1. 스마트폰 뱅킹 사용자 대상 공격 심화

2. 스마트폰 결제 서비스 노린 새로운 위협 등장

3. 스미싱(Smishing) 고도화

4. 사물인터넷(IoT)에 대한 스마트폰 보안의 중요성 대두

 

- 2014년 한 해 안랩이 수집한 스마트폰 악성코드 총 143만 247개로 보안위협 증가

 

안랩(대표 권치중, www.ahnlab.com)이 2014년 스마트폰 악성코드 통계와 2015년에 예상되는 국내 모바일 보안 위협 트렌드 4가지를 분석해 발표했다. 

 

먼저, 안드로이드 기반 스마트폰 사용자를 노리는 악성코드는 지난 해 누적 총 143만 247개로 나타났다. 이는 2013년(125만 1,586개) 대비 14.2% 증가한 수치이며, 2012년(26만 2,699개)보다 444%(5.4배) 증가한 수치이다.

 

또한, 스마트폰 악성코드는 2011년 8,290개에서 2012년 약 26만개로 폭발적으로 증가했고, 2013년에 100만개를 돌파한 이후 지속적으로 증가하고 있다(보충자료 참조).

 

이 중(스마트폰 악성코드 143만 247개) 스미싱 악성코드의 경우, 2014년 한 해 동안 총 10,777개가 발견됐다. 이는 2013년(5,206개) 대비 약 107%(2배), 2012년(29개) 대비 37,062%(371배) 증가한 수치이며, 역시 꾸준히 증가세를 보이고 있다(보충자료 참조).

 

올해도 모바일 악성코드의 양적인 증가추세는 이어질 것으로 보이는 가운데, 안랩은 ▲스마트폰 뱅킹 사용자 대상 공격 심화 ▲스마트폰 결제 서비스 노린 새로운 위협 등장 ▲스미싱(Smishing) 고도화 ▲사물인터넷(IoT)의 중심으로서의 스마트폰 보안의 중요성 대두 등의 2015년 모바일 보안 위협 트렌드를 발표했다.

 

1. 스마트폰 뱅킹 사용자 대상 공격 심화

2014년에 많이 발견된 뱅킹 악성코드는 양적인 증가와 함께 주로 문자메시지나 SNS에 URL 사용에서 공유기 DNS를 변조하거나, 정상마켓을 통해 악성 앱을 유포시키는 방식으로 발전을 보였다. 이렇게 스마트폰 뱅킹 관련 악성코드가 진화함에 따라, 금융기관에서는 다채널 인증 도입 등 인증절차를 강화하고 있다. 하지만, 공격자도 이러한 강화된 보안기법들의 취약점을 다양한 방법으로 분석해 이를 우회 시도할 것으로 보인다.

 

2. 스마트폰 결제 서비스 노린 새로운 위협 등장

'핀테크(FinTech, Financial + Technology, 금융과 IT의 융합)' 개념이 적용된 여러 스마트폰 결제 서비스가 본격적으로 도입됨에 따라 이를 노리는 보안 위협 또한 증가할 수 있다. 국내 금융기관(출처: 키움증권 '2015년 유통산업 전망' 보고서)의 조사에 따르면, 2014년 3분기에 모바일 쇼핑 거래액은 3조9천억원이었고, 올해 4분기까지 8조1천억원까지 증가할 것으로 예상했다. 이런 추세에 맞춰 해외에서는 모바일 결제를 노린 공격이 발생한 바 있고, 국내에서도 모바일 앱카드 명의도용이 발생하기도 했다. 스마트폰 결제 서비스의 편리함으로 사용자가 늘어나는 만큼, 이를 노리는 보안위협도 증가할 것으로 예상된다.

 

3. 스미싱(Smishing) 고도화

올해 스미싱 악성코드는 양적 증가와 함께 유포방식 및 유형 등도 더욱 고도화 될 것으로 보인다. 초기 스미싱은 이벤트 당첨, 선물 증정과 같은 단순 문구에 URL을 포함시켜 악성 앱 다운로드를 유도했다. 하지만 최근에는 민원발생 등 생활밀착형 스미싱, 시즌별 맞춤형 스미싱 문구와 함께, 정상 모바일 사이트와 구분하기 어려운 정교한 가짜 사이트를 제작해 사용자를 속이는 방식 등 사용자를 속이기 위한 다양한 방식으로 진화를 거듭하고 있다. 2015년에는 사용자를 속이기 위한 방식의 고도화와 스미싱 탐지 보안제품을 우회하기 위한 시도도 증가할 것으로 보인다. 특히, 최근에는 스미싱 형태로 유포되는 악성코드 중 상당수가 스마트폰 뱅킹을 노리는 악성코드로, 실제 금융피해를 발생 시킬 수 있다.

 

4. 사물인터넷(IoT)의 중심로서 모바일 보안의 중요성 대두

IoT(사물인터넷, Internet of Things)는 유/무선 망으로 연결된 기기들끼리 서로 통신을 하며 정보를 주고 받으며 다양한 편익을 제공하는 것으로, 많은 전문가들이 2015년에는 IoT환경이 생활 속에 녹아들 것으로 예상하고 있다. 스마트폰으로 조종하는 보일러나 TV, 조명 등에서와 같이 IoT 환경에서 스마트폰은 각 기기의 컨트롤과 정보흐름에 있어서 중심으로 성장할 가능성이 높다. 따라서, 앞으로 펼쳐질 IoT환경에서 사회혼란이나 생활불편 초래를 노리는 공격자는 각 기기에 대한 개별 공격이 아니라, 그 중심에 서있는 스마트폰에 대한 보안위협을 가할 가능성이 높다.

 

안랩은 스마트폰 보안위협을 최소화 하기 위해서 3대 보안수칙을 제시했다.

1)문자 메시지나 SNS(Social Networking Service)등에 포함된 URL 실행을 자제해야 한다. 만약 수상한 URL을 실행하고 앱을 설치 했을 시에는 모바일 전용 보안 프로그램을 통해 스마트폰을 검사하는 것이 필수다.

2)반드시 모바일 전용 보안 앱(V3 Mobile 등)나 스미싱 탐지 앱을 설치하고 자동업데이트 등으로 항상 최신 엔진을 유지한다. 또한, 보안 앱으로 주기적으로 스마트폰을 검사하는 것이 좋다.

3)공식 마켓 이외의 출처의 앱 설치 방지를 위해 "알 수 없는 출처[소스]"의 허용 금지 설정을 하고, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 반드시 확인해야 한다.

 

안랩 ASEC 이승원 책임연구원은 "최근 스마트폰은 금융 결제, 쇼핑, 업무정보 저장 등 활용범위가 대단히 늘어났고, IoT환경에 발맞춰 더욱 확대될 것으로 예상된다. 이에 따라, 사용자와 기업과 같은 모든 보안 주체에서 보안에 대해 진지하게 생각하는 것이 중요하다."고 말했다.

 

 

[보충자료]

1. 2012~2014년 스마트폰 악성코드 통계



 

2. 2012~2014년 스미싱 악성코드 통계



 

3. 스마트폰 사용자 3대 보안수칙



저작자 표시 비영리 변경 금지
신고
Posted by DH, L@@

안랩 V3 모바일, AV-TEST 글로벌 인증 연속 획득

 

- 올해 AV-TEST가 실시한 6회 테스트에서 인증 모두 획득

- 6회 테스트 중 총 5 100% 악성코드 탐지율 기록

 

안랩(대표 권치중www.ahnlab.com)은 자사의 모바일 보안제품인 'V3 모바일’이 글로벌 보안제품 성능 평가 기관인 AV-TEST(www.av-test.org)에서 11월 실시한 모바일 보안 제품 테스트에서 만점을 기록하며 인증을 획득했다고 밝혔다.

 

이번 평가는 글로벌 모바일 보안제품 31개를 대상으로, 탐지율(Protection), 사용성(Usability), 추가 기능(Features) 3가지 영역으로 진행됐다. V3 모바일은 ‘탐지율’ 테스트에서 악성코드 샘플을 100% 진단했으며, 오진 발생 여부와 제품 실행 시 배터리 소모단말기 속도에 미치는 영향 등을 평가하는 ‘사용성’ 부문에서도 만점을 받았다이밖에 도난 방지(Anti-Theft) 기능, 스팸 전화•문자 방지 기능 등으로 ‘부가 기능’에서도 추가 점수를 받아 종합점수 13점 만점에 13점을 기록해 인증을 획득했다.

 

특히, 안랩 V3모바일은 AV-TEST가 올해 실시한 6회의 테스트에서 모두 인증을 획득했으며, 그 중 1, 3, 5, 7, 11, 5회의 테스트에서 100%의 악성코드 탐지율을 기록했다. (9월 테스트에서 종합점수 12.5, 99.8% 탐지율 기록)

 

이로써 안랩 V3 모바일은 권위 있는 글로벌 테스트 기관인 AV-TEST가 모바일 분야 테스트를 시작(2013 1) 이래, 국내에서 유일하게 매회(12회 연속) 참가해 인증 획득을 이어오고 있다.

 

안랩 권치중 대표는 “V3 모바일은 AV-TEST 등 유수의 글로벌 테스트에서 꾸준히 높은 성적을 받아 오고 있다” 며 “안랩은 앞으로도 모바일 보안 분야의 기술 리더십을 이끌어가겠다”고 말했다.

저작자 표시 변경 금지
신고
Posted by DH, L@@

최근 금융 관련 사고가 증가하면서 사람들의 관심이 집중되고 있다. 모바일도 예외는 아니다. 대부분의 스마트폰 사용자는 '스미싱'이 무엇인지 설명하지 않아도 알고 있을 정도이다. 그만큼 피해가 생활에 밀접하게 다가와 있음을 방증하는 것이다.

 

악성코드 제작자는 각종 사회적 이슈를 이용하여, 악성코드를 배포하는데, 이번에는 '아이폰6' 소유 욕구를 자극하고 있었다. 안드로이드 기반의 스마트폰 사용자를 '아이폰6'로 유혹한다? 물론 실제로 아이폰6를 주는 것은 아니지만, 안드로이드 사용자가 아이폰으로 바꾼다면, 악성코드 제작 그룹은 이제 '스미싱' 을 어떻게 하겠다는 것일까?

 

서론은 여기까지 하고, 본론으로 들어가겠다.

 

'아이폰6 이벤트' 메시지에 포함된 링크로 접근하면, 악성 앱(apk)이 업로드된 페이지로 연결된다. 해당 앱을 다운로드 하여 설치하면, 크롬으로 위장한 아이콘을 볼 수 있다.


[그림 1] '스미싱'을 통한 악성 앱 설치 과정

 

악성 앱을 설치하면 크롬으로 위장한 아이콘이 생성된다. 해당 앱을 실행하면, 아이콘은 사라지고, 휴대폰 관리자 활성화를 요구한다.

 

[그림 2] 악성 앱의 아이콘 및 휴대폰 관지자 활성화

 

악성 앱의 Classes.dex 에는 직접적으로 악의적인 코드를 넣지 않았다. 대신 p.dex 파일을 로드하여 악의적인 코드를 실행한다.

 


[그림 3] classes.dex 코드

 

p.dex 파일은 악성 앱(apk) 파일의 'assets' 에 존재한다.

 


[그림 4] 악성 앱 구조

 

p.dex의 주요 기능은 아래와 같다.

 

스마트폰에 설치된 뱅킹 앱 정보 수집 => 정상 뱅킹 앱 제거 유도 => 제거된 정상 앱을 사칭한 악성 뱅킹 앱 설치 유도

 

악성 앱은 "새로운 버전이 출시되었습니다." 메시지와 함께 기존에 설치된 정상 앱을 제거하도록 유도한다.

 


[그림 5] 정상 앱 제거 과정

 

아래 패키지명과 일치하는 앱이 설치되어 있는지 확인하고, 제거하도록 유도한다.

 

"com.wooribank.pib.smart",

"com.kbstar.kbbank",

"com.ibk.neobanking",

"com.sc.danb.scbankapp",

"com.shinhan.sbanking",

"com.hanabank.ebk.channel.android.hananbank",

"nh.smart",

"com.epost.psf.sdsi",

"com.kftc.kjbsmb",

"com.smg.spbs"

[표 1] target 뱅킹 앱 리스트

 

스마트폰에 설치된 정상 뱅킹 앱을 제거를 유도하고, 제거한 정상 앱으로 위장한 악성 앱을 아래의 패키지명으로 설치하도록 유도한다.

 

"com.cash.apc.woori.kr.android.apd",

"com.kr.androids.kbstar.kbbankings.app",

"com.ibk.korea.kr.androids.ibkbanking",

"com.goog.sc.android.dadbdkr.scbankapp",

"com.android.google.shinhanbbk.kr.app",

"com.hana.google.kr.channel.korea.app",

"com.we.google.nhb.kr.bk.app",

"com.android.post.fsps.kr.wu.sdsi",

"com.kr.android.ftkc.kjb.kjbsmb.app",

"com.androids.kr.kf.androids.sm.spb"

[표 2] target 뱅킹 앱을 사칭한 악성 앱 리스트

 

은행별 다운로드 되는 링크는 아래의 코드 조합으로 이루어진다.

 


[그림 6] target 뱅킹 앱 리스트 & 추가 악성 앱 다운로드 코드

 

은행별로 코드를 조합하면 아래와 같은 주소에서 악성 앱을 다운로드 하게 된다.

 

http://******.****.net:6545/com.cash.apc.woori.kr.android.apd.apk

http://******.****.net:6545/com.kr.androids.kbstar.kbbankings.app.apk

http://******.****.net:6545/com.ibk.korea.kr.androids.ibkbanking.apk

http://******.****.net:6545/com.goog.sc.android.dadbdkr.scbankapp.apk

http://******.****.net:6545/com.android.google.shinhanbbk.kr.app.apk

http://******.****.net:6545/com.hana.google.kr.channel.korea.app.apk

http://******.****.net:6545/com.we.google.nhb.kr.bk.app.apk

http://******.****.net:6545/com.android.post.fsps.kr.wu.sdsi.apk

http://******.****.net:6545/com.kr.android.ftkc.kjb.kjbsmb.app.apk

http://******.****.net:6545/com.androids.kr.kf.androids.sm.spb.apk

[표 3] 추가로 다운로드하는 악성 뱅킹 앱

 

실제로 정상 앱이 제거되고, 악성 앱이 설치되는 과정은 아래와 같다.

 


[그림 7] 정상 앱 제거 및 정상 앱으로 위장한 악성 앱 설치 과정

 

악성 앱이 설치되면, 스마트폰의 공인인증서 및 금융 정보를 탈취한다.

 


[그림 8] 악성 앱에 의한 금융 정보 탈취

 

이러한 악성 앱들은 분석가의 분석시간을 오래 걸리게 하려는 방법으로 사용하거나, 자신이 만든 서버의 생명주기를 연장하기 위한 수단으로 코드를 난독화 한다. 이 악성 앱에서는 탈취한 정보를 전송하는 서버주소를 파악하기 어렵게 난독화 하였다. 사용한 방법을 살펴보면 아래와 같다. 아래 코드는 3개의 클래스에 나뉘어 있는 코드들이다. 이 3개의 코드를 조합하고 계산해야만 접근하는 주소를 알 수 있다.


[그림 9] 서버 주소의 난독화

 

계산 방법은 간단하다.

 

우선, 1.class의 "012017006020095000 ~중략~ 010001016016027010088" 값을 3.class 의 xor 함수 계산과 2.class 의 값을 조합하면, 접근하는 페이지의 주소를 알 수 있다. 값을 계산하면 아래와 같은 주소를 알 수 있다.

 

http://*.*****.com/profile?hostuin=28*****449

[표 4] XOR + 코드 조합의 계산 결과

 

해당 주소로 접근하여 IP주소를 받아온다.


[그림 10] QQ블로그의 IP주소

 

XXX!.XXX!XXX!XXX! 와 같은 형식의 IP주소를 받아오면, 치환 코드를 이용해 문자열을 변환하고, XOR 계산을 통해 얻은 값과 조합하여 또 다른 주소를 반환한다.

 


[그림 11] IP주소의 치환 및 XOR 과정

 

주소를 계산하는 과정을 정리하면, 문자열 => XOR 계산 + 코드 조합 => QQ블로그 접속 => IP주소 획득(가변) => IP주소 치환 + 문자열 XOR + 코드 조합 => 서버주소 완성 => 탈취한 금융 정보 전송!

 

이러한 과정을 거쳐 최종적으로 아래의 서버주소로 탈취한 정보를 전송한다.

 

126.**.***.**7/****/****/cers.php

[표 5] 악성 앱에 의해 탈취된 정보를 수집하는 서버주소

 

하지만 위에서 살펴본 것처럼 서버주소는 제작자에 의하여 수시로 변경이 가능하도록 설계되었다. 이 분석정보를 작성하는 중간에도 주소가 변경된 것으로 보아, 제작자는 활발히 활동하는 것으로 추정된다.

 

QQ 블로그를 이용한 악성코드는 Windows 기반의 banki 류 에서 hosts 파일을 변조할 때 자주 이용되는 방식이었다. Windows에서 사용하는 악성코드의 배포 방법과 정보 수집 방식들을 모바일에서 적용하는 사례가 증가하고 있다.

 

V3 제품에서는 아래와 같이 진단이 가능하다

 

<V3 제품군의 진단명>

 

 

 

 

 

저작자 표시 비영리 변경 금지
신고
Posted by DH, L@@

 

 요즘 유포되는 악성코드의 대부분은 금전적 이득을 목적으로 제작된다. 소액결제를 노린 'chest' 금융정보를 노린 'bankun' 등의 능동적 수익 모델과 랜섬웨어와 같은 입금을 기다리는 수동적인 모델이 있는데, 오늘 다루고자 하는 악성 앱은 후자의 경우에 속하는 모바일 랜섬웨어를 다루고자 한다.

 

국내의 경우에는, 아직 대부분 문서작업등을 PC에서 하고 있기 때문에 PC(Windows)보다 상대적으로 위협적이진 않다. 하지만 스마트 폰에 의해 만들어진 사진, 영상 등은 스마트 폰에서 생성되는 유일한 자료라고 본다면 그렇지 않을지도 모르겠다.

 

과거 ASEC Blog를 통하여 안드로이드 랜섬웨어인 ANDROID DEFENDER에 대해 다룬 적이 있다. 해당 악성 앱은 허위 감염 내용으로 금전적 이득을 취하려는 내용이었다.

 

ASEC Blog : http://asec.ahnlab.com/974 (안드로이드 랜섬웨어)

 

이번에는 SimpleLocker 라고 불리는 랜섬웨어에 대하여 살펴보겠다. 해당 악성 앱은 스마트 폰의 파일을 암호화하고 이를 통하여 금전적 이득을 취하려고 한다. 이런 모습은 Windows 기반의 랜섬웨어와 유사하다. 이 악성앱은 지난 5월경부터 꾸준히 발견되고 있다.

 

악성 앱이 사용한 아이콘을 비교하기 위해 몇 개의 아이콘을 확인해봤다. 안드로이드, iGO, Flash player의 아이콘을 사용함으로써 사용자를 속이기 위한 것으로 보인다.

 

[그림 1] 랜섬웨어의 아이콘

 

위 악성 앱(iGO아이콘)을 설치하는 과정에서 아래와 같은 권한과 휴대폰 관리자 권한을 요구한다. 앱을 설치하면 4PDA(iGO) 러시아 페이지를 보여준다.

 

[그림 2] SimpleLocker 설치

 

휴대폰 관리자를 활성화 할 경우 보여지는 페이지의 소스

[그림 3] 4pda 페이지 로딩 소스

 

악성 앱의 패키지명은 com.simplelocker 이며, Android 4.2 버전에 맞춰서 제작되었다.

 

Android 4.2, 4.2.2

17

JELLY_BEAN_MR1

[표 1] 악성 앱 Android 제작 버전

[그림 4] 악성 앱의 권한정보

 

악성 앱 설치 후에는 스마트폰의 디바이스 정보(IMEI)를 전송한다.

 

[그림 5] 디바이스 정보 전송

 

실제 전송되는 패킷을 살펴보면 아래와 같다.

[그림 6] 디바이스 정보 전송 패킷

 

이후 스마트폰에 저장된 문서, 이미지, 동영상 파일을 'jddlasssadxc322323sf074hr' 키 값으로 암호화한다.

 

또한, 암호화한 파일의 끝에 '.enc' 확장자를 추가하여 저장하며, 원본 파일은 삭제한다. 암호화 대상 파일은

'jpeg', 'jpg', 'png', 'bmp', 'gif', 'pdf', 'doc', 'docx', 'txt', 'avi', 'mkv', '3gp', 'mp4' 이다.

 

[그림 7] 암호화 대상 파일 리스트

 

암호화된 파일은 아래 그림과 같이 확장자가 추가되었다. 일반적으로 이미지(사진) 파일은 갤러리 앱으로 보게 되는데, [그림 8]과 같이 암호화된 경우에는 사진 목록에서 확인할 수 없게 된다.

 

[그림 8] 암호화된 파일

 

 추가적으로 Flash Player 아이콘으로 위장하고 com.common.weather 패키지명을 사용하는 랜섬웨어 악성 앱의 증상을 살펴보겠다. 스마트폰의 기기모델명, IMEI, 전화번호, 통신사, 국가 정보를 가져와 첫 화면에 표시하고, 불법 저작권 및 관리법 위반에 해당하므로 벌금을 내지 않을 경우 2~8년 동안 자유를 박탈하겠다고 협박한다.

 

[그림 9] 랜섬웨어 악성 앱 설치 화면

설명이 장황하지만, 랜섬웨어에 자주 등장하는 단어들이 보인다. 'FBI', 'pornography', 'card with $500' 요약하자면 잠긴 스마트폰을 풀고, 파일을 복호화 하고 싶으면 $500를 입금하고, 입금이 확인되면 미국 재무부에서 24시간 안에 차단을 해제해 주겠다는 내용이다.

 

"To unlock your device and avoid legal persecution to the maximum extent of the law, you are obligated to pay a fine of $500. Acceptable payment must be made through GreenDot MoneyPak. Load a MoneyPak card with $500 and enter the code below. MoneyPak cards can be found in most stores, gas stations and paypoints." (중략)

"As soon as the money arrives to the U.S. Department of the Treasury, your device will be unblocked in 24 hours."

 

[그림 10] FBI 를 사칭한 협박과 금전 요구

화면 중간에 스마트폰 사용자가 보이도록 카메라를 설정했다. 그리고 자신을 범죄자처럼 묘사했다.

 

"Your camera is used for gathering additional information for investigation. All the footage will be added to a criminal case."

 

대부분 랜섬웨어에 감염된 스마트폰은 사용자의 제어를 불가능하게 만든다. 다른 앱의 실행은 물론, 악성 앱 삭제를 할 수 없도록 여러 가지 방법을 사용한다. 이런 경우에는 스마트 폰을 "안전모드"로 부팅하여 "기기 관리자(휴대폰 관리자)"를 비활성화하여 삭제하면 된다.

 

제조사 별로 안전모드에 접근하는 방법은 다양하다. 사용자가 많은 2개 제조사의 안전모드 부팅 방법은 아래와 같다.

 

LG : 전원버튼 -> "전원끄기" 메뉴를 길게 누르고 있으면 안전모드 부팅 메시지가 보인다.

삼성 : 리부팅 시 통신사 로고가 나올 때 '메뉴' 버튼에 불이 들어오는데 이때 '메뉴'버튼을 누르고 있으면 안전모드로 부팅 된다.

 

기기관리자 권한을 획득한 악성 앱을 삭제하려면 아래의 순서로 조치하면 된다.

 

안전모드로 부팅 후, [설정] – [기기관리자(휴대폰 관리자)] 메뉴에서 악성 앱을 비활성화(체크해제)해준다.

다음으로 애플리케이션 목록에서 해당 앱을 제거하면 된다.

 

[그림 11] 기기관리자(휴대폰 관리자) 악성 앱의 권한(체크해제) 및 제거

 

 요즘은 간단한 작업이나 인터넷을 이용할 경우, PC보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 따라서 앱은 공식 마켓에서 다운로드 하여 설치하는 것이 상대적으로 안전하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 지녀야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL 및 앱은 설치는 하지 않도록 주의해야 한다. 또한, 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 더욱 안전한 스마트폰 환경을 만들어야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/Simplelock

저작자 표시 비영리 변경 금지
신고
Posted by DH, L@@

 

 요즘 스마트폰을 이용하는 사람은 어느곳에서나 쉽게 찾아 볼 수 있게 되었다. 스마트폰의 편리하고 다양한 기능이 많은 사람들을 스마트폰 유저로 만든 것이 아닐까? 이러한 스마트폰의 다양한 기능을 이용하다 보면, 폰에는 자연스럽게 많은 정보들이 쌓이게 된다. 편리하고 유용한 스마트폰이지만, 쌓이는 정보가 많을 수록 주의해야하는 점도 많아지게 되었다. 스마트폰의 정보를 탈취하는 대표적인 악성앱은 "스미싱"의 형태로 유포되는 "BANKUN" 이다. BANKUN 의 의미는 Bank Uninstall 의 줄임말이다. 의미 그대로 정상적인 은행앱의 삭제를 유도하고, 악성앱의 설치를 시도하는 악성코드 이다. 이러한 유형의 악성코드를 살펴보고, 감염되지 않도록 예방하는 방법에 대해 살펴보자.

 

 아래 그림은 안랩의 "안전한 문자"앱에서 최근 유행하는 스미싱의 유형을 알려주는 화면이다. 이러한 기능을 통해 유행하는 스미싱에 대하여 사전에 인지하고, 설치하지 않도록 주의하자.

[그림 1] 안랩 "안전한 문자" 스미싱 알림 기능

 

 돌잔치를 가장한 스미싱은 과거에도 유행 했었지만, 최근에 다시 유행하고 있다. 최근 트렌드 알림 "돌잔치 초대장"이 얼마나 많이 악용되고 있는지 확인해 보자.

 

[그림 2] 최근 트렌드중 "돌잔치 초대장"

 

 "돌잔치 초대장"으로 유포중인 악성앱중에 하나를 살펴보자. 문자메시지의 링크를 클릭하면, 아래와 같은 악성앱을 다운로드 받게된다. 패키지명은 com.sdwiurse 이고, 앱의 이름은 googl app stoy 이다.

 

[그림 3] 악성앱 권한(좌) / 설치 후 아이콘(우)

 

[그림 4] 악성 앱의 권한정보

 

 권한정보를 살펴보면 메시지, 주소록, 저장소, 전화통화 등에 접근이 가능하다. 이것은 해당 내용을 수집할 가능성이 있다고 짐작 할 수 있다.(물론 정상앱에서도 사용할 수 있는 권한이다.) 악성앱이 설치되면 스마트폰에 설치되어 있는 은행앱이 무엇인지 확인하여, 그 은행에 해당하는 금융정보 탈취를 시도한다.

 

[그림 5] 스마트폰에 설치된 앱 체크리스트

 

 악성 앱을 실행하면 아래와 같은 과정이 진행된다. 사용자를 속이기 위해 "공지사항"과 같은 내용을 사용하며, 가짜 이미지를 이용해 백신이 동작중인 것처럼 위장하기도 한다.

 

[그림 6] 악성 앱 설치 화면

 

이후 사용자의 금융정보를 탈취하기 위해 공인인증서와 개인정보를 수집한다.

아래는 스마트폰 기기정보와 사용자가 입력하는 정보를 탈취하는 코드중 일부이다.

[그림 7] 정보 수집 코드


 

사용자의 이름, 주민번호, 계좌번호, 비밀번호, 보안카드 번호와 같은 개인 정보의 입력을 유도하고 있다.

  

[그림 8] 금융정보 입력 창


 

위와 같은 정보탈취 뿐만 아니라 추가적인 악성 앱의 설치를 시도한다.

  

[그림 9] 추가 악성앱 설치 유도

 


악성 앱에 의하여 수집된 기기정보, 공인인증서, 금융정보는 메일서비스를 이용하여 특정 메일주소로 발송 한다.

[그림 10] 메일 서비스를 이용한 정보 탈취

 


탈취된 정보는 악성코드 제작자의 메일로 전송되며, 그 정보는 아래와 같다. 

[그림 11] 악성코드 제작자의 메일함

 


메일의 첨부파일에는 공인인증서와 금융정보가 압축되어 있다.

[그림 12] 금융정보 및 공인인증서

 

 [그림 8]에서 입력한 금융정보(이름, 계좌번호, 비밀번호, 패스워드, 보안카드 일련번호, 공인인증서 암호, 주민번호)는 아래와 같이 전송한다.

[그림 13] 사용자가 입력한 금융정보

 

 요즘은 PC 보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 앱은 공식 마켓에서 다운로드 받아 설치하는 것이 상대적으로 안전하다. 하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 가져야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL에 접근하여 앱을 설치 하지 않도록 주의해야 한다. 또한 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 보다 안전한 스마트폰 환경을 만들어야 한다.

 

 

V3 제품에서는 아래와 같이 진단이 가능하다

 

<V3 제품군의 진단명>

Android-Trojan/Bankun

 

신고
Posted by DH, L@@

안랩 V3 모바일, 만점으로 AV-TEST 글로벌 인증 10회 연속 획득

 

- 국내 기업 중 유일하게 10회 연속 AV-TEST 인증 및 악성코드 탐지율 부문 올해 4회 연속 만점 획득

- 세계 유수의 기업들과 함께 모바일 보안 분야에서의 글로벌 리더십 이끌어 나갈 것

 

안랩(대표 권치중, www.ahnlab.com)의 모바일 보안제품인 'V3 모바일 2.1(이하 V3 모바일)’이 독립 보안제품 성능 평가 기관인 AV-TEST(www.av-test.org) 7월 실시한 모바일 보안 제품 테스트에서 종합점수 만점으로 인증을 획득했다.

 

이로써 안랩은 2013 1월부터 시작된 AV-TEST 모바일 보안제품 테스트에서 국내 기업 중 유일하게 10회 연속 참가 및 인증을 획득해 모바일 보안 분야에서도 글로벌 기술력을 인정받았다.

 

특히 안랩은 올해 실시된 총 4번의 테스트(1,3,5,7)의 악성코드 탐지율 부문에서 모두 만점을 획득하는 성과를 거뒀다. 또한 최근 실시된 7월 테스트에서는 악성코드 탐지율, 성능영향, 추가 기능 등 모든 부문에서 만점을 획득했다.

 

이번 테스트는 AV-TEST가 시만텍, 맥아피 등 글로벌 보안업체의 29개 모바일 보안 제품을 안드로이드 환경에서 진행했고, 이 중 안랩을 비롯한 맥아피 등 총 13개 제품이 만점을 획득하여 모바일 보안 분야 리더 그룹으로 입지를 굳혔다.

 

V3 모바일은 서구권 위주의 샘플이라는 불리한 상황에서도 악성코드 샘플을 100% 진단했다. 오진은 기록하지 않았고, 제품 실행 시 단말기의 성능에 미치는 영향 부문에서도 만점을 받았다. 이밖에 악성코드 탐지 이외에 도난 방지(Anti-Theft) 기능, 스팸 전화•문자 방지 기능 등으로 부가 보안 기능에서도 추가 점수를 받아 종합점수 13점 만점에 13점을 기록해 인증을 획득했다.

 

안랩 권치중 대표는 “V3 모바일은 AV-TEST 등 글로벌 테스트에서 우수한 평가를 꾸준히 받아오면서, 모바일 보안 분야에서의 글로벌 리더십을 세계 유수의 기업들과 함께 이끌어가겠다”고 말했다.

 

 

<보충자료>

AV-TEST의 모바일 보안제품 테스트

 

모바일 보안제품 평가는 권위있는 글로벌 보안제품 성능 평가기관인 AV-TEST 2013 1월부터 새롭게 시작된 것으로, 현재까지 가장 신뢰할 수 있는 모바일 보안제품 성능 테스트다. 악성코드 탐지율, 오진, 모바일 디바이스 성능 저하율, 부가기능 등 다양한 측면에서 보안제품의 성능을 테스트한다.

 

신고
Posted by DH, L@@

 

안드로이드 폰 사용자들을 타깃으로 금융 관련 정보를 탈취하려는 Bankun 악성 앱의 변종이 발견되었다. 기존에 발견되었던 방식보다 더욱더 진화한 형태로 점점 그 방식이 정교해지고 있어 사용자들의 주의가 필요하다.

 

앱 설치 시에 아래와 같이 아이콘 모양은 'Play 스토어' 아이콘과 같으나 정상 앱 이름의 경우 'Play 스토어' 인 반면 악성 앱은 'Google App Store' 인 것을 확인할 수 있다.

 

[그림 1] 악성 앱 아이콘 모양

 

악성 앱 실행 시에는 설치파일이 손상되었다는 오류와 함께 아래와 같은 팝업 메시지를 보게 된다.

 

[그림 2] 앱 실행 시, 팝업되는 메시지

 

위 그림에서 '확인'이나 '취소' 버튼을 터치 시에 앱의 아이콘은 보이지 않게 되며, 앱이 서비스로 실행되게 된다. 아래 그림은 앱 정보 화면이며, 앱이 삭제된 후에도 서비스로 등록되어 실행되고 있는 것을 확인할 수 있다.

[그림 3] 악성 앱 실행 정보

 

해당 앱은 서비스로 실행되면서, 사용자의 스마트폰에 어떤 뱅킹 앱이 설치가 되어있는지 확인 후, 그 앱에 맞는 악성 앱을 다운로드 한다. 이후 정상 앱을 삭제하고 다운로드된 악성 앱을 설치하도록 시도한다.

 

 [그림 4] 악성 뱅킹 앱을 다운로드 받는 코드 (일부)

 

악성 앱이 다운로드 되어 실행되면 기존에 유포되었던 금융사 피싱 앱과는 달리 V3 mobile PLUS 실행을 가장하고 금융감독원을 사칭한 팝업 메시지를 띄운다.

 


 
[그림 5] 다운로드 된 뱅킹 실행 시, 보이는 화면

 

확인을 터치 시, 아래와 같이 실제로 사용자의 공인증서를 확인할 수 있으며 이는 기존에 발견되었던 피싱 앱과는 달리 정상 앱과 매우 유사한 형태임을 확인할 수 있다.

 

 [그림 6] 공인인증서 암호 요구 화면

 

위 악성 앱 역시 스미싱 형태로 유포되고 있으며, 금융사 피싱 앱은 일반 사용자들이 정상 앱과 구분을 할 수 없을 정도로 정교화되어 가고 있다. 이에 사용자는 문자내용에 포함된 링크가 존재할 경우 접속에 주의해야만 하며, 사전에 V3 모바일 백신과 같은 믿을 수 있는 제품을 사용하여 감염되지 않도록 주의하는 것이 중요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Downloader/Bankun

  

신고
Posted by DH, L@@

 

스마트 폰 사용자들을 타깃으로 금전적 이득을 목적으로 개인정보를 포함한 인터넷 뱅킹 정보를 탈취하려는 악성 앱이 다수 발견되고 있어 사용자의 주의가 필요하다.

 

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 이번에 발견된 스미싱은 [그림 1]과 같이 한국인터넷 진흥원을 사칭하고 있으며, [개인정보방침]이라는 내용으로 앱의 설치를 권하는 메시지를 보내고 있다.

 

   

 

 

 

 

 

 

[그림 1] 한국인터넷진흥원을 사칭한 스미싱

 

메시지에 포함된 단축 URL을 클릭하면 앱(APK)을 다운로드 받게 되어 있다.

 

다운받은 악성 앱의 설치과정에서 아래와 같은 권한정보를 확인할 수 있다.

 

[그림 2] 악성 앱 권한정보

 

설치 후 아이콘과 앱 이름은 아래와 같이 나타난다.

하지만 앱을 실행하게 되면 아이콘이 사라지며, 기기관리자 권한을 획득하려고 시도한다.

 

[그림 3] 악성 앱 실행 전(좌) / 실행 후(우)

기기관리자 획득을 시도하는 화면은 아래와 같으며, 스마트폰에 따라 "휴대폰 관리자", "디바이스 관리자"로 나타날 수 있다.

 

[그림 4] 휴대폰 관리자 활성화 화면

 

휴대폰 관리자를 활성화하게 되면, 사용자가 앱을 삭제하는 것이 번거로우며, 아이콘이 이미 삭제되었기 때문에 앱이 삭제된 것으로 착각할 수도 있다.

 

설치된 악성 앱을 제거하기 위해서는 아래와 같은 방법으로 조치하면 된다.

['환경설정'->'보안'->'디바이스 관리자']를 실행한 후 'sample_device_admin' 항목에 대한 체크를 해제한다.

 

[그림 5]악성 앱 제거 방법

 

악성 앱의 기능에 대하여 살펴보면, 스마트폰의 전화번호와 주소록(전화번호, 메일주소) 정보를 탈취한다.

 

[그림 6] 주소록 정보를 탈취하는 소스 코드

 

 

 

 

 

 

실제 주소록정보가 전송되는 과정은 아래와 같다.

 

 

[그림 7] 메일계정을 이용한 사용자 정보 탈취(네트워크 패킷)

 

악성 앱 제작자는 메일로 전송된 정보를 아래와 같이 확인하고 있다.

 

[그림 8] 악성 앱 제작자의 메일계정

스마트 폰 사용자는 문자내용에 포함된 링크가 존재할 경우접속에 주의해야 하며, 사전에 V3 모바일 백신과 같은 믿을 수 있는 모바일 백신 제품을 사용하여 감염되지 않도록 주의하는 것이 중요하다.

 

또한 ['환경설정'->'보안'->'알 수 없는 소스']항목에서 "허용하지 않음"으로 설정하면, 공식마켓 이외의 앱은 설치가 제한되므로 더욱 안전한 환경에서 스마트폰을 사용할 수 있다.

 

[그림 9] '환경설정'->'보안'->'알 수 없는 소스'

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

 

<V3 제품군의 진단명>

 

Android-Trojan/Langya (2013.09.23.01)

 

 

신고
Posted by DH, L@@


스마트 폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성 앱과 인터넷 뱅킹 정보를 포함한 개인정보를 탈취하려는 시도가 급격히 증가하고 있다.

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 이번에 발견된 스미싱은 [그림 1]과 같이 안랩을 사칭하고 있으며, 스미싱을 예방하기 위해 (가짜) V3 Mobile 앱을 설치하라는 내용이다.

 

자사에서는 불특정 다수에게 이러한 불안전한 메시지를 발송하지 않는다.

 

안랩 V3 모바일 제품은 스마트 폰 제조사를 통하여 제공하고 있다. 따라서 반드시 스마트 폰 제조사에서 제공하는 경로를 통하여 제품을 설치해야 한다.

 

 


          [그림 1] 안랩을 사칭한 스미싱

   

메시지에 포함된 앱(APK)을 설치하게 되면 아래와 같은 아이콘이 생성된다.

 

[그림 2] 악성 앱 아이콘

 


아이콘 모양은 V3 이지만 앱 이름은 "내가사께!"로 나타난다.

앱 제작 시 이름에 대한 수정을 미처 하지 못한 것으로 추정된다. (과거 동일 제작자에 의해 명명된 악성 앱 이름을 그대로 사용했다. / 이후 부연설명)

 

앱을 실행하면 아래와 같은 화면이 나타나며, 악성 행위가 동작하게 된다.

 

[그림 3] 악성 앱 실행 화면

 

[그림 2]와 같이 악성 앱이 실행되면, 사용자가 모르는 사이에 악성코드 내부에 저장된 2개의 번호로 앱의 설치완료 문자를 전송하며, SD Card의 .temp 디렉터리를 만들어 주소록, 통화기록, 문자 정보를 저장한다.

이렇게 저장된 정보는 미리 정의된 특정 서버로 전송하고, 그 결과를 문자로 알리게 설계되었다.

 

- 악성코드 내부에 저장된 2개의 전화번호로 앱의 설치를 알린다.

 

[그림 4] 악성 앱의 소스 코드 1

- 주소록, 통화내역, 문자내용 정보를 수집하는 코드 중 일부

 

[그림 5] 악성 앱의 소스 코드 2

 

 

- 수집된 정보를 전송하는 과정

 

[그림 6] 특정 서버로 정보를 전송하는 과정

 

 

 

- 사용자로부터 탈취한 정보는 c, d, f 파일명으로 특정 서버로 전송된다.

 

[그림 7] 특정 서버에 저장된 정보들(악성코드 제작자가 운영하는 서버)

 

악성 앱 제작자는 과거에도 동일한 기능을 가지고 있는 악성 앱을 제작했었다.

과거에 제작한 악성 앱의 아이콘은 아래와 같았다.

 

[그림 8] 동일 제작자의 악성 앱 아이콘

 

스마트폰 사용자는 문자내용에 포함된 링크가 존재할 경우 접속에 주의해야 하며, 사전에 V3 Mobile 백신과 같은 믿을 수 있는 제품을 사용하여 감염되지 않도록 사전에 주의하는 것이 무엇보다 중요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/FakeV3

Android-Spyware/BarSmish

신고
Posted by DH, L@@

 

최근 bankun 악성 앱의 변형이 발견되었다. 기존 bankun 앱은 ASEC '금융사 피싱앱 주의(1)'에서 그 분석 정보를 확인할 수 있다. 이번에 발견된 변형의 경우에는 기존 앱보다 지능화되었고 실제 감염된 사례도 보고되고 있어 사용자들의 각별한 주의를 요구한다.

 

과거에 발견된 금융사 피싱앱과 비교하여 변경된 점은 아래와 같다.

 

- 아이콘 및 패키지 변화

[그림 1] 아이콘 및 앱 이름

 

[그림 2] 패키지 및 클래스의 변화

 

기존에는 앱 이름에 패키지 이름이 있었던 반면, 최근 발견된 앱 에서는 앱 이름이 보이지 않는다. 또한, 비교적 간단하게 작성되었던 기존의 클래스들에 비해 최근 발견된 앱에서는 Receiver, services 등의 클래스가 추가됨이 확인된다.

 

- 권한 및 기기 관리자 등록

[그림 3] 앱 실행 시, 나타나는 기기 관리자 등록 화면

 

앱을 실행했을 시, 아이콘은 사라지고 사용자는 위의 화면과 같이 해당 앱을 기기 관리자 등록 여부를 묻는 화면을 볼 수 있다.

 

- 서비스 및 리시버 이용

[그림 4] 악성 앱이 서비스 동작하는 화면

 

[그림 3]에서 사용자가 Activate 버튼을 누르면 악성 앱은 서비스로 동작하기 시작한다. 또한 앱 디컴파일 시, 아래 [그림 5] 와 같이 Receive 코드를 확인할 수 있다. 해당 코드를 확인해 보면 사용자가 문자 수신을 하거나 전원을 On/Off 하는 등의 행위를 했을 시, 피싱앱 추가 설치를 유도한다는 사실도 확인할 수 있다.

 

[그림 5] Receiver 코드

 

- 알림(Notification) 사용

[그림 6] 문자 수신 시, 새로운 업데이트를 알리는 화면

 

리시버에 의해 사용자가 임의의 문자를 수신했을 때는 위 그림과 같이 "새로운 업데이트가 있습니다." 라는 알림이 뜬다. 이는 구글플레이나 다른 앱들이 업데이트되는 방식과 매우 유사하여 사용자가 의심하지 않고 또 다른 악성 피싱앱 설치를 하게 된다.

- 설치된 피싱앱

[그림 7] 파일 생성 정보

 

악성앱이 띄운 알림에 따라 업데이트를 누르면, 사용자는 기존의 앱 삭제 여부를 묻는 팝업창과 피싱앱 설치 화면을 보게 된다. 이 과정에서 사용자는 단순히 앱 업데이트 과정으로 착각할 수 있으며, 설치 과정에서 정상적인 ** 앱이 설치 되어 있는 사용자라면 ** 피싱 앱이 설치가 되고, ##은행 앱이 설치 되어 있을 때는 ##은행 피싱 앱이 설치된다. 다만, 과거에 발견되었던 앱에서는 8개의 금융기업 피싱앱이 존재하였으나 최근 발견된 앱에서는 **은행, **, **은행 피싱 앱만 존재하였다.

 

[그림 8] 악성앱 안에 존재하는 피싱앱

앞에서도 언급했듯이, 최근 감염된 사례들이 접수되고 있고 금융과 관련된 악성 앱인 만큼 그 피해가 커질 수 있어 사용자들의 각별한 주의를 요구한다. 피해를 예방하기 위해 V3 Mobile과 같은 백신으로 주기적으로 검사하는 습관이 필요하며 특히 의심스러운 앱은 다운로드 하지 않도록 하는 것이 무엇보다 중요하다.

<V3 제품군의 진단명>

 

Android-Trojan/Bankun

 

신고
Posted by DH, L@@