영향을 끼칠 것으로 보인다.

 

  (6) New Era - Wirelurker

가장 최근인 11월에 발견된 악성코드 Wirelurker 는 기존과 다른 새로운 형태의 악성코드였다. 윈도우가 아닌 OS X, iOS 만을 타깃으로 하여 제작되었고, 아래 그림과 같이 1. 사용자가 3rd 파티 앱스토어에서 악성코드를 다운로드 받아 설치를 하면, 2. 감염된 Mac 은 이미 감염되어 있는 악성앱을 다시 다운로드하고 USB 연결을 모니터링 한다. 3. 이후, 사용자가 아이폰을 Mac 컴퓨터와 연결했을 때 4. 악성앱이 아이폰에 설치된다.

 

[그림 7] iOS 감염 과정

 

중국에서 만든 것으로 추정되는 이 악성코드는, 기존의 정상앱 리패키징을 이용한 점, USB 연결을 통해 iOS 를 감염시킨 점, 그리고 탈옥하지 않은 스마트폰도 감염시킨다는 것이 특이점이다. 그리고 이러한 점은 과거에 발견되지 않은 형태로, 일반적으로 악성코드로부터 상당히 안전하다고 평가받는 iOS 도 안드로이드와 다름없이 위협하고 있다. 당시에 해당 악성코드로 인해 큰 피해가 발생한 것은 아니지만, OS X 와 iOS 시스템과 관련해 종전보다 한층 정교한 기술을 보여주기 때문에, 이후 나올 악성코드에 많은 영향을 끼칠 것으로 보인다.

 

 

  3. Conclusion

보통 맥 사용자들은 윈도우가 아닌 OS X를 사용한다는 이유 때문에 악성코드로부터 자유로울 수 있다고 생각할지 모른다. 물론 윈도우에 비해 맥 악성코드가 많지 않고 그 파급력 역시 현재는 크지 않기에 틀린 말은 아니다. 그러나2014년에 발견된 맥 관련 악성코드들을 살펴보면, Mac 역시 앞으로 악성코드의 위협에서 결코 자유로울 수 없다는 것을 확인할 수 있다.

위에서 언급했던 Mac 악성코드의 대표적 양상인 크로스 플랫폼 공격 형태는 2014년에 새로 등장한 게 아니라, 과거부터 현재까지 계속적으로 발견되어 온 형태의 악성코드다. 더 나아가 위에서 말했듯이 Wirelurker 악성코드처럼 기술적으로 수준이 높은 Mac의 OS만을 대상으로 한 악성코드 또한 이미 등장했다. 즉 OS X, iOS의 악성코드는 계속 진화하고 있으며, 그 속도는 점점 빨라진다는 것을 알 수 있다. 또한 RAT, Bitcoin, 오픈 소스 등을 이용한 악성코드를 통해 확인했듯이, Mac 악성코드 또한 사회적 흐름에 따라 파급 분야는 다양해지고, 기술적으로는 점점 체계화되고 정교해지고 있다.

 

이러한 악성코드 예방을 위해 최소한 아래 세 가지는 반드시 기억하도록 하자.

(1) 검증된 소프트웨어 다운로드 및 설치, 최신 업데이트

(2) 시작 시, 등록된 App 확인

 

[그림 8] (좌) 검증되지 않은 App 실행 / (우) 시작 시, 실행되는 App 설정


(3) 백신 소프트웨어 설치

 

[그림 9] 자사의 V3 for Mac

 

끝으로 윈도우든 Mac 이든 모든 기술은 완벽할 수 없다. 2015 년에는 핀테크, 사물인터넷 등 새로운 기술들이 우리 생활에 더 가까이 다가올 것이다. 그러나 국내 사용자들의 보안 인식과 패러다임을 바꾸지 않는다면 아무리 최고의 기술도, 편리한 기술도 보안 문제로 인해 자유롭게 사용할 수 없을지 모른다. 충분한 보안 인식을 토대로 했을 때에만, 사용자들은 새로운 기술을 완벽하게 누릴 수 있을 것이다.

 

V3 for Mac 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

OSX64-Trojan/Laoshu

OSX32-Dropper/Luaddit

OSX64-Trojan/Wirelurker 외 다수.

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by DH, L@@

ASEC에서는 8월 29일 "오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포"를 통해 오라클 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다.


한국 시간으로 8월 31일 금일 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 제거 할 수 있는 보안 패치를 보안 권고문 "Oracle Security Alert for CVE-2012-4681"를 통해 공개하였다.


현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 JAR 파일이 공다 팩(GongDa Pack)블랙홀(Blackhole)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 통해 백도어 기능을 수행하는 윈도우 악성코드와 맥(Mac) 악성코드 등 지속적으로 다양한 형태의  악용 사례가 발견되고 있다.


그러므로, 오라클에서 배포 중인 해당 보안 패치를 즉시 설치하여 해당  CVE-2012-4681 취약점을 악용하는 다양한 보안 위협을 예방하는 것이 중요하다.


오라클에서 배포 중인 보안 패치를 포함한 최신 버전은 웹 사이트 "무료 Java 다운로드" 또는 "Java SE Downloads"를 통해 다운로드 가능하다.


그리고 기존 버전이 설치되어 있다면 아래와 같은 절차를 통해 자동 업데이트 및 설치가 가능하다.


1. 윈도우 제어판에서 [자바 제어판] 실행 후, 상단 [갱신] 탭을 클릭하여 [자동 갱신 확인]에 체크가 되어 있는지 확인하고 없다면 체크 하도록 한다. 그리고 하단의 [지금 갱신]을 클릭한다.



2. [자동 갱신 확인]에 체크 한 후 [지금 갱신]을 클릭하면 아래 이미지와 같이 자동 업데이트가 진행된다.



앞서 언급한 바와 같이 현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 사례가 존재함으로 해당 보안 패치를 즉시 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

2012년 7월 21일 일본 국내 언론들을 통해 "Finance Ministry reveals 2010-2011 computer virus; info leak feared" 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다.


ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다.


이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인젝션하게 된다.


C::\[악성코드 실행 경로]\tabcteng.dll (114,688 바이트)


그리고 다음 레지스트 경로에 키 값을 생성하여 감염된 시스템이 재부팅하더라도 자동 실행 되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Netman\Parameters\ServiceDll

"C:\[악성코드 실행 경로]\tabcteng.dll"


감염된 시스템에 존재하는 인터넷 익스플로러(Internet Explorer)의 실행 파일 iexplorer.exe를 실행 시켜 HTTP로 외부에 존재하는 시스템으로 접속을 시도하나 테스트 당시에는 정상 접속이 되지 않았다.


이 번 일본 재무성 침해 사고와 관련된 악성코드는 전형적인 백도어 형태의 악성코드로 실질적 악의적인 기능들은 생성된 tabcteng.dll (114,688 바이트) 에 의해 이루어지게 된다.


키보드 입력 가로채는 키로깅(Keylogging)

파일 생성 및 삭제

폴더 생성 및 삭제

운영 체제 정보

MAC 어드레스, IP, 게이트웨이(Gateway), WINS 서버 및 DNS 서버 주소

메모리, 하드 디스크 및 CPU 등 하드웨어 정보

생성되어 있는 사용자 계정들 정보


위와 같은 악의적인 기능들을 미루어 볼 때 해당 악성코드는 감염된 시스템을 거점으로 내부 네트워크의 다양한 정보들을 수집하기 위해 제작된 것으로 추정된다.


이 번에 알려진 일본 재무성 침해 사고 관련 악성코드는 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Agent 

Trojan/Win32.Agent 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Posted by 비회원

안드로이드(Android) 스마트폰의 사용율이 전 세계적으로 증감하에 따라 이와 관련된 다양한 보안 위협들이 발생하고 있다.


특히 해당 모바일(Mobile) 운영체제에서 동작하는 악성코드들은 2011년 하반기를 기점으로 기하 급수적으로 증가하고 있으며, 제작 목적 역시 금전 획득을 위한 목적으로 제작되는 사례들도 동반 증가하고 있다.


이러한 안드로이드 악성코드들의 유포는 현재까지 대부분이 구글(Google)에서 운영하는 안드로이드 앱스토어(Android Appstore) 또는 방문자가 많은 유명 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포되는 사례가 많았다.


그러나 현재는 허위 앱 스토어를 통해 직접 유포하거나 유명 앱들을 배포하는 웹 사이트로 위장하여 유포하는 방식 등으로 기존 윈도우(Windows) 운영체제 기반의 PC에 감염되는 악성코드들이 유포되는 방식들을 그대로 답습하는 형태로 발전하고 있다.


이러한 안드로이드 악성코드가 금일 기존 윈도우 운영체제 기반의 PC에 감염되었던 허위 백신들과 유사한 형태로 유포되는 사례가 발견되었다.


이러한 허위 백신 형태의 악성코드는 최근 애플 맥(Mac) 운영체제 사용자들이 증가함에 따라 맥 운영체제에서 동작하도록 제작된 사례들도 존재한다.


이 번에 발견된 안드로이드 운영체제에 감염되는 허위 백신들은 아래 이미지와 같이 정상적인 보안 관련  웹 사이트로 위장하고 있다.



해당 허위 보안 웹 사이트에서는 러시아어로 제작되었으며, "SIM 검사", "저장소 검사"와 "시스템 파일 검사" 등의 항목으로 실제 안드로이드 스마트폰의 보안 검사를 수행하는 것으로 위장하고 있다.


각 항목의 검사가 종료되면 아래 이미지와 같이 현재 사용하는 안드로이드 스마트폰에 어떠한 부분이 취약한지를 붉은 색으로 표기하며, 악성코드에 감염되었음의 허위 사실을 알려 사용자로 하여금 VirusScanner.apk 파일을 다운로드하여 설치하도록 유도한다.



해당 웹 사이트를 통해 다운로드 된 VirusScanner.apk를 안드로이드 스마트 폰에 설치하게 될 경우, 다음 이미지와 같이 러시아 보안 업체 캐스퍼스키(Kaspersky)의 보안 제품과 동일한 아이콘이 생성된다.



그리고 설치 과정에서 해당 허위 백신은 아래 이미지와 같은 권한들이 사용 됨을 안드로이드 스마트 폰 사용자들에게 보여주게 된다.




설치된 해당 안드로이드 허위 백신은 정상적인 사용을 위해서는 사용자에게 요금을 지불하도록 요구하여 금전적인 목적으로 제작된 안드로이드 악성코드이다.


이러한 허위 백신 형태의 악성코드는 PC 기반의 윈도우 운영체제와 맥 운영체제 뿐만이 아니라 안드로이드 스마트폰에서 까지 발견되었다는 점에서 향후 이러한 허위 백신 형태의 안드로이드 악성코드가 지속적으로 등장 할 것으로 예측 된다.


이 번에 발견된 허위 백신 형태의 안드로이드 악성코드들은 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/FakeAV

Android-Trojan/FakeAV.B 


안드로이드 스마트폰 사용자들은 안드로이드 앱들을 다운 받아 설치 할 때, 신뢰 할 수 있는 구글 앱 스토어나 통신사에서 운영하는 앱 스토어를 이용하는 주의가 필요하다.


그리고 안드로이드 보안 제품들 역시 신뢰 할 수 있는 전문 보안 업체에서 개발한 안드로이드 보안 앱을 다운로드하여 설치하는 것이 중요하다.


저작자 표시
신고
Posted by 비회원
2012년 1월 26일 해외를 중심으로 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)의 메시지를 통해 트위터 사용자 계정과 암호를 수집하기 위한 용도의 피싱(Phishing) 시도가 발견되었다.

이 번에 발견된 트위터에서 피싱 시도는 처음으로 있는 일이 아니며 2010년 2월 24일 트위터의 다이렉트 메시지(Direct Message)의 단축 URL(URL Shortening)을 이용해 피싱 웹 사이트로 접속을 유도한 사례가 있다.

금일 발견된 트위터에서의 피싱 웹 사이트로 접속을 유도하는 방식은 기존과 동일하게 단축 URL을 이용하여 사용자가 호기심을 가질만한 내용으로 위장하고 있다.

 
해당 트위터 메시지에 포함된 단축 URL을 클릭하게 되면 아래 이미지와 같이 트위터 사용자 로그인 페이지와 유사한 웹 사이트로 연결된다.

 
그러나 실제 해당 웹 사이트는 트위터 사용자 로그인 페이지로 위장하여 트위터 사용자 계정와 로그인 암호를 수집하기 위해 정교하게 제작된 피싱 웹 페이지이다.

그리고 입력되는 사용자 계정과 로그인 암호들 모두는 중국에 위치한 특정 시스템으로 전송하게 되어 있어 수집한 사용자 계정과 로그인 암호를 이용하여 다른 보안 위협 유포에 악용할 것으로 추정된다.

이러한 단축 URL을 이용하여 보안 위협을 유포한 사례들로는 2011년 1월 21일 단축 URL을 이용해 허위 백신 감염을 시도한 사례, 2011년 5월 15일 단축 URL을 이용해 맥(Mac) OS에 감염되는 허위 백신 유포 사례2011년 8월 9일 단축 URL을 이용해 신용카드 결제를 유도하는 스팸 메시지 유포 사례 등 다수가 존재함으로 단축 URL 클릭시에는 각별한 주의가 필요하다.

그러므로 트위터를 통해 잘 모르는 사람을 통해 전달 받은 메시지에 포함된 단축 URL 클릭시에는 주의를 기울여야 한다.
저작자 표시
신고
Posted by 비회원