1. 스미싱을 통한 개인정보 중국 이메일로 유출
이에 잉카인터넷 대응팀은 현실적으로 무료 웹 메일의 도메인 접속 자체를 차단하는건 무리가 있어 악성앱에 포함되어 있던 이메일 계정의 접속차단을 시켰지만, 스미싱 범죄자들은 자신의 계정이 변경되지 않도록 보호장치를 추가하는 등 갈수록 지능화되고 있는 추세이다. 특히, 조사과정 중 공격자가 스미싱 범죄를 하기 위해서 모의로 사전 테스트한 내용과 일부 신상정보의 정황으로 보아 중국내 거주하는 한국인이거나 조선족으로 의심된다.
2. 스미싱 악성앱 정보
스미싱용 문자메시지는 다음과 같이 결혼식과 관련된 내용으로 위장하여 불특정다수에게 전파되었다. 더불어 공격자는 이미 문자 수신 대상자들에 대한 개인정보(주민번호, 전화번호 등)를 다수 보유하고 있는 상태로 악성앱 설치를 유도하게 된다.
스미싱용 문자메시지에 포함되어 있는 단축 URL 주소를 클릭하게 되면 악성앱(APK)이 이용자 단말기에 다운로드된다. 그 다음에 이용자가 해당 앱을 클릭하여 설치를 계속 진행하면 다음과 같이 연락처, 문자메시지, 인터넷, 휴대폰 정보 등의 민감한 기능에 접근하는 권한요구 화면을 볼 수 있게된다. 안드로이드 스마트폰 이용자들은 특정앱을 설치할 때 다음과 같은 정보들을 요구하는 앱을 볼 경우 악성앱에 노출될 수 있으므로, 각별히 주의하는 습관이 필요하다.
[설치]버튼을 클릭하면 기기관리자 기능 실행여부를 물어보고, 실행할 경우 이용자가 악성앱을 쉽게 삭제하지 못하도록 방해하게 된다. 이 부분은 기기관리자 기능을 통해서 사용자가 해제할 수 있다.
악성앱이 정상적으로 설치되면 이용자의 전화번호부와 문자메시지 등을 수집하여 중국의 특정 웹 메일 주소로 이용자 몰래 발송하게 된다.
다음 화면은 실제 악성앱의 내부코드 화면으로 문자메시지 내용 등을 이메일로 발송하는 것을 확인할 수 있다.
스미싱 범죄자는 중국 웹 메일 서비스(163.com)에 계정을 생성하고, 악성앱에 감염된 사용자들의 정보를 수집하도록 만들어 두었다.
악성앱에 감염되면 개인정보 유출과 함께 다음과 같이 범죄자에 의해서 다수의 휴대폰 소액결제사기 피해를 입게 된다. 아래는 극히 일부의 피해현황이며, 실제로 엄청난 양의 피해가 발생하고 있는 상황이다.
악성앱 제작자는 자신의 스마트폰 단말기를 이용해서 악성앱이 정상적으로 정보를 유출하는지 모의 테스트를 수행했으며, 그로 인해서 이메일에는 제작자의 스마트폰 정보가 고스란히 남아 있다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat
이에 잉카인터넷 대응팀은 현실적으로 무료 웹 메일의 도메인 접속 자체를 차단하는건 무리가 있어 악성앱에 포함되어 있던 이메일 계정의 접속차단을 시켰지만, 스미싱 범죄자들은 자신의 계정이 변경되지 않도록 보호장치를 추가하는 등 갈수록 지능화되고 있는 추세이다. 특히, 조사과정 중 공격자가 스미싱 범죄를 하기 위해서 모의로 사전 테스트한 내용과 일부 신상정보의 정황으로 보아 중국내 거주하는 한국인이거나 조선족으로 의심된다.
2. 스미싱 악성앱 정보
[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428
[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ http://erteam.nprotect.com/425
[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ http://erteam.nprotect.com/426
[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/424
[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ http://erteam.nprotect.com/422
[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ http://erteam.nprotect.com/420
[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ http://erteam.nprotect.com/419
[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ http://erteam.nprotect.com/418
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
☞ http://erteam.nprotect.com/428
[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ http://erteam.nprotect.com/425
[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ http://erteam.nprotect.com/426
[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/424
[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ http://erteam.nprotect.com/422
[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ http://erteam.nprotect.com/420
[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ http://erteam.nprotect.com/419
[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ http://erteam.nprotect.com/418
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
스미싱용 문자메시지는 다음과 같이 결혼식과 관련된 내용으로 위장하여 불특정다수에게 전파되었다. 더불어 공격자는 이미 문자 수신 대상자들에 대한 개인정보(주민번호, 전화번호 등)를 다수 보유하고 있는 상태로 악성앱 설치를 유도하게 된다.
스미싱용 문자메시지에 포함되어 있는 단축 URL 주소를 클릭하게 되면 악성앱(APK)이 이용자 단말기에 다운로드된다. 그 다음에 이용자가 해당 앱을 클릭하여 설치를 계속 진행하면 다음과 같이 연락처, 문자메시지, 인터넷, 휴대폰 정보 등의 민감한 기능에 접근하는 권한요구 화면을 볼 수 있게된다. 안드로이드 스마트폰 이용자들은 특정앱을 설치할 때 다음과 같은 정보들을 요구하는 앱을 볼 경우 악성앱에 노출될 수 있으므로, 각별히 주의하는 습관이 필요하다.
[설치]버튼을 클릭하면 기기관리자 기능 실행여부를 물어보고, 실행할 경우 이용자가 악성앱을 쉽게 삭제하지 못하도록 방해하게 된다. 이 부분은 기기관리자 기능을 통해서 사용자가 해제할 수 있다.
악성앱이 정상적으로 설치되면 이용자의 전화번호부와 문자메시지 등을 수집하여 중국의 특정 웹 메일 주소로 이용자 몰래 발송하게 된다.
다음 화면은 실제 악성앱의 내부코드 화면으로 문자메시지 내용 등을 이메일로 발송하는 것을 확인할 수 있다.
스미싱 범죄자는 중국 웹 메일 서비스(163.com)에 계정을 생성하고, 악성앱에 감염된 사용자들의 정보를 수집하도록 만들어 두었다.
악성앱에 감염되면 개인정보 유출과 함께 다음과 같이 범죄자에 의해서 다수의 휴대폰 소액결제사기 피해를 입게 된다. 아래는 극히 일부의 피해현황이며, 실제로 엄청난 양의 피해가 발생하고 있는 상황이다.
악성앱 제작자는 자신의 스마트폰 단말기를 이용해서 악성앱이 정상적으로 정보를 유출하는지 모의 테스트를 수행했으며, 그로 인해서 이메일에는 제작자의 스마트폰 정보가 고스란히 남아 있다.
3. 스미싱 예방법 및 대응책
스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.
◈ "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]소켓통신(WinSock)을 가로채기하는 전자금융사기 수법 추가 등장 (0) | 2013.07.15 |
---|---|
[주의]통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견 (0) | 2013.07.11 |
[긴급]6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중 Update # 130701-21 (1) | 2013.07.01 |
[주의]국내 인터넷 뱅킹용 악성파일 포털사이트 접근까지 변조시도 (0) | 2013.05.28 |
[긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 [#Update 2013. 03. 27. 01] (9) | 2013.03.20 |