빛스캔 측은 “발견된 악성 URI는 21일 오후에 동시에 삽입되었으며, 다음날 새벽까지 유지되었던 것으로 분석되었다. 특히 전국 각지에 오프라인 매장이 있는 XX소 같은 경우에는 2015년 11월부터 꾸준하게 모바일/PC를 감염시킬 수 있는 악성 URI가 계속해서 삽입과 삭제가 반복되고 있다”고 이용자들의 주의를 당부했다.
또 한국 내 안드로이드 운영체제 사용비율이 2016년 통계에 76%로 나타나고 있다. 즉, 모바일로 연결되는 생활 인터넷 환경을 공격하기 위한 노력은 꾸준히 발전하고 있으며, 현재는 생활에 밀접한 서비스들로 확산되는 현상이 관찰 되고 있다고 전했다.
회사 측은 “XX소에서 연결되는 모바일(APK) 악성코드 URI는 3차례 경유지를 거쳐 APK 파일을 모바일 기기로 다운로드 하고 버튼을 누르는 순간 스마트폰이 감염되어 정보유출 및 외부에서 통제 가능한 상태가 된다”며 “그동안 수 차례 모바일 악성코드 유포가 동일 사이트에서 관찰이 되었으나 이번 유포의 경우에는 최종 악성파일이 업로드 된 사이트가 해외 유명백신을 판매하고 있는 국내 웹서비스로 확인되고 있어서 주의가 요구된다”고 밝혔다.
더불어 “해당 사이트가 보안제품을 판매하는 곳이고 일반/기업 고객이 로그인을 통해서 백신을 구매 할 수 있도록 하고 있어서, 악성코드 유포 이슈뿐만 아니라 2차적인 피해발생도 없다고는 할 수 없다”며 “악성파일이 올려진 사이트 또는 악성링크가 추가된 사이트들은 모두 권한을 획득 당한 상태라고 볼 수 있으므로 사용자 정보 유출 우려도 높은 상태”라고 밝혔다.
백신구매 사이트를 통해 다운로드 된 모바일(APK) 파일은 분석결과 최초 실행 이후 보안장비 탐지를 우회하기 위해서 내부코드에서 2차적으로 파일을 불러와서 실행하도록 만들어졌으며, 공격자 서버로 전송하는 정보는 문자메시지, 통화기록 등 개인정보가 다수 포함되어 있는 것으로 분석되었다.
★정보보안 대표 미디어 데일리시큐!★
