분석 정보/모바일 분석 정보

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱!

TACHYON & ISARC 2013. 3. 20. 13:05
1. 소액결제사기는 지능화 중, 스미싱 경계경보!


안드로이드 기반 스마트폰 이용자를 노린 스미싱(Smishing) 사기범죄가 갈수록 다양화, 지능화되고 있는 한편 공격수위도 폭발적으로 증가하고 있는 추세이다. 그로 인해 많은 스마트폰 이용자들의 피해가 급증하고 있어 잉카인터넷 대응팀은 자체 비상 경계경보 상태를 유지하고 있다. 2013년 03월 09일, 공휴일 모바일 보안관제를 진행하던 중 새로운 사기수법을 추가적으로 발견하였다. 이 방식은 마치 실제 정상적인 소액결제 내용처럼 문구내용을 사칭하는 등 문자메시지(SMS) 수신자들의 호기심과 심리를 교묘히 역이용했고, 스마트폰 이용자들이 소액결제사기용 변종 악성앱(APK)에 좀더 쉽게 접근하고 감염되도록 현혹시키고 있다. 특히, 기존에 널리 알려져 있는 소액결제 대행업체의 승인확인용 문자메시지와 매우 유사하게 조작되어 있기 때문에 더 많은 피해로 연결될 가능성이 높아 보인다. 국내에 유포 중인 스미싱 수법이 점차 정교화되는 등 기법자체가 진화를 거듭하고 있고, 이용자들이 좀더 많이 악성앱에 노출되도록 유혹하는 등 다양한 수법을 도입하고 있다. 그렇기 때문에 시간이 지날 수록 악순환의 반복으로 이어질 것으로 우려된다.



혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

2. 소액결제내역 및 요금합산 청구내용으로 낚시질?


주말까지 포함해 국내에서 거의 매일 새롭게 발견되고 있는 변종 스미싱 수법은 실제 수 많은 피해자로 연결되고 있어 사회 전반적인 문제로 대두되고 있는 상황이다. 안드로이드 스마트폰의 문자메시지를 훔쳐낼 수 있는 악성앱과 구조적 취약성을 이용하는 사이버 범죄자들은 이미 불법적인 금전갈취와 고수익 창출을 통해 꾸준하게 스미싱 범행을 저지르고 있다.

[주의]스마트초이스 휴대폰 과다청구요금 미환급액조회 위장 스미싱
http://erteam.nprotect.com/403

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[주의]사이렌24 사칭, 주민번호 사용내역으로 스미싱 사기 진화
http://erteam.nprotect.com/397

[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
http://erteam.nprotect.com/389

[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
http://erteam.nprotect.com/386

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

이번에 새롭게 발견된 형태는 다음과 같은 문자내용으로 발견되었으며, 앞으로 얼마든지 비슷한 내용으로 조작할 수 있으므로 이용자들은 아래 문자메시지 내용을 숙지하여 유사한 모방사기에 대비하는 노력도 중요하다.

발신번호 사칭 : 1588-3355, 02-1588-3355

(다날)50000원 결제완료/익월 요금합산 청구/확인 goo.gl/*****

(다날)50000원 결제완료/익월 요금합산 청구/확인 2u.lc/****

(다날)50000원 결제완료/익월 요금합산 청구/확인 sm1.kr/**

(다날)50000원 결제완료/익월 요금합산 청구/확인 me2.do/********

[한국사이버결제]50000원결제/익월요금합산청구/잔여한도확인 goo.gl/*****[다날]

[#Update 2013. 03. 13]

(모빌리언스)80000원 결제완료/익월 요금합산 청구/확인 goo.gl/*****

[#Update 2013. 03. 15]

[아웃백] 33000원 결제완료/익월요금합산 청구/잔액확인 is.gd/******

[아웃백] 33000원 결제완료/익월요금합산 청구/잔액확인 x.co/****

[OUT BACK] 블랙패서스테이크&씨푸트콤보2인 무료시식이용권 is.gd/******

[#Update 2013. 03. 17]

[OUT BACK] 블랙패서스테이크&씨푸트콤보2인 무료시식이용권
http://me2.do/*********

[OUT BACK] 블랙패서스테이크&씨푸트콤보2인 무료시식이용권
http://ke***.com/**

[#Update 2013. 03. 18]

알투웹젠에서 38500원 결제완료,익월요금합산 청구. 내역확인 x.co/****

[KCP] 알투웹젠에서 38500원 결제완료,익월요금합산 청구됩니다.확인 x.co/****

[G마켓] 38000원 결제완료/익월요금합산 청구/잔액확인 x.co/**** [다날]

[멜론] 19800원 결제완료/익월요금으로 합산청구됩니다. 다날 결제내역 x.co/****

[아웃백] 33000원 결제완료/익월요금합산 청구/잔액확인 is.gd/******

[KCP] 인터파크 19800원 결제완료, 익월요금합산청구 결제내역확인 x.co/****

[#Update 2013. 03. 19]

[OUT BACK] 블랙패서스테이크&씨푸트콤보2인 무료시식이용권
http://woos*****.co.kr/**

[신세계몰] 33000원 결제완료/익월요금합산 청구/잔액확인 x.co/**** [다날]

[문자나라] 30000원결제/익월요금합산청구/잔여한도확인 to.ly/****

한게임19800원 결제완료,익월요금합산청구,다날결제내역확인 to.ly/****

[KG 모빌리언스]150.000원 결재완료/익월 요금에 청구합산:확인/market*******

[마켓(주)]승인번호(597842)입력시250.000원 정상구매: new*******.sin*********

(KG모빌리언스)50000원 결제완료/익월 요금합산 청구/확인
http://sm1.k****

휴대폰 소액 결제 58000원 승인 되었습니다. 결제처 : 11번가

[11번가]택배가 발송되었습니다. 간편하게 택배조회가 가능합니다 http://2u.lc/****

[롯데마트] vip고객님 3만원 상품권도착!(~4월30일까지!) http://sg**.co.kr/**

[#Update 2013. 03. 20]

에어부산편도특가(김포/부산/제주/출발)66%Sale http://is.gd/******

오늘 또 한마리 잡았습니다.한우 1++등급의 감동은 계속됩니다.http://derpy.me/*****

스와로브스키 화이트데이 선물전50%sale http://derpy.me/*****

인포허브 24500원 결제완료 결제확인 x.co/****

*** 급해서 그래 이리 전화좀 해줘 mar*****.net

화창한봄날 저희결혼합니다 축복해주세요♡ 2013년3월10일 http://iii.im/****



악성앱 내부에는 다음과 같이 조작되었던 다수의 아이콘이 포함되어 있다.


문자메시지에 포함되어 있는 단축 URL 주소를 클릭할 경우 악성앱(smartbilling.apk)이 다운로드되고, 해당 앱을 클릭하여 설치하면 많은 경우 최대 30만원 상당의 휴대폰 소액결제사기 피해를 입을 수 있다. 해당 앱을 설치했을 경우 신속하게 삭제하고, 모바일 백신 등으로 전체검사 등을 수행하는 노력이 필요하고, 해당 이동통신사(114)에 연락하거나 웹 사이트를 통해서 소액결제피해 여부 및 소액결제서비스 차단을 요청하여야 한다.

대부분의 스미싱 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다는 점을 기억해 두는 것이 좋다.

3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk


안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS