2014년 5월경 공개된 유무선 공유기 사용자 중에서 보안 설정을 제대로 하지 않은 상태로 인터넷(Wi-Fi)을 연결할 경우 정상적인 포털 사이트가 아닌 파밍(Pharming) 웹 사이트로 연결되어 다양한 허위 메시지를 통해 악성앱을 설치 유도하는 사례에 대해 소개해 드린 적이 있었습니다.

해당 이슈는 공격자가 유무선 공유기의 DNS 서버 주소를 악성 IP 주소로 변경하여 모바일 또는 PC로 네이버(Naver), 다음(Daum), 네이트(Nate) 포털 사이트 접속시 허위 메시지를 통해 악성앱 설치를 시도하며 현재까지도 지속적으로 광범위하게 공격이 이루어지고 있습니다.

출처 : 네이버 지식인

그런데 최근 해당 공격 유형이 기존과는 다르게 안랩(AhnLab) 보안 업체에서 제공하는 V3 모바일 백신 메시지처럼 위장하여 악성앱 설치를 유도한다는 정보가 확인되었습니다.

 

이번에 사용된 허위 메시지는 "새롭게출시된 V3모바일 3.0으로 내폰을 안전하게 지키자!!설치후 재접속하십시오."라는 내용을 포함하고 있으며, 사용자가 "확인" 버튼을 클릭할 경우 악성앱 다운로드를 통해 설치시 "AhnLab V3 Mobile Plus 3.0" 이름의 악성 애플리케이션이 설치됩니다.

 

참고로 해당 악성앱에 대하여 AhnLab V3 모바일 2.0 백신에서는 "/data/app/com.nave.network.kr.dk.kr-1.apk" 경로에 존재하는 악성앱에 대하여 Android-Trojan/SMSstealer.65a0 진단명으로 진단 및 치료를 제공하고 있다고 밝히고 있습니다.

실제 해당 악성앱에 감염된 사용자의 증상을 조사해보면 익명의 전화번호를 통해 그림과 같은 "영문+숫자" 문자 메시지가 수신되며, 진단명을 통해 유추해보면 감염된 스마트폰에서 수/발신되는 SMS 문자 메시지를 외부로 유출하는 등의 정보 유출이 이루어질 수 있습니다.

 

또한 추가적인 악성앱 다운로드를 통한 금융앱 바꿔치기 및 공인인증서 유출 등의 금전적 피해를 유발할 수 있으므로 각별한 주의가 요구됩니다.(※ 모바일에 공인인증서를 보관하는 경우에는 유출이 의심될 경우 폐기하시고 재발급을 받으시기 바랍니다.)

해당 공격은 기존과 마찬가지로 유무선 공유기 사용자 중에서 구버전 펌웨어(Firmware) 사용, 와이파이(Wi-Fi) 비밀번호 미사용자 또는 단순한 비밀번호 사용자, 공유기 관리자 비밀번호 미설정자 또는 단순한 비밀번호 사용자, 원격 관리 포트 허용 환경인 경우 외부에서 DNS 변조 공격을 성공할 수 있습니다.

그러므로 유무선 공유기를 이용하여 와이파이(Wi-Fi) 환경으로 인터넷 접속을 시도할 경우 수상한 메시지 창 생성을 통해 어플 설치를 유도하는 경우에는 절대로 설치하지 마시고, 유무선 공유기의 DNS 변조 여부(※ 정상적인 DNS 기본값은 "자동"이며, 수동으로 특정 IP 주소를 통해 "기본 DNS 서버""보조 DNS 서버"로 설정된 경우에는 DNS 변조 의심)를 체크하여 보안 설정을 다시 설정하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..