분석 정보/모바일 분석 정보

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승!

TACHYON & ISARC 2013. 4. 4. 11:32

1. 스미싱 사기수법의 진화


잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 겨냥한 스미싱(Smishing) 사기수법을 모니터링하던 중, 국내 모바일 보안제품처럼 위장한 악성앱 형태를 다수 발견하였다. 작년 하반기부터 최근까지 안드로이드 악성앱을 이용한 스마트폰 소액결제사기가 급증하였고, 불법 도청기능까지 가능한 스파이앱 등이 사회적인 문제로 대두되면서 모바일 보안에도 관심이 높아지고 있다. 이런 가운데 한국 맞춤형 안드로이드 악성앱은 꾸준히 증가하면서 공격자들은 마치 정상적인 보안앱처럼 보이도록 하기 위한 속임수 수법도 적극적으로 도입하고 있다. 스마트폰 이용자들은 최대한 공식 앱 사이트에서 제작 배포하는 APK 파일을 받아 설치하도록 하며, 스마트폰 문자메시지(SMS)로 도착한 인터넷 주소로는 가급적 접근하지 않는 것이 좋겠다. 아울러 별도의 안드로이드 앱이 다운로드되는 경우 십중팔구 악성앱일 가능성이 높다는 것을 명심해야 한다.

특히, 최근들어 국내에 널리 알려져 있는 모바일 보안 제품처럼 사칭하는 경우가 많다는 점을 유념하고, 의심스러운 문자메시지를 받은 경우 신속하게 신고하고 접근하지 않는 것이 안전하다.

★ 소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[주의]스마트초이스 휴대폰 과다청구요금 미환급액조회 위장 스미싱
http://erteam.nprotect.com/403

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[긴급]나이스아이핀 가상주민번호 재발급, 국민연금 미납 사칭 스미싱 등장
http://erteam.nprotect.com/401

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[주의]사이렌24 사칭, 주민번호 사용내역으로 스미싱 사기 진화
http://erteam.nprotect.com/397

[주의]CU 편의점, 베스킨라빈스 악마의 쇼콜라 시식권 사칭 악성앱 문자기승
http://erteam.nprotect.com/389

[주의]맥도날드, 스타벅스 등 각종 이벤트 문자사칭 악성앱의 역습
http://erteam.nprotect.com/386

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹
http://erteam.nprotect.com/392

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견
http://erteam.nprotect.com/388

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

2. 한국형 모바일 보안제품으로 둔갑

안드로이드 악성앱들이 국내 유명 모바일 보안제품처럼 모방하고 사칭하여 이용자들을 현혹시키고 있어, 이용자들의 각별한 주의가 요망된다. 아래화면은 V3 Mobile 제품처럼 위장한 형태로 설치된 경우이다.

혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭하여 앱을 설치하지 마시고, 해당 문자화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부하여 제보해 주시면 분석 후에 신속하게 악성여부 등의 결과를 통보해 드리고 nProtect Mobile for Android 제품에 치료 기능을 추가해 드리고 있습니다.


"V3모바일백신" 이라는 이름과 V3 Lite 제품의 이미지로 위장하고 있고, 악성앱 내부에는 다음과 같이 "ic_launcher.png" 이미지 리소스를 포함시켜 마치 V3 Lite 처럼 보이도록 사용하고 있으며, 아이콘을 실행하면 정상적인 안랩 모바일 사이트(http://m.ahnlab.com/kr/site/main/main.do)로 연결시켜 사용자로 하여금 정상적인 앱으로 보이도록 스스로를 위장하게 된다.


악성앱은 중국의 특정 도메인(http://phon.bmwzoa.net/update_product.php)로 접근하여 문자메시지(SMS) 유출시도 등 악의적인 안드로이드 악성앱 기능을 수행하게 된다.

다음으로는 최신금융사기 및 복권당첨 내용 등으로 위장하여 전파된 스미싱용 악성앱으로 마치 국내 유명 포털사이트와 유사한 인터넷 주소처럼 위장하였던 방식이다. 그런데 이 악성앱은 설치 유도시에 이스트소프트사의 알약 안드로이드 제품처럼 이미지를 위장하고 있으며, 실제로는 존재하지 않는 "알약 다운하기" 버튼을 추가하여 이용자로 하여금 스스로 악성앱을 설치하도록 유도한다.


실제 알약 안드로이드 제품과 가짜 알약 안드로이드 화면을 비교하면 아래와 같고, 진짜 알약 안드로이드 제품에는 "알약 다운하기"라는 버튼이 존재하지 않으며, 트위터 및 페이스북 추천 버튼이 있지만 가짜 화면은 해당 내용이 제거되어 있고, 웹페이지로 구성되어 있다. 단순 이미지로 만들어진 화면이며, 그림파일은 악성앱 APK 파일에 링크되어 있다.

이처럼 안드로이드 악성앱 제작자들이 마치 정상적인 국내 모바일 보안제품처럼 모방하고 사칭하는 형태가 꾸준히 발견되고 있으므로, 이용자들의 각별한 주의가 필요하다.

더불어 nProtect Mobile for Android 제품을 위장한 형태도 다수 유포된 바 있다.

[주의]nProtect Mobile 제품으로 위장한 안드로이드 악성앱 등장
http://erteam.nprotect.com/405


3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

com.inca.nprotect_2.1.91.apk


안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS