시큐리티대응센터 2037

[긴급]띵동! 연말정산 환급금 도우미 탈을 쓴 악마앱의 유혹

1. SMS 단축URL과 안드로이드 악성앱 이용한 공공의 적 그동안 ▲구글코리아 ▲카카오 업데이트 ▲V3모바일 ▲복지알림이 ▲알약모바일 ▲발렌타인데이 제과점 및 외식업체 쿠폰 등 다양한 이벤트 형태로 사칭한 한국 맞춤형 모바일 DDoS 및 소액결제 과금 유발형 안드로이드 악성앱들에 대한 공격사례를 업계 최초로 여러차례 공개한 바 있다. 그에 따라 관계기업이나 기관, 언론 등을 통해서 다수의 주의보가 발령되기도 하였다. 특히, 잉카인터넷 대응팀은 보안 사각지대에 놓여 있던 안드로이드 보안위협에 대한 다양한 실체와 현상을 신속히 진단하고 사회적 문제로 대두되고 있는 현실을 구체적 사례 기반의 정보로 꾸준히 알리고 있는 선봉장 역할을 수행하고 있다. 이런 가운데 연말정산 환급금 신청기간과 즈음하여 납세자 연맹..

[주의]KRBanker 악성파일 제작자 하데스(Hades)로 귀환?

1. 하데스라는 특정 도메인에서 국내 인터넷 뱅킹용 악성파일 유포잉카인터넷 대응팀은 2012년 05월 경부터 인기리에 방송됐던 SBS 드라마 "유령"의 주인공 역이었던 하데스(Hades)의 이름을 딴 특정 도메인에서 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종이 유포 중인 것을 발견했다. "유령"은 컴퓨터 범죄 수사대의 애환과 활약을 그렸던 드라마로 사이버상의 보안위협을 사실적으로 묘사하였고, 0 과 1 사이에 숨겨져 있는 다양한 디지털 증거의 중요성과 각종 사이버 범죄의 위험성을 알리는데 긍정적 효과를 거두었다. 그러나 국내 인터넷 뱅킹용 악성파일 유포 조직이 하데스라는 이름의 도메인에서 실제 위협요소로 작용할 수 있는 악성파일을 유포하고 있다는 점에서 이용자 주의가 필요하고, 유사한 도메인을 ..

[주의]발렌타인데이 모바일쿠폰 위장 신형 안드로이드 악성앱 발견

1. 소액결제사기 범죄조직 양산화 개시? 잉카인터넷 대응팀은 안드로이드 기반 스마트폰 이용자들을 대상으로 한 휴대폰 소액결제 사기피해에 대한 사전 주의보를 여러차례 발령한 바 있다. 최근까지 발견된 대부분의 안드로이드 악성앱들은 내부 프로그램 코드나 전파 기법 등이 대체로 모두 유사하였기 때문에 동일한 제작자나 그룹에 의해서 만들어지고 유포 중인 것으로 예측되었다. 그런데 2013년 02월 06일 기존과 내부형태가 전혀 다른 것으로 분석된 휴대폰 소액결제 사기용 신형 안드로이드 악성앱이 잉카인터넷 대응팀 스마트폰 모바일 보안관제 중 최초 발견되었다. 이번에 발견된 악성앱은 기존과 다른 개발자나 범죄조직에 의해서 제작된 것으로 추정되며, 이것을 미루어 짐작해 본다면 새로운 사이버범죄 조직이 스마트 소액결제..

[주의]안드로이드 전용 모바일 보안업데이트로 가장한 좀비폰 미끼

1. 모바일 디도스 공격용 악성파일은 변신의 귀재? 2012년 11월 경부터 그 실체가 사실로 드러난 안드로이드 기반 모바일 분산서비스거부(DDoS) 공격용 악성파일(Trojan/Android.KRDDoS)이 2013년 2월까지 잉카인터넷 대응팀의 보안모니터링에 수시로 포착되고 있다. 문제는 이 악성파일이 국내 스마트폰 이용자들을 주요 표적으로 겨냥하고 있다는 부분이며, 발견된 경유지가 차단되면, 얼마 지나지 않아 또 다른 웹 사이트를 이용하는 등 악성 앱 유포를 쉽사리 멈추지 않고 있다는 점에 주목된다. 이는 공격자가 ◆지능적으로 연속성을 유지하기 위한 나름의 노력을 하고 있다는것을 의미하고, 악성파일의 생존기간과 전파범위를 확대시키기 위한 다각적 시도를 끊임없이 진행하고 있는 것을 여실히 증명하고 있..

[추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체

1. 공인인증서 유출로 인한 피해 주의 잉카인터넷 대응팀은 2013년 02월 01일 해외의 특정 FTP 서버로 국내 이용자들의 공인인증서(NPKI)파일이 다량으로 유출된 정황을 포착하였다. 해당 악성파일(KRBanker)은 국내 IP주소로 할당되어 있는 곳에서 유포되었는데, 도메인은 2013년 1월 21일 중국인으로 추정되는 명의로 생성된 곳이다. 또한, 악성파일은 2013년 01월 25일 잉카인터넷 대응팀을 통해서 공개된 바 있는KRBanker 변종형태로 실제 공인인증서 창의 클래스명(QWidget)을 감시하고 있다가 공인인증서가 활성화되면 조작된 가짜 입력화면을 교묘히 겹쳐서 입력되는 비밀번호를 탈취하게 된다. 기존의 정상적인 전자서명 화면을 이용하고 있다는 점에서 각별한 주의가 필요하다. 특히, 전..

[주의]이통사 고객지원번호(114), 카카오 내용으로 사칭한 안드로이드 악성파일 등장 (#Update 05)

1. 한국 맞춤형 Mobile DDoS 악성파일 활개잉카인터넷 대응팀은 스마트폰용 모바일 서비스로 유명한 카카오(kakao) 업데이트와 관련된 내용으로 사칭한 안드로이드 악성파일이 2013년 01월 21일부터 국내에 다수 전파 중인 정황을 포착하였다. 악성파일은 기존의 KRFakePk 변종으로 DDoS 기능을 가진 대표적인 안드로이드 악성파일이다. 최근까지 변종이 꾸준히 제작되고 있으며, 국내 스마트폰 이용자들에게 문자메시지(SMS)로 전파되고 있어 각별한 주의가 필요하다. 특히, 한국내 이용자들을 주요 표적으로 Zombie Smart Phone Bot-Net 구성 목적의 공격이 감행되고 있다는 점에 주목된다. 좀비 스마트폰을 이용할 경우 GPS 기반의 이동형 위치 DDoS 공격이 가능하기 때문에 탐지 ..

[주의]실제 공인인증서 서비스에서 암호 탈취를 시도하는 악성파일

1. 공인인증서 암호를 직접 겨냥한 KRBanker 변종 등장국내 인터넷 뱅킹용 이용자들을 노린 악성파일(KRBanker) 변종이 거의 매일 새롭게 발견되고 있는 가운데, 최근 기존과 다른 형태의 악성파일 유형이 발견되었다. 지금까지 발견된 다양한 형태 중 대다수는 호스트파일(hosts)의 내용을 변경하여 정상적인 금융사이트 주소로 접속을 하더라도 피싱사이트로 연결되도록 조작하는 방식이 주로 이용되고 있다. 그외에 호스트파일(hosts)을 변경하지 않고 악성파일이 사용자의 인터넷 접속 사이트를 모니터링하다가 특정 금융사이트 주소에 접근시 피싱사이트로 웹 페이지를 교묘하게 바꿔치기 하는 수법 등이 존재한다. 이러한 방식은 모두 공통적으로 가짜로 만들어진 공인인증서 전자서명 로그인 화면을 보여주어 사용자가 ..

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증 (#Update 08)

1. 무료쿠폰, 할인 이벤트 사칭한 단축 URL 클릭 주의보 안드로이드 기반의 국내 스마트 폰 이용자를 노린 소액결제 피해가 급격히 증가하고 있어 사용자들의 각별한 주의가 요구된다. 잉카인터넷 대응팀은 2012년 11월부터 안드로이드 기반의 악성파일(KRSpammer)을 마치 정상적인 앱처럼 위장하여 스마트폰 이용자를 유혹한 후, 단말기에 설치를 유도하고 감염시켜 소액결제 승인문자 메시지(SMS)를 몰래 가로채기하는 방식으로 약 10~30만원 상당의 휴대폰 결제피해를 입히고 있는 악성파일을 지속적으로 발견하고 있는 실정이다. 현재까지 약 20 여종 이상의 변종이 발견되었으며, 새로운 변종이 꾸준히 제작되고 있는 상황이다. 요 며칠 사이 변형된 공격이 끊임없이 발생하고 있으므로, 문자메시지로 수신된 단축 ..

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협

1. 한국인을 노린 스마트 보안위협 증대 잉카인터넷 대응팀은 마치 "구글 코리아에서 배포하는 안드로이드 전용 모바일 보안 업데이트 내용처럼 조작"된 악성 문자 메시지가 국내 불특정 다수의 스마트폰 이용자들에게 또 다시 유포된 정황을 포착하였다. 해당 문자메시지는 2012년 11월 27일 "구글 코리아 서비스 신규앱 출시 인터넷 향상 업데이트" 문자 메시지로 위장 배포됐던 안드로이드 악성파일(KRFakePK)의 변종으로 파악되었고, 작년부터 최근까지 꾸준히 변종이 유포되고 있는 실정이다. 2012년 12월 12일에는 한국인터넷진흥원(KISA)의 "폰키퍼"로 위장했던 사례도 보고된 바 있으며, 근래들어 구글 코리아 서비스로 사칭한 유사형태가 지속적으로 발견되고 있는 상황이다. 특히, 최근 발견된 악성파일의 ..

[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가 (Update #04)

1. 디도스 공격 기능을 탑재한 안드로이드 악성앱 잉카인터넷 대응팀은 구글(Google) 코리아의 신규 검색엔진 서비스내용으로 사칭한 안드로이드 악성앱 변형 2종을 긴급 입수하였다. 이 악성앱은 2012년 12월 12일 한국인터넷진흥원(KISA)에서 주의보를 발령한 폰키퍼 보안앱 사칭 안드로이드 악성앱의 변종으로 파악된 상태이다. 해당 안드로이드 악성앱들은 국내 이용자들을 정조준하여 제작되었다는 점에서 심각한 보안위협으로 우려가 되고 있는 상황이다. [주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협 ☞ http://erteam.nprotect.com/382 [긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증 ☞ http://erteam.nprotect.com/377 [칼럼]안드..