악성앱 실행되면, 공인인증서 정보 공격자 서버로 전송
지난 9월 25일 밤부터 스마트폰 내부에 저장된 여러 은행의 공인인증서를 탈취하는 악성코드가 SMS를 통해 빠르게 유포되는 스미싱 공격이 있었다.
스미싱이란 문자 메시지를 이용한 새로운 휴대폰 해킹 기법이다. 공격자는 웹사이트 주소가 포함된 문자 메시지를 보내고 스마트폰 사용자가 링크를 클릭하면 악성코드를 주입해 공격자가 스마트 폰을 제어할 수 있게 하는 것이다.
이 악성코드가 유포되는 시점에 국내 해킹 보안팀인 Pwn&Play(pwnplay.org)에서 샘플을 확보 및 분석해 정보를 Pwn&Play 공식 페이스북 페이지를 통해 공개했다. Pwn&Play팀 페이스북 페이지에 밝힌 내용은 다음과 같다.
“ *긴급*
[www.667803.com 릴크 절대 클릭 금지]
현재 피해자 발생 확인. NPKI 파일 서버로 업로드 된 상황.
링크 접속하여 악성코드가 설치되었다면 초기화 요망.
악성코드가 설치되어 실행되었다면 사용자의 NPKI(인증서)가 유출됩니다. 또한 연락처의 모든 사용자에게 SMS로 같은 링크를 자동 전송 하게 됩니다. 주의를 부탁드립니다.
B1u3Sky@Pwn&Play“
<[1.apk], [2.apk], [3.apk] 를 받아오는 내용>
<NPKI 디렉터리를 Zip 형식으로 압축하여 공격자의 서버로 전송하는 내용>
장기려 팀장과 팀원들이 분석한 문서의 내용에 따르면, 이 악성코드는 SMS에 포함된 주소에 접속하면 자동으로 악성코드를 다운로드 하게 되는데, 이 때 [1.apk], [4.apk], [5.apk]의 3개의 APK파일이 모바일 기기에 설치되게 된다.
물론 기기의 설정에 따라 설치 확인을 묻는 창을 띄우기도 했다. 설치된 악성 앱을 실행하게 되면, 스마트폰 내에 저장된 공인인증서 파일을 피해자의 전화번호와 이름으로 한 Zip파일로 압축하여, 공격자의 서버에 업로드를 시키게 된다.
또한 2차 감염자(피해자)를 만들어내기 위해 스마트 폰에 저장된 연락처를 스캔해 각 번호로 스미싱 메세지를 발신하게 되는데, 이때 스미싱 메시지의 내용은 http://유포지주소.com/gen/memo.txt 파일을 참조하게 된다고 밝혔다.
결국 공격자가 Memo.txt의 내용을 변경하게 되면, 변경된 유포지 주소가 SMS 메시지를 통해 퍼지게 되어 유포지 서버가 블로킹 당하더라도 주소를 쉽게 바꾸어 퍼트릴 수 있게 된다.
지난 9월 26일 오전 3~4시경부터는 추가적으로 “ www.39******.pw “의 유포 주소가 추가되었으며, 악성코드 유포지로 인한 피해는 약 5만 3천 건의 스미싱 문자가 발송되었고, 약 1만여 건의 공인인증서가 탈취된 것으로 추가 확인되었다.
현재는 공격자의 서버가 닫혀있는 상태이지만 이미 설치된 후 실행된 악성코드로 인해 공격자에게 인증서가 유출된 상황이라고 밝혔으며, 악성코드에 감염된 사용자는 스마트폰 메모리를 초기화 할 것을 권장했다.
이처럼 스미싱은 갈수록 지능화 되어가며 사용자를 교묘하게 속여 정보 유출 및 소액 결제를 유도하고 있다.
스마트 폰 사용자들은 믿을 수 있는 가족이나 아무리 친한 지인이 URL 주소 링크를 보냈다 하더라도 문자를 보낸 본인에게 먼저 전화 연락을 통하여 확인을 한 뒤에 여는 습관을 들여야 하며 또한 스마트폰에 백신 설치를 꼭 해두어 사전에 악성코드에 대한 예방을 함으로써 정보유출 방지에 힘을 써야 할 것이다.
추가로 소액결제에 대한 피해가 발생 할 경우 오티티엘(www.ottl.co.kr)이나 휴대폰 중재센터 (www.spayment.org/) 와 같은 스마트폰 소액결제로 인한 피해를 환불 받을 수 있도록 도와주는 서비스를 이용하는 것도 좋다.
Pwn&Play팀은 IT에 열정을 가지고 공부하며 시스템과 악성코드 분석, 네트워크, 포렌식, 모바일, 개발 등의 세부적인 분야로 나누어 대내외적으로 활발한 활동을 하고 있는 팀이다.
한편 해당 문제에 대해 데일리시큐에 비슷한 시기에 내용을 보내온 i2SEC 8기 전병민(null0305)씨의 간략한 분석보고서도 데일리시큐 자료실에서 다운로드 가능하다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
물론 기기의 설정에 따라 설치 확인을 묻는 창을 띄우기도 했다. 설치된 악성 앱을 실행하게 되면, 스마트폰 내에 저장된 공인인증서 파일을 피해자의 전화번호와 이름으로 한 Zip파일로 압축하여, 공격자의 서버에 업로드를 시키게 된다.
또한 2차 감염자(피해자)를 만들어내기 위해 스마트 폰에 저장된 연락처를 스캔해 각 번호로 스미싱 메세지를 발신하게 되는데, 이때 스미싱 메시지의 내용은 http://유포지주소.com/gen/memo.txt 파일을 참조하게 된다고 밝혔다.
결국 공격자가 Memo.txt의 내용을 변경하게 되면, 변경된 유포지 주소가 SMS 메시지를 통해 퍼지게 되어 유포지 서버가 블로킹 당하더라도 주소를 쉽게 바꾸어 퍼트릴 수 있게 된다.
지난 9월 26일 오전 3~4시경부터는 추가적으로 “ www.39******.pw “의 유포 주소가 추가되었으며, 악성코드 유포지로 인한 피해는 약 5만 3천 건의 스미싱 문자가 발송되었고, 약 1만여 건의 공인인증서가 탈취된 것으로 추가 확인되었다.
현재는 공격자의 서버가 닫혀있는 상태이지만 이미 설치된 후 실행된 악성코드로 인해 공격자에게 인증서가 유출된 상황이라고 밝혔으며, 악성코드에 감염된 사용자는 스마트폰 메모리를 초기화 할 것을 권장했다.
이처럼 스미싱은 갈수록 지능화 되어가며 사용자를 교묘하게 속여 정보 유출 및 소액 결제를 유도하고 있다.
스마트 폰 사용자들은 믿을 수 있는 가족이나 아무리 친한 지인이 URL 주소 링크를 보냈다 하더라도 문자를 보낸 본인에게 먼저 전화 연락을 통하여 확인을 한 뒤에 여는 습관을 들여야 하며 또한 스마트폰에 백신 설치를 꼭 해두어 사전에 악성코드에 대한 예방을 함으로써 정보유출 방지에 힘을 써야 할 것이다.
추가로 소액결제에 대한 피해가 발생 할 경우 오티티엘(www.ottl.co.kr)이나 휴대폰 중재센터 (www.spayment.org/) 와 같은 스마트폰 소액결제로 인한 피해를 환불 받을 수 있도록 도와주는 서비스를 이용하는 것도 좋다.
Pwn&Play팀은 IT에 열정을 가지고 공부하며 시스템과 악성코드 분석, 네트워크, 포렌식, 모바일, 개발 등의 세부적인 분야로 나누어 대내외적으로 활발한 활동을 하고 있는 팀이다.
한편 해당 문제에 대해 데일리시큐에 비슷한 시기에 내용을 보내온 i2SEC 8기 전병민(null0305)씨의 간략한 분석보고서도 데일리시큐 자료실에서 다운로드 가능하다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
