국내 온라인 뱅킹 사용자를 타깃으로 보안카드 등의 금융 정보를 노리는 악성코드(Banki) 변종이 지속적으로 발견되는 가운데, 최근 이름과 주민번호를 체크하는 루틴까지 추가된 변종이 발견되면서 그 수법이 점차 고도화되고 있어 사용자의 주의가 필요로 하다.

 '파밍' 이라고도 부르는 해당 악성코드는 가짜 뱅킹 사이트로 연결되도록 조작해 금융정보를 빼내는 신종 사기 수법으로, 최근 거액의 사기사건이 보고되면서 사회적인 이슈가 되고 있다.

보통 악성 스크립트가 삽입된 취약한 웹사이트를 통해 감염되며, 감염 시 hosts 파일을 변경하여 악성코드 제작자가 만든 가짜 뱅킹 사이트로 접속됨으로써 사용자의 금융정보를 입력 하도록 유도하고 있다.

 

이번에 발견된 변종이 유포되는 유포지 와 [9090.exe] 다운로더 에 의해 생성되는 파일은 아래와 같다.

 

[Download URL]

http://125.***.***.5/9090.exe (Downloder)

http://sk*******3.g****.net/asd.txt (다운로드되는 파일 목록)

http://125.***.***.4:8080/26.exe (hosts 파일 변조)

http://125.***.***.5/8888.exe (021F0552\svchsot.exe 생성)

http://125.***.***.5/23.exe (hosts 파일 변조)

 

다운로드 된 [26.exe], [23.exe] 악성파일에 의해 hosts파일이 아래와 같이 변조된 것을 확인할 수 있는데, 변조된 hosts파일에 의해서 정상적인 뱅킹 사이트에 접속하여도 가짜 사이트로 리다이렉트(redirect)시켜 사용자도 모르게 피싱사이트에 접속되어 피해를 입을 수 있는 것이다.

 

[그림 1] 악성 파일에 의해 변조된 hosts 파일

감염된 PC에서 뱅킹 사이트에 접속한 모습이다.

정상적인 방법으로 뱅킹 사이트를 방문하였지만 피싱 사이트로 리다이렉트 되었으며, 하나같이 보안관련 인증절차를 요구하며, 사용자로 하여금 금융정보를 입력하게끔 유도하고 있다.

 

[그림 2] 가짜 뱅킹 사이트

 

기존의 Banki 악성코드와 마찬가지로, 사용자의 이름, 주민번호, 보안카드 정보 등을 요구하고 있다. 기존에는 임의의 문자와 랜덤 한 숫자로 주민번호를 입력하면 다음 단계로 넘어갔었는데, 이번 변종에서는 사용자의 이름과 주민번호가 정상적으로 입력되었는지 체크하는 루틴이 추가되었다는 것이다.

    

[그림 3] 이름과 주민번호를 체크하는 소스부분

 

또한, 다운로드 된 다른 [8888.exe] 파일은 아래와 같은 경로에 [svchost.exe]을 생성하며 자기 자신을 자동 실행되게끔 tasks(예약작업)에 등록한다.

 

8888.exe CREATE C:\WINDOWS\021F0552\svchsot.exe (Tasks 작업 생성파일)    

svchost.exe CREATE C:\WINDOWS\Tasks\At1.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At2.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At3.job

 

 

[그림 4] 악성코드에 의해 생성된 예약작업들

 

이러한 파밍에 대한 피해를 막기 위해서는, 무리한 개인정보를 요구할 경우 의심을 해야 하며, 무엇보다 보안카드 번호 전체를 요구한다면 100% 파밍이라고 볼 수 있다.

최신 엔진의 백신으로 시스템을 주기적으로 정밀검사 함으로써 금전적인 피해를 예방해야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

 

 

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

- 작년 4분기 14종에서 올해 1분기 225종으로 16배 급증 

- 커피 등 무료 쿠폰 가장한 SMS로 악성코드 설치 유도 

- 소액결제 인증 SMS 탈취해 사용자 몰래 결제



스마트폰 소액결제를 노린 안드로이드 악성코드 ‘체스트[chest]의 변종이 급증하고 그로 인한 피해도 증가해 사용자의 주의가 필요하다.

 

글로벌 보안 기업 안랩[구 안철수 연구소, 대표 김홍선, www.ahnlab.com]은 지난해 10월부터 피해를 일으키고 있는 안드로이드 악성코드 ‘체스트[chest]’의 변종이 올해 들어 급증했다고 밝혔다. 작년 10월~12월 동안 14종이 발견됐으나 올해 들어서는 1월부터 3월 7일 현재까지 225종이 발견돼 16배나 늘어난 수치다.

 

체스트 변종의 배포 방식은 종전과 동일하지만, 소스 코드가 일부 추가/변경된 것이 특징이다. 커피, 외식, 영화 등 다양한 유명 브랜드를 사칭한 무료 쿠폰 안내와 URL을 문자로 보내 사용자를 현혹한다. 사용자가 무심코 URL을 클릭해 해당 페이지에서 애플리케이션[이하 앱]을 설치하면 본인도 모르게 소액결제가 이루어져 금전 피해를 보게 된다. 안랩은 최근 발견한 ‘체스트’ 변종을 분석해 블로그에 상세 정보를 올렸다[http://asec.ahnlab.com/920].

 

이에 따르면 악성코드 제작자는 사전에 입수한 정보를 토대로 SMS[악성 앱 설치 유도 메시지] 수신자[타깃]를 웹 화면에서 관리 및 모니터링하는 것으로 밝혀졌다. 악성코드 제작자는 공격 대상을 정하면 ‘어플 설치하면 카페라떼+치즈케익이 공짜’ 등 사용자를 현혹하는 내용과 URL을 문자 메시지로 보낸다. 사용자가 단축 URL을 클릭해 앱을 설치하면 유명 커피 전문점을 사칭한 아이콘이 생성되고 서비스에 등록된다.

 

사용자가 악성 앱을 실행하면 ‘사용자 급증으로 시스템 과부화로 잠시 후에 다시 이용 바랍니다.’라는 메시지가 뜬다. 이는 피해자를 속이기 위한 허위 메시지이다. 악성 앱이 실행되면 통신사 정보와 스마트폰 번호가 악성코드 제작자에게 전송된다. 악성코드 제작자는 정보를 확보한 후 즉시 소액결제를 시도하고 이때 수신된 인증번호를 사용자 몰래 가로채서 금전을 탈취한다.

 

기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다. 하지만 ‘체스트[chest]’는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격 대상을 정한다는 점에서 기존 악성코드보다 진보된 형태라 할 수 있다.

 

특히, 소액결제 시 반드시 필요한 인증번호 문자 메시지가 사용자 몰래 직접 악성코드 제작자에게 전달되도록 설계되어 피해 사실을 당장 알기 어렵고, 사용자는 청구서가 나온 후에야 피해를 확인할 수 있다는 점, 대부분의 사용자가 핸드폰 사용 내역서를 꼼꼼히 살펴보지 않는다는 점에서 이후 유사한 피해가 추가 발생할 우려가 높다.

 

국내 휴대폰 소액결제 서비스 한도 금액이 일인 당 매월 30만원으로 제한되어 있긴 하지만 현재 시장 규모가 2조8000억 원에 이르는 것을 감안하면 전체 피해액은 매우 클 수 있다.

 

안랩 이호웅 시큐리티대응센터장은 “사용자는 문자로 전송된 URL을 클릭할 때나 해당 페이지에서 요구하는 앱 설치에 주의해야 한다. 또한, 서드파티 마켓은 물론 구글 공식 마켓이라도 안심하지 말고 평판을 읽어본 후 설치하고, 새로운 앱은 1주일 이상 여유를 두고 평판을 지켜본 후 설치하는 등 신중함이 필요하다. 아울러 수시로 V3 모바일과 같은 스마트폰 전용 백신으로 점검을 해보는 습관이 필요하다.”라고 주의를 당부했다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원