1. 보안설정 변경 내용으로 사칭한 스미싱 출현
참고로 최근에는 모바일 청첩장, 돌잔치 초대장을 위장한 스미싱이 꾸준히 유행하고 있으며, 우체국이나 법원의 등기우편물, 동창찾기, 추석 상품권, 놀이공원 이용권, 사회적인 이슈 등을 교묘하게 사칭하고 있어 이용자들은 이런 유사한 형태의 문자메시지에 포함된 단축 URL 주소를 무심코 실행하지 않도록 하여야 한다.
■ 돌잔치 내용으로 위장하여 전파된 스미싱 악성앱 상세분석 보고서
2. 알 수 없는 출처 체크를 유도하는 스미싱
국내에서 시판되는 대부분의 안드로이드 기반 스마트폰 단말기는 환경설정의 보안옵션에 "알 수 없는 출처" 라는 디바이스 관리 기능이 존재하고 초기 설정 값으로 해제되어 있다. 이 기능은 구글 플레이 공식마켓이 아닌 별도의 과정으로 설치 시도되는 앱을 허용하지 않도록 하는 일종의 보안 기능이다. 보통 스미싱으로 유포되는 악성앱은 "알 수 없는 출처" 기능의 체크가 해제되어 있는 경우 설치를 미연에 방지할 수 있다. 그러나 많은 이용자들이 안드로이드의 특성 상 서드파티 마켓이나 개인별로 앱을 공유하는 과정에서 이 기능을 활성화해서 사용하는 경우가 많다.
이번에 발견된 스미싱의 경우 이용자로 하여금 특정 사이트로 접속하도록 유인하는 과정에서 이 보안설정을 변경하도록 유도하는 화면을 보여준다. 이용자들은 이 화면에 절대로 현혹되지 않도록 주의해야 한다.
현재까지 2가지 형태가 몇 차례 발견되었으며, 앞으로 유사한 형태가 다수 제작될 것으로 예상된다.
아래는 [보안앱 설치하기] 내용으로 사칭하여 악성앱 설치를 유도하는 사례이다.
아래는 [보안 도우미 다운로드] 내용으로 사칭하여 악성앱을 설치하도록 유도하는 사례이다.
이용자에게 알 수 없는 출처 또는 알 수 없는 소스 등의 체크를 하도록 유인하며, 다운로드가 완료된 악성앱을 클릭하여 설치가 진행되도록 유혹하고 있다.
평상시 직접 앱을 설치하는 경우가 아닌 경우 가급적 "알 수 없는 출처" 부분은 체크를 해제해 두는 것이 보안상 안전하며, 스미싱을 원천적으로 차단할 수 있는 솔루션을 설치해서 사용하는 보안습관이 중요하다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat
참고로 최근에는 모바일 청첩장, 돌잔치 초대장을 위장한 스미싱이 꾸준히 유행하고 있으며, 우체국이나 법원의 등기우편물, 동창찾기, 추석 상품권, 놀이공원 이용권, 사회적인 이슈 등을 교묘하게 사칭하고 있어 이용자들은 이런 유사한 형태의 문자메시지에 포함된 단축 URL 주소를 무심코 실행하지 않도록 하여야 한다.
■ 돌잔치 내용으로 위장하여 전파된 스미싱 악성앱 상세분석 보고서
Trojan_Android.KRSpyBot.BHR_up.apk 분석보고서.pdf
Trojan_Android.KRSpyBot.BGK_nh.apk 분석보고서.pdf
[주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경
☞ http://erteam.nprotect.com/431
[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428
[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ http://erteam.nprotect.com/425
[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ http://erteam.nprotect.com/426
[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/424
[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ http://erteam.nprotect.com/422
[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ http://erteam.nprotect.com/420
[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ http://erteam.nprotect.com/419
[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ http://erteam.nprotect.com/418
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
☞ http://erteam.nprotect.com/431
[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428
[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
☞ http://erteam.nprotect.com/425
[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
☞ http://erteam.nprotect.com/426
[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
☞ http://erteam.nprotect.com/424
[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가
☞ http://erteam.nprotect.com/422
[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견
☞ http://erteam.nprotect.com/420
[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
☞ http://erteam.nprotect.com/419
[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
☞ http://erteam.nprotect.com/418
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
2. 알 수 없는 출처 체크를 유도하는 스미싱
국내에서 시판되는 대부분의 안드로이드 기반 스마트폰 단말기는 환경설정의 보안옵션에 "알 수 없는 출처" 라는 디바이스 관리 기능이 존재하고 초기 설정 값으로 해제되어 있다. 이 기능은 구글 플레이 공식마켓이 아닌 별도의 과정으로 설치 시도되는 앱을 허용하지 않도록 하는 일종의 보안 기능이다. 보통 스미싱으로 유포되는 악성앱은 "알 수 없는 출처" 기능의 체크가 해제되어 있는 경우 설치를 미연에 방지할 수 있다. 그러나 많은 이용자들이 안드로이드의 특성 상 서드파티 마켓이나 개인별로 앱을 공유하는 과정에서 이 기능을 활성화해서 사용하는 경우가 많다.
이번에 발견된 스미싱의 경우 이용자로 하여금 특정 사이트로 접속하도록 유인하는 과정에서 이 보안설정을 변경하도록 유도하는 화면을 보여준다. 이용자들은 이 화면에 절대로 현혹되지 않도록 주의해야 한다.
현재까지 2가지 형태가 몇 차례 발견되었으며, 앞으로 유사한 형태가 다수 제작될 것으로 예상된다.
아래는 [보안앱 설치하기] 내용으로 사칭하여 악성앱 설치를 유도하는 사례이다.
아래는 [보안 도우미 다운로드] 내용으로 사칭하여 악성앱을 설치하도록 유도하는 사례이다.
이용자에게 알 수 없는 출처 또는 알 수 없는 소스 등의 체크를 하도록 유인하며, 다운로드가 완료된 악성앱을 클릭하여 설치가 진행되도록 유혹하고 있다.
평상시 직접 앱을 설치하는 경우가 아닌 경우 가급적 "알 수 없는 출처" 부분은 체크를 해제해 두는 것이 보안상 안전하며, 스미싱을 원천적으로 차단할 수 있는 솔루션을 설치해서 사용하는 보안습관이 중요하다.
3. 스미싱 예방법 및 대응책
스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.
◈ "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제하고, 알 수 없는 출처의 앱이 설치되지 않도록 설정한다.
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]금융결제원(YESSIGN) 내용으로 사칭한 악성파일 등장 (0) | 2013.09.06 |
---|---|
[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견 (0) | 2013.08.30 |
[주의]정상 시스템파일을 이용한 KRBanker 등장 (0) | 2013.08.08 |
[주의]표적공격 유발자 HWP 악성파일 지속 출현 (1) | 2013.08.08 |
[주의]LNK 취약점 이용한 지능화된 표적공격용 악성파일 다수 발견 (1) | 2013.08.06 |