1. 사이렌24 서비스로 위장한 소액결제사기 문자 주의
★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
더불어 안드로이드 스마트폰 이용자들은 최근들어 모바일 쿠폰이나 외식상품권 문자 내용이 아닌 다양한 내용으로 사기수법을 변경하고 있다는 점을 명심하여 문자메시지에 포함된 인터넷 주소(URL) 클릭에 세심한 주의가 필요하겠다. 또한, 최근들어 사생활감시 목적으로 문자메시지를 훔쳐내거나, 모바일 디도스 공격용의 악성앱이 급격히 증가하고 있다는 점을 인식하여, 인터넷 주소가 포함된 의심스러운 문자메시지는 절대로 클릭하지 않도록 하는 각별한 주의가 요구된다.
2. 내 주민번호가 도용되었다는 내용으로 낚시!
이번에 발견된 휴대폰소액결제 사기수법은 안드로이드 악성앱을 이용자가 최대한 신뢰하고 악성 APK 앱을 설치하도록 새로운 방식을 도입하였다. 마치 문자메시지 수신자의 주민번호가 불법 도용되어 사용된 내역이 확인된 것처럼 이용자의 관심을 유발시키고, 널리 알려져 있는 실제 명의도용방지 서비스인 사이렌24 내용으로 확인하라고 악성앱 설치용 단축URL 주소를 클릭하도록 유도한다.
[#Update 2013. 03. 06]
아래와 같이 주민번호 사용내역이나 유출건수를 증가시키면서 사용자를 현혹시키는 문자폭탄 형태도 발견된 상태이다.
[#Update 2013. 03. 07]
문자메시지를 수신한 사용자가 문자에 포함되어 있던 단축 URL주소를 클릭하게 되면 아래와 같이 "smartbilling.apk", "coupon.apk", "sr24.apk" 라는 악성앱이 다운로드된다.
다운로드가 완료된 "smartbilling.apk" 파일을 클릭하게 되면 마치 사이렌24(SIREN 24) 관련 앱처럼 위장하여 아래와 같이 악성앱 설치가 시도된다.
[설치]버튼을 클릭하여 사용자가 해당 앱 설치를 완료할 경우 스마트폰에는 다음과 같이 [SIREN 24] 아이콘과 이름으로 위장된 휴대폰 소액결제사기 기능의 악성앱이 설치되며, 이용자의 명의가 도용되고, 소액결제승인문자 메시지가 유출되어 많은 경우 약 30만원 상당의 금전적인 피해를 입을 수 있게 된다.
악성앱 내부에는 기존에 위장했던 다양한 아이콘 리소스들이 포함되어 있다.
이런 악성앱을 설치한 경우 이용자는 신속하게 해당 앱을 삭제하여야 하고, 해당 이동통신사 등에 소액결제 피해여부 등을 파악해보고, 소액결제 서비스를 사용하지 않는 경우 이통사에 차단을 요청해 두면 유사한 소액결제사기 피해를 최소화할 수 있다.
또한, 악성앱이 실행되면 아래와 같이 가짜 에러 메시지 창을 띄어 사용자로 하여금 일시적인 접속장애로 오인하도록 조작한다. 이는 스미싱 사이버 범죄 사기범들로 하여금 소액결제 사기를 진행하는데 필요한 시간을 확보하고, 이용자로 하여금 해당 앱이 악성앱이 아닌것처럼 위장하기 위한 사기수법이다.
해당 악성앱은 기존 KRSpammer 변종으로 안드로이드 기반 소액결제 승인문자 메시지를 가로채기하는 악성앱이다.
3. 예방 조치 방법
대부분의 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.
만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.
방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.
소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
더불어 안드로이드 스마트폰 이용자들은 최근들어 모바일 쿠폰이나 외식상품권 문자 내용이 아닌 다양한 내용으로 사기수법을 변경하고 있다는 점을 명심하여 문자메시지에 포함된 인터넷 주소(URL) 클릭에 세심한 주의가 필요하겠다. 또한, 최근들어 사생활감시 목적으로 문자메시지를 훔쳐내거나, 모바일 디도스 공격용의 악성앱이 급격히 증가하고 있다는 점을 인식하여, 인터넷 주소가 포함된 의심스러운 문자메시지는 절대로 클릭하지 않도록 하는 각별한 주의가 요구된다.
[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
☞ http://erteam.nprotect.com/389
[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
☞ http://erteam.nprotect.com/392
[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
☞ http://erteam.nprotect.com/388
[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
☞ http://erteam.nprotect.com/386
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
☞ http://erteam.nprotect.com/389
[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
☞ http://erteam.nprotect.com/392
[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
☞ http://erteam.nprotect.com/388
[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
☞ http://erteam.nprotect.com/386
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
2. 내 주민번호가 도용되었다는 내용으로 낚시!
이번에 발견된 휴대폰소액결제 사기수법은 안드로이드 악성앱을 이용자가 최대한 신뢰하고 악성 APK 앱을 설치하도록 새로운 방식을 도입하였다. 마치 문자메시지 수신자의 주민번호가 불법 도용되어 사용된 내역이 확인된 것처럼 이용자의 관심을 유발시키고, 널리 알려져 있는 실제 명의도용방지 서비스인 사이렌24 내용으로 확인하라고 악성앱 설치용 단축URL 주소를 클릭하도록 유도한다.
발신번호 사칭 : 1577-1006
고객님 주민번호 사용내역2건. IP추적 성공,확인 사이렌24로 vo.to/***
고객님 주민번호 사용내역2건. IP추적 성공,확인 사이렌24로 vo.to/***
[#Update 2013. 03. 06]
발신번호 사칭 : 02-1577-1006
(24)
고객님 주민번호 사용내역2건.
ip2건.추적 성공. 확인
사이렌24로http://sm1.kr/
(24)
고객님 주민번호 사용내역2건.
ip2건.추적 성공. 확인
사이렌24로http://sm1.kr/
아래와 같이 주민번호 사용내역이나 유출건수를 증가시키면서 사용자를 현혹시키는 문자폭탄 형태도 발견된 상태이다.
[#Update 2013. 03. 07]
발신번호 사칭 : 021551006
사이렌24신용정보(주)고개님
주민번호사용내역2건.명의도용방지
siren24.i***.com/
사이렌24신용정보(주)고개님
주민번호사용내역2건.명의도용방지
siren24.i***.com/
문자메시지를 수신한 사용자가 문자에 포함되어 있던 단축 URL주소를 클릭하게 되면 아래와 같이 "smartbilling.apk", "coupon.apk", "sr24.apk" 라는 악성앱이 다운로드된다.
다운로드가 완료된 "smartbilling.apk" 파일을 클릭하게 되면 마치 사이렌24(SIREN 24) 관련 앱처럼 위장하여 아래와 같이 악성앱 설치가 시도된다.
[설치]버튼을 클릭하여 사용자가 해당 앱 설치를 완료할 경우 스마트폰에는 다음과 같이 [SIREN 24] 아이콘과 이름으로 위장된 휴대폰 소액결제사기 기능의 악성앱이 설치되며, 이용자의 명의가 도용되고, 소액결제승인문자 메시지가 유출되어 많은 경우 약 30만원 상당의 금전적인 피해를 입을 수 있게 된다.
악성앱 내부에는 기존에 위장했던 다양한 아이콘 리소스들이 포함되어 있다.
이런 악성앱을 설치한 경우 이용자는 신속하게 해당 앱을 삭제하여야 하고, 해당 이동통신사 등에 소액결제 피해여부 등을 파악해보고, 소액결제 서비스를 사용하지 않는 경우 이통사에 차단을 요청해 두면 유사한 소액결제사기 피해를 최소화할 수 있다.
또한, 악성앱이 실행되면 아래와 같이 가짜 에러 메시지 창을 띄어 사용자로 하여금 일시적인 접속장애로 오인하도록 조작한다. 이는 스미싱 사이버 범죄 사기범들로 하여금 소액결제 사기를 진행하는데 필요한 시간을 확보하고, 이용자로 하여금 해당 앱이 악성앱이 아닌것처럼 위장하기 위한 사기수법이다.
Error!
Error Code: [Error]현재 접속자가 많아 연결이 되지않습니다. 잠시 후에 다시 접속하시기 바랍니다. [확인]
Error Code: [Error]현재 접속자가 많아 연결이 되지않습니다. 잠시 후에 다시 접속하시기 바랍니다. [확인]
해당 악성앱은 기존 KRSpammer 변종으로 안드로이드 기반 소액결제 승인문자 메시지를 가로채기하는 악성앱이다.
3. 예방 조치 방법
대부분의 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.
만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.
방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.
소액결제피해민원 중재센터
휴대폰소액결제 민원신고 818센터 (www.sinmungo.org)
방송통신위원회 (www.ekcc.go.kr)
전자거래분쟁조정위원회 (www.ecmc.or.kr)
공정거래위원회 (www.ftc.go.kr)
소비자상담센터 (www.ccn.go.kr)
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.
4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.
4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
◆ nProtect Mobile for Android 탐지 진단명
- Trojan-SMS/Android.KRSpammer.A
- Trojan-SMS/Android.KRSpammer.B
- Trojan-SMS/Android.KRSpammer.C
- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E
- Trojan/Android.KRSpammer.F
- Trojan/Android.KRSpammer.G
- Trojan/Android.KRSpammer.H
- Trojan/Android.KRSpammer.I
- Trojan/Android.KRSpammer.J
- Trojan/Android.KRSpammer.K
- Trojan/Android.KRSpammer.L
- Trojan/Android.KRSpammer.M
- Trojan/Android.KRSpammer.N
- Trojan/Android.KRSpammer.O
- Trojan/Android.KRSpammer.P
- Trojan/Android.KRSpammer.Q
- Trojan/Android.KRSpammer.R
- Trojan/Android.KRSpammer.S
- Trojan/Android.KRSpammer.T
- Trojan/Android.KRSpammer.U
- Trojan/Android.KRSpammer.V
- Trojan/Android.KRSpammer.W 외 다수
◈ nProtect Mobile for Android 다운로드 URL
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| [주의]스마트초이스 휴대폰 과다청구요금 미환급액조회 위장 스미싱 (0) | 2013.03.08 |
|---|---|
| [주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려 (0) | 2013.03.08 |
| [긴급] 안드로이드전용 모바일 보안업데이트로 위장한 DDoS 악성 앱 [#Update 2013. 03. 10] (3) | 2013.03.06 |
| [긴급]안드로이드 스마트폰 이용자를 겨냥한 스파이앱 표적공격 증가 [Update #02] (1) | 2013.02.28 |
| [주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승 (0) | 2013.02.27 |