‘요금과다청구 환급금 조회’ 사칭한 단축 URL 주소로 위장해 유포 

안드로이드 악성파일 ‘KRSpammer’ 변종 추정...무심코 클릭 주의!    

[보안뉴스 권 준] 최근 국내 안드로이드 스마트폰 이용자들을 직접 겨냥한 악성파일들이 잇따라 발견돼 주의가 요구된다. 

잉카인터넷 대응팀은 KRSpammer 변종 악성파일이 스마트폰 요금 과다 청구 환급금 조회 내용처럼 사칭한 단축 URL 주소로 위장해 국내 특정 사용자들에게 최근 배포된 정황을 포착했다고 밝혔다. 

이번에 발견된 악성파일은 얼마 전 발견됐던 안드로이드 악성파일(KRSpammer) 변종과 비슷한 방식으로 전파됐으며, 이번에는 ‘고객님! 요금과다청구 환급금조회 http://tinyurl.com/(일부생략)’ 내용으로 사용자로부터 악성 URL 링크 클릭을 유도하고 있다는 게 잉카인터넷 대응팀 측의 설명이다.

현재 악성 링크가 정상적으로 작동되고 있으며, 기존의 변종과 동일하게 Dropbox 서비스를 통해서 ‘SmartBilling.apk’ 파일이 설치 시도되고 있는 것으로 보인다. 안드로이드 스마트폰의 경우 APK 설치가 진행되며, 인터넷 익스플로러 브라우저에서는 아래와 같이 다운로드가 시도되는 것으로 분석됐다.

잉카인터넷 대응팀 측에서 확인한 바에 의하면 악성파일은 2가지 변종 형태로 제작됐으며, 2012년 11월 24일과 11월 25일 경에 배포된 것으로 추정되고 있다. 기존과 동일하게 ‘스마트청구서’ 형태의 변종 1개와 새로운 이름의 ‘e-청구서’ 형태가 확인됐다는 것.

또한, 악성파일 내부에는 동일하게 다음과 같은 아이콘 리소스를 포함하고 있어 여러 가지 형태로 변종 제작이 시도되고 있다는 것을 예측할 수 있다.

설치 후 실행되면 모두 아래와 같이 가짜 에러화면을 동일하게 보여주게 된다. 이는 사용자로 하여금 단순 서버 접속 장애로 보이도록 위장하고 있지만, 사실 의도된 가짜 메시지를 통해 이용자를 속이기 위한 과정으로, 이후 이용자의 SMS(MMS) 메시지를 감시하는 것으로 알려졌다.
 

이와 관련 잉카인터넷 대응팀의 문종현 팀장은 “악성파일 제작자는 국내 이용자들의 소액결제 승인 문자메시지를 몰래 가로채기하여 불법적으로 인터넷 결제를 시도하는 등의 사이버 범죄를 시도하고 있으며, 일부에서는 실제 피해도 발생하고 있는 것으로 보인다”며, “우리 팀에서 nProtect Mobile for Android 무료제품에 긴급 업데이트 했기 때문에 이용자들은 최신 버전으로 업데이트해 전체 검사를 수행해볼 것”을 권장했다.

덧붙여 그는 “대부분의 악성 애플리케이션은 사용자들이 육안으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하고, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨 것처럼 위장하는 경우가 대부분”이라며, “스마트폰 보안관리 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울여야 한다”고 강조했다.

[잉카인터넷 대응팀이 제시하는 스마트폰 보안관리 수칙] 1. 신뢰할 수 있는 보안업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 보안감시 기능을 항상 ‘ON’ 상태로 유지해 사용할 수 있도록 한다. 2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다. 3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치하도록 한다. 4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다. 5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다. 6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다. 7. 블루투스와 같은 무선 인터페이스는 사용 시에만 켜두도록 한다. 8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다. 9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>