안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 '체스트' (Android-Trojan/Chest)로 인한 사용자의 피해가 끊이지 않고 있으며, 변종이 끊임없이 유포되고 있다.

최근 유포되고 있는 악성 앱에 대하여 살펴보고, 추가된 코드는 무엇인지 확인 해 보겠다.

 

'체스트' 악성 앱은 사용자의 SMS 문자 메시지를 감시하고, 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인하여 소액결제 인증번호가 유출되고, 그 인증번호를 이용하여 금전적 이득을 취하고 있다.

그동안 꾸준히 발견되고 있는 '체스트' 악성 앱과 배포 방식은 동일하지만, 소스 코드가 일부 추가/변경되어 유포되고 있다.

 

 

악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타겟을 관리하고 모니터링 하고 있다.

 

 

[그림 1] 악성 앱 설치 유도 메시지 발송을 위한 타겟 리스트

 

 

 

 

타겟이 정해지면, 아래와 같은 문자메시지를 통하여 스마트폰 사용자에게 악성 앱 설치를 유도 한다.

 

[그림 2] 악성 앱 설치 유도 문자 메시지

 

단축 URL로 연결하여 앱을 설치하면, 아래와 같은 유명한 커피 전문점 "**** 쿠폰" 아이콘이 생성되며, 서비스에 등록된다.

[그림 3] 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)

 

악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다.

 

[그림 4] 악성 앱이 요구하는 권한 정보

 

악성 앱을 실행하면 아래와 같이 시스템 과부화로 잠시 후 다시 이용할 것을 권하고 있다. 소액결제 인증번호를 수집하기 위한 시간을 벌기 위하여, 즉 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.

 

[그림 5] 의도된 오류 메시지 팝업

 

 

악성 앱이 실행되면, 아래 코드에 의하여 스마트폰의 전화번호가 악성코드 제작자에게 전송된다.

감염된 스마트폰의 전화번호를 수집함으로써, 소액결제를 위한 인증번호 발송 작업을 진행하게 된다.

[그림 6] 특정번호로 수신된 SMS 감시/수집 코드

 

위 코드가 실행되면 "mobile=전화번호" 의 형태로 스마트폰의 전화번호가 전송 된다.

 

이 후, 악성코드 제작자는 아래와 같은 코드를 이용하여 특정번호(송신자)를 포함하는 SMS를 감시하고 있다.

if ((!this.numberchk3.equals("01")) || (this.numberchk1.equals("15")) || (this.numberchk1.equals("16")) || (this.numberchk2.equals("01015")) || (this.numberchk2.equals("01016")) || (this.numberchk3.equals("15")) || (this.numberchk3.equals("16")) || (this.numberchk4.equals("01015")) || (this.numberchk4.equals("01016")) || (this.numberchk1.equals("11")) || (this.numberchk3.equals("11")))

 

[그림 7] 특정번호로 수신된 SMS 감시/수집 코드

 

위와 같이 미리 정의된 번호로 발송된 SMS 는 아래와 같은 코드를 이용하여, 스마트폰 전화번호와 함께 특정서버로 전송된다.

 

[그림 8] 전화번호와 SMS 를 특정서버로 전송하는 코드

 

위 코드가 실행되면 "mobile=전화번호&revsms=SMS내용" 의 형태로 전화번호와 문자메시지가 전송 된다.

 

악성코드 제작자는 "대리운전"과 관련된 다량의 SMS 때문에 아래와 같은 코드를 추가한 것으로 보인다.

아래의 코드는 SMS 감시하면서 "대리운전" 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 "대리운전" 메시지를 전달한다.

 

제작자는 더 이상 "앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요"는 받지 않을 것이다.

 

[그림 9] 대리운전 SMS 필터링

 

 

악성 앱에 감염된 사용자의 리스트를 관리하며, 수집한 SMS 에서 "소액결제 인증번호"가 존재하는지 모니터링 하고 있다.

 

 

[그림 10] 감염자로부터 전송된 SMS 내역

 

악성코드 제작자는 이러한 과정을 통하여 금전적 이득을 취하고 있다.

악성 앱에 감염되고, 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 7월 27일 "Adding Android and Mac OS X Malware to the APT Toolbox" 제목의 문서를 공개하였다.


해당 문서는 2012년 3월 해당 업체에서 공개한 "Luckycat Redux: Inside an APT Campaign" 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드(Android) 악성코드에 대해 다루고 있다.


해당 업체에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 되었다고 한다.


ASEC에서는 해당 2개의 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 파일들을 확보하여 자세한 분석을 진행하였다.


2개의 APK 파일들은 모두 동일한 기능을 하도록 제작되었으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 동일한 아이콘을 생성하게 된다.



그리고 해당 앱을 사용자가 직접 실행시키거나  스마트폰이 사용자에 의해 부팅하게 될 경우 이를 자동으로 감지하여 TService 라는 서비스로 실행하게 된다.



해당 서비스는 감염된 안드로이드 스마트폰에서 IMEI(International Mobile Equipment Identity), 스마트폰 번호와 저장 장치의 파일 정보들을 수집하여 중국에 위치한 gr******ns.3322.org:54321 해당 C&C 서버와 통신을 시도하게 된다.



해당 C&C 서버와 통신이 성공하게 되면 아래 이미지와 같이 공격자가 지정한 다양한 악의적인 명령들을 수행할 수 있게 된다.



공격자는 파일 업로드 및 다운로드, 인터넷 연결 접속 그리고 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있다.


이번 럭키캣 APT 공격과 관련된 특정 C&C 서버에서 발견된 안드로이드 악성코드들 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Infostealer.G

Android-Trojan/Infostealer.H


해당 2개의 안드로이드 악성코드가 실제 럭키캣 APT 공격에 사용되었는지는 명확하지 않다.  그러나 APT 공격과 관련된 C&C 서버에서 발견되었다는 사실로 미루어 볼 때, APT 공격을 수행한 공격자들은 안드로이드 악성코드 제작과 유포를 통해 특정 조직의 중요 정보 탈취에 악용하고자 하였던 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

매일 성경 구절을 스마트폰으로 전송해 주는 기능과 함께 신앙을 전파하기 위해 해당 안드로이드 앱(Android App) 설치를 유도하는 메시지를 사용자 주소록을 검색하여 SMS를 발송하는 기능을 가진 안드로이드 앱이 발견되었다.



해당 안드로이드 앱은 아래 이미지와 같이 사용자의 'All Contacts' 버튼 클릭에 의해 SMS가 발송된다. 그러나, 이 버튼의 기능이 SMS 발송이라는 사실을 해당 앱을 설치한 사용자가 인식하기 힘들다.



발송되는 SMS은 해당 앱을 설치한 스마트폰에 존재하는 주소록의 모든 전화번호로 아래 이미지와 같은 사용자가 의도한 '성경 구절의 공유'가 아닌 해당 안드로이드 앱의 설치 링크를 발송하게 된다.



그리고 해당 앱에 발송되는 SMS의 주소를 클릭하게 되면, 아래 이미지와 같이 설치된 해당 안드로이드 앱을 설치할 수 있는 구글 앱스토어로 연결하게 된다.



이와 함께 해당은 해당 안드로이드 앱의 기능과 사용자 설명과는 전혀 다른 별도의 광고 기능을 포함하고 있어 스마트폰 사용자가 해당 앱을 실행 때마다 2초에서 3초 정도로 별도의 광고를 보여주게 된다.


해당 안드로이드 앱은 종교라는 특수성을 이용하여, 다수의 사용자들에게 해당 안드로이드 앱을 설치하도록 SMS 발송 등으로 유도하고, 광고를 이용해 수익을 얻으려는 전형적인 애드웨어로 판단할 수 있다.


해당 안드로이드 앱에 대해 V3 모바일 제품군에서는 다음과 같이 진단한다.


Android-Adware/SmsBomber.B


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 "2012 예상 스마트폰 보안 위협 트렌드"를 발표하며 윈도우 PC에서 감염 및 동작하는 제우스(Zeus) 악성코드의 모바일 버전인 Zitmo[Zeus In The Mobile]가 발견되었으며 심비안(Symbian), 블랙베리(Blackberry)를 거쳐 최근엔 안드로이드(Android) 플랫폼으로까지 확장되었다고 언급한 바가 있다.


금일 러시아 보안 업체 캐스퍼스키(Kaspersky)에서는 블로그 "Android Security Suite Premium = New ZitMo"를 통해 새로운 Zitmo 변형이 발견되었음을 공개하였다.


ASEC에서는 추가적인 조사를 통해 해당 새로운 Zitmo 변형은 구글(Google)의 공식 안드로이드 앱스토어(Appstore)를 통해 유포 된 것이 아니라, 인터넷에 존재하는 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포된 것을 파악하였다.


이 번에 발견된 새로운 Zitmo 변형은 안드로이드 모바일 운영체제에서 감염 및 동작하도록 되어 있으며, 안드로이드 운영체제에 설치 되면 아래 이미지와 같이 허위 보안 소프트웨어로 위장하고 있다.



안드로이드에 감염되는 허위 보안 소프트웨어는 이 번에 처음 발견된 것이 아니며 2012년 5월 해외 보안 업체 아이콘으로 위장한 형태가 발견된 사례가 있다.


그리고 해당 안드로이드 악성코드는 설치 시에 아랭 이미지와 같이 감염된 안드로이드 모바일 기기에서 송수신하는 SMS 메시지 접근 권한과 SMS 발송 권한 등이 사용됨을 보여주고 있다.



해당 Zitmo 안드로이드 악성코드가 실행되면 아래와 같이 일반적인 허위 보안 소프트웨어에서 사용하였던 기법과 동일하게 인증 등록 번호를 입력하도록 요구한다.



그러나 해당 안드로이드 악성코드는 감염된 안드로이드 모바일 기기에서 다음 정보들을 수집하여 특정 C&C 서버로 전송하게 된다.


휴대폰 번호

SubscriberId

DeviceId

모델명

제작사

OS 버전

SMS 메시지


이 번에 발견된 새로운 Zitmo 변형들은 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo

Android-Trojan/Zitmo.B

Android-Trojan/Zitmo.C

Android-Trojan/Zitmo.D


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.

그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안드로이드(Android) 스마트폰의 사용율이 전 세계적으로 증감하에 따라 이와 관련된 다양한 보안 위협들이 발생하고 있다.


특히 해당 모바일(Mobile) 운영체제에서 동작하는 악성코드들은 2011년 하반기를 기점으로 기하 급수적으로 증가하고 있으며, 제작 목적 역시 금전 획득을 위한 목적으로 제작되는 사례들도 동반 증가하고 있다.


이러한 안드로이드 악성코드들의 유포는 현재까지 대부분이 구글(Google)에서 운영하는 안드로이드 앱스토어(Android Appstore) 또는 방문자가 많은 유명 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포되는 사례가 많았다.


그러나 현재는 허위 앱 스토어를 통해 직접 유포하거나 유명 앱들을 배포하는 웹 사이트로 위장하여 유포하는 방식 등으로 기존 윈도우(Windows) 운영체제 기반의 PC에 감염되는 악성코드들이 유포되는 방식들을 그대로 답습하는 형태로 발전하고 있다.


이러한 안드로이드 악성코드가 금일 기존 윈도우 운영체제 기반의 PC에 감염되었던 허위 백신들과 유사한 형태로 유포되는 사례가 발견되었다.


이러한 허위 백신 형태의 악성코드는 최근 애플 맥(Mac) 운영체제 사용자들이 증가함에 따라 맥 운영체제에서 동작하도록 제작된 사례들도 존재한다.


이 번에 발견된 안드로이드 운영체제에 감염되는 허위 백신들은 아래 이미지와 같이 정상적인 보안 관련  웹 사이트로 위장하고 있다.



해당 허위 보안 웹 사이트에서는 러시아어로 제작되었으며, "SIM 검사", "저장소 검사"와 "시스템 파일 검사" 등의 항목으로 실제 안드로이드 스마트폰의 보안 검사를 수행하는 것으로 위장하고 있다.


각 항목의 검사가 종료되면 아래 이미지와 같이 현재 사용하는 안드로이드 스마트폰에 어떠한 부분이 취약한지를 붉은 색으로 표기하며, 악성코드에 감염되었음의 허위 사실을 알려 사용자로 하여금 VirusScanner.apk 파일을 다운로드하여 설치하도록 유도한다.



해당 웹 사이트를 통해 다운로드 된 VirusScanner.apk를 안드로이드 스마트 폰에 설치하게 될 경우, 다음 이미지와 같이 러시아 보안 업체 캐스퍼스키(Kaspersky)의 보안 제품과 동일한 아이콘이 생성된다.



그리고 설치 과정에서 해당 허위 백신은 아래 이미지와 같은 권한들이 사용 됨을 안드로이드 스마트 폰 사용자들에게 보여주게 된다.




설치된 해당 안드로이드 허위 백신은 정상적인 사용을 위해서는 사용자에게 요금을 지불하도록 요구하여 금전적인 목적으로 제작된 안드로이드 악성코드이다.


이러한 허위 백신 형태의 악성코드는 PC 기반의 윈도우 운영체제와 맥 운영체제 뿐만이 아니라 안드로이드 스마트폰에서 까지 발견되었다는 점에서 향후 이러한 허위 백신 형태의 안드로이드 악성코드가 지속적으로 등장 할 것으로 예측 된다.


이 번에 발견된 허위 백신 형태의 안드로이드 악성코드들은 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/FakeAV

Android-Trojan/FakeAV.B 


안드로이드 스마트폰 사용자들은 안드로이드 앱들을 다운 받아 설치 할 때, 신뢰 할 수 있는 구글 앱 스토어나 통신사에서 운영하는 앱 스토어를 이용하는 주의가 필요하다.


그리고 안드로이드 보안 제품들 역시 신뢰 할 수 있는 전문 보안 업체에서 개발한 안드로이드 보안 앱을 다운로드하여 설치하는 것이 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원