'악성코드'에 해당되는 글 99건

  1. 2013.03.19 파밍 악성코드 감염 PC, 3가지 치료법!
  2. 2013.03.14 스마트폰 공인인증서 탈취 악성 앱 발견
  3. 2013.01.22 스마트폰 무료쿠폰 문자 클릭 주의
2013. 3. 19. 18:58

파밍 악성코드 감염 PC, 3가지 치료법!

파밍캅 등으로 호스트 파일 변조여부 확인 후 삭제 또는 초기화해야



[보안뉴스 권 준] 최근 인터넷 뱅킹 등의 전자금융거래에 있어 파밍(Pharming) 공포가 확산되고 있다. 그러나 파밍 사기에 악용되는 악성코드 감염 PC의 구체적인 치료방법에 대한 홍보가 부족해 피해가 더욱 커지고 있는 상황이다.


파밍은 PC가 악성코드에 감염되어 호스트 파일이 변조된 경우 발생하는데, 이로 인해 이용자가 정상적인 홈페이지 주소를 입력해도 제3의 홈페이지로 연결되어 개인정보 또는 금융정보를 탈취하는 수법에 악용된다.


이와 관련해 한국인터넷진흥원 인터넷침해대응센터 측은 파밍 악성코드 감염 PC의 치료방법 3가지를 제시했다.


첫 번째 방법은 파밍캅으로 PC의 호스트 파일 변조 여부를 확인하고 삭제하는 것이다. 경남지방경찰청(http://www.gnpolice.go.kr/)에서 개발한 파밍캅을 다운로드해 실행한 후, 위험요소 발견 메시지가 나오면 ‘제거’ 버튼을 클릭하면 된다. 그런 다음 알약, V3, 바이로봇 등의 무료 백신 프로그램을 최신 버전으로 업데이트 하면 파밍 악성코드 치료가 가능하다.

 

두 번째로는 마이크로소프트(MS) 사에서 제공하는 호스트파일 초기화 프로그램 ‘Fix it’을 설치해 활용하는 방법이 있다. 파밍 악성코드에 감염된 PC의 변조된 호스트파일의 삭제가 불가능할 때는 호스트파일 자동 초기화 제공 사이트(http://support.microsoft.com/kb/972034/ko)에 접속한 후 조치하면 된다.


마지막 세 번째는 수동으로 호스트 파일을 복구하는 방법이다. 먼저  C:\windows\system32\drivers\etc에 hosts 파일을 메모장으로 열어 호스트 파일 경로를 확인한다.

 


그 다음 아래 그림과 같이 호스트 파일 변조여부를 확인한 후, 은행사이트 등의 URL과 특정 IP(예: 123.254.109.229)가 기재되어 있다면 모든 내용을 삭제한 후 hosts 파일을 저장하면 된다. 

 

그 이후, 무료 백신 프로그램을 최신 버전으로 업데이트 한 후, 파밍 악성코드를 치료하면 된다.

[권 준 기자(editor@boannews.com)]



출처 : 보안뉴스



Trackback 0 Comment 0
2013. 3. 14. 18:36

스마트폰 공인인증서 탈취 악성 앱 발견

[전체요약]

스마트폰 사용자의 호기심을 자극하는 내용으로 문자 메시지를 발송하고, 수신된 문자 메시지에 포함된 링크를 스마트폰 사용자가 설치하도록 유도하는 기존의 스미싱 악성앱과 동작방식이 동일한 악성코드가 지속적으로 발견되고 있다.

 
이번에 발견된 악성코드는 이전의 문자 메시지를 탈취하는 기능에 사진과 메모도 탈취 할 수 있는 기능이 추가되어 사생활의 침해가 우려된다. 그 기능뿐만 아니라 모바일 공인인증서를 탈취 하는 기능도 추가되어 기존의 소액결제피해를 넘어선 금융 피해를 일으 킬 수 있으므로 사용자의 각별한 주의가 필요하다.

 

[주요증상]

 

- 문자 메시지 탈취 및 사용자의 전화번호 탈취

 

- 공인인증서, 메모, 사진의 탈취

 

- 전화 착신 및 발신 차단

 

[분석정보]

 

1. Android/Trojan-SMS.Fraud-SMS-Stealer.dc

 

파일명 : pftp0312.apk

 

[그림 1] pftp0312.apk의 아이콘

 

A. 감염 경로


Android/Trojan-SMS.Fraud-SMS-Stealer.dc는 스미싱 문자 메시지의 링크를 통하여 감염된다.

 

B. 감염 증상


1) Android/Trojan-SMS.Fraud-SMS-Stealer.dc의 어플리케이션의 권한은 아래의 그림과 같다.
 


[그림 2] pftp0312.apk 어플리케이션의 권한

 

 

2) 해당 악성 앱은 부팅이 되었는지 감지하여 만약 재부팅이 되었을 때 서비스를 자동으로 동작시킨다.
 


[그림 3] 부팅감지

 

 

3) 해당 악성 앱은 처음 실행하게 되면 별도의 UI가 보여지지 않으며 곧바로 종료되는 것처럼 보인다. 그러나 백그라

운드로 악성 프로세서가 감염된 사용자의 스마트폰 전화번호를 전송하게 되며 감염되었음을 등록시킨다.
 


[그림 4] 전화번호 전송 및 등록

 

 

4) 해당 악성 앱은 동작할 때도 따로 UI가 존재하지 않으며 서비스로만 동작하고 있다는 것을 확인 할 수 있다.
 


[그림 5] 서비스로 동작

 

 

5) 해당 악성 앱이 처음 실행될 때 스마트폰에 존재하고 있는 공인인증서와 메모를 zip파일로 만들 수 있으며 사진과

 같이 특정 서버에 전송한다. 서버에 저장 될 때는 [전화번호_IMEI]의 디렉토리가 생성되며 해당 디렉토리에 각각

NPKI, MEMO, DCIM의 하위 디렉토리명으로 저장된다.
 


[그림 6] 공인인증서, 메모, 사진 탈취

 


[그림 7] 탈취된 정보

 

 

6) 해당 악성 앱은 서비스로 동작할 때 3가지의 리시버를 등록시키며 리시버의 종류는 다음과 같다.


문자 메시지 수신 리시버

전화 착신 리시버

전화 발신 리시버
 


[그림 8] 리시버 설치

 

 

7) 문자 메시지 수신 리시버는 abortBroadcast를 이용하여 문자 메시지가 왔다는 사실을 차단하여 사용자는 문자 메시지가 도착한 것을 알 수 없다.
 


[그림 9] 문자 메시지 차단

 

 

8) 문자 메시지 수신 리시버는 문자 메시지의 내용들을 유출시킨다. 유출시킬 때 ‘||’기호를 구분자로 할 것으로 추정

되며 순서대로 [사용자의 스마트폰 전화번호||문자 메시지 내용||발신처||문자 메시지를 받은 시간]으로 만들어 보내

진다.
 


[그림 10] 문자 메시지 유출

 

 

9) 문자 메시지 수신 리시버는 assets에 url.txt라는 문서파일이 존재하며 여기에 있는 URL을 가지고 보내도록 되어

있다. 이 부분으로 인하여 URL.txt만 변경시켜주면 문자 메시지를 탈취하는 서버의 URL을 변경할 수 있다.
 


[그림 11] URL.txt 파싱

 

 

10) 전화 착신 리시버는 전화가 착신되었을 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크하며

 조건이 일치할 경우에는 전화 착신을 차단 시켜서 사용자가 전화가 왔다는 사실을 알 수 없도록 한다.
 


[그림 12] 전화 착신 차단

 

 

11) 전화 발신 리시버는 사용자가 전화를 걸게 될 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크

하며 조건이 일치할 경우에는 전화 발신을 차단 시켜서 사용자가 해당 전화번호에 연결 할 수 없게 한다.
 


[그림 13] 전화 발신 차단

 

 

12) 해당 악성 앱이 공인인증서, 메모, 사진의 유출을 시도하는 URL의 IP위치는 미국으로, 문자 메시지 유출을 시도하

는 URL의 IP위치는 태국으로 확인된다.
 


[그림 14] 공인인증서, 메모, 사진 등의 탈취 위치

 


[그림 15] 문자 메시지 탈취 위치



출처 : 하우리



Trackback 0 Comment 0
2013. 1. 22. 00:56

스마트폰 무료쿠폰 문자 클릭 주의

스마트폰 무료쿠폰 문자 클릭 조심하세요! 
- 치킨, 아이스크림, 햄버거 등 무료쿠폰 제공 미끼, 앱 설치만으로 25~30만원 휴대폰 결제 
- 안드로이드폰 대상 앱 설치와 동시에 악성코드 깔려 휴대폰 결제 
→ 이미 유출된 개인정보 주민번호, 전화번호 등으로 특정 이용대상 공격 
→ 앱 설치 후 결제위한 인증번호, 악성코드 제작자에게 전달 
- 통신사의 지나치게 높은 소액결제 한도도 문제 
→ 소비자가 소액결제 한도에 대해 결정권 가질 수 있어야 


□ 스마트폰 가입자가 3천만명을 넘어서면서 소비자들의 모바일기기 이용이 일상화·다양화되고 있지만, 편리한 만큼 많은 소비자피해가 발생하고 있다. 
최근 서울시전자상거래센터(http://ecc.seoul.go.kr)에는 스마트폰에 무료쿠폰이 도착했다는 문자를 클릭했다 휴대폰 요금이 25~30만원이 청구되었다는 소비자피해가 하루사이 4건이 접수되었다며 소비자 주의를 당부했다. 

□ 주로 햄버거, 치킨, 아이스크림 등 외식상품의 무료쿠폰을 가장해 특정 URL이 포함된 문자메세지(SMS)를 소비자에게 발송하고 이를 소비자가 클릭 하게 되면 악성코드가 휴대폰에 설치된다. 
이후 인증번호가 포함된 문자메세지가 소비자가 아닌 악성코드 제작자에게 전달되어 결제에 이용되는데 주로 게임 사이트 등에서 사이버머니를 구매한 후 되팔아 현금화하는 것으로 추정된다. 

○ 일명 체스트(chest)로 불리는 이 악성코드는 안드로이드폰 이용자를 대상으로 과거 대량으로 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격대상을 정한다는 점에서 기존 악성코드보다 진보한 형태로 보고 있다. 

○ 소비자들의 피해내용을 살펴보면, 무료쿠폰 문자 클릭 시 자동으로 애플리케이션이 생성되지만 해당 애플리케이션을 클릭하면 오류가 발생했다며 애플리케이션이 실행되지 않았다고 공통으로 주장하고 있다. 

○ 소비자들은 인증번호 입력 등 결제와 관련한 어떠한 절차도 진행하지 않았기 때문에 청구서가 올 때 까지 결제사실을 모르는 경우가 대부분이다. 

○ 피해자들은 통신사, 결제대행업체(PG사), 결제가 이루어진 게임사가 서로 책임을 회피한다며 분통을 터뜨리고 있지만 해당 서버가 중국에 위치하고 있어 현실적으로 마땅한 피해보상 대책은 어려운 현실이다. 

□ 소비자의 등급에 따라 휴대폰 소액결제의 한도가 달라지지만 피해금액은 25~30만원 사이에 이루어지고 있으며, 소비자들은 자신의 한도액을 사전에 인지하고 있지 않아 이에 대한 개선이 필요한 것으로 나타났다. 

○ 일반적으로 통신사들이 소액결제 한도를 최초 가입 시 3만원으로 설정하지만 이용기간에 따라 자동으로 높아져 최고 30만원까지 이용이 가능하다. 
하지만 이에 대한 사전 고지가 제대로 이루어지지 않아 소비자가 이를 인지하는 경우는 매우 드물다. 

○ 이에 서울시전자상거래센터에서는 소액결제 한도액에 대해 소비자에게 사전에 알리고 소비자가 이에 대한 결정권을 가질 수 있어야 한다는 점과 30만원의 금액을 소액이라 부를 수 있는가에 대해 추가적인 검토가 필요하다는 내용을 방송통신위원회에 건의할 예정이다. 

□ 스마트폰 소액결제를 노린 악성코드 피해를 예방하기 위해서는 무료쿠폰 등으로 유인하는 문자메세지에 대한 주의가 필요하고 애플리케이션 설치는 반드시 공식 마켓을 이용하며, V3 같은 모바일 전용 백신을 설치하고 점검하는 습관이 필요하다. 
또한, 휴대폰 소액결제 한도를 확인해 개인의 이용형태에 따라 금액을 조절하는 것이 소비자피해를 예방하는 방법이다. 

■ 피해사례 

사례1. (김 **) 
1월 휴대폰 청구서를 확인하니 지난해 12월 3회에 걸쳐 게임아이템을 구입하고 25만원이 청구되었다. 
게임을 할 줄 모르고 인증번호 입력이나 승인을 한 적이 없었는데 통신사, 결제대행사, 게임회사와 통화하는 과정에서 아이스크림 무료쿠폰을 다운받은 사실을 확인했다. 
통신사, 결제대행사, 게임회사 서로 책임 없다며 경찰에 신고하라고 해서 사이버수사대에 신고하니 해킹을 당한 것이라고 한다. 

사례2. (김 **) 
1월 10일 햄버거 무료교환권을 준다는 문자를 받고 클릭했는데 어플이 설치되었고 이용하려고 하니 계속 오류가 발생한다는 문구가 떴다. 
며칠 후 휴대폰 이용내역 확인을 하다가 게임머니로 29만원이 결제된 사실을 확인했다. 
통신사와 결제대행사에 연락했으나 서로 책임이 없다며 회피한다. 

사례3. (윤 **) 
1월 9일 치킨 1만원 할인 문자가 와서 클릭하니 어플이 설치되었다. 
어플은 이용이 되지 않았고 다음날 확인하니 아이템베이를 통해 28만원이 결제되었다. 

■ 문의 
센 터 장 : 정지연 (3707-8361) 
상담팀장 : 전지은 (3707-8365)


출처 : 서울시전자상거래센터


Trackback 0 Comment 0