최근 유무선 공유기의 보안 설정 취약점을 이용하여 DNS 주소를 변조하는 공격이 새로운 형태로 출현한 부분이 확인되어 정보를 공유해 드립니다.
이미 2014년 4월경부터 활발하게 유무선 공유기 사용자를 대상으로 한 DNS 변조를 통해 네이버(Naver), 다음(Daum) 포털 사이트 접속시 URL 주소는 정상이지만 가짜 포털 사이트로 연결하여 악성앱(APK) 다운로드를 통한 설치를 유도하는 사례가 지속적으로 발견되고 있었습니다.
그런데 최근 유무선 공유기를 통해 모바일 인터넷을 이용하는 과정에서 네이버(Naver) 포털 사이트 접속시 "id.naver.com/form.php" URL 주소로 연결되어 "회원님의 아이디를 보호하고 있습니다. 회원님의 아이디가 평소 회원님이 사용하지 않거나 보안상 안전하지 않은 환경에서 로그인되었습니다."라는 메시지를 통해 IP 주소가 포함된 가짜 로그인 내역까지 제시하면서 "보호조치 해제" 버튼을 클릭하도록 유도하는 화면이 생성됩니다.(※ 참고로 연결된 URL 주소는 실제 존재하지 않는 주소로 판단됩니다.)
사용자가 허위 정보에 속아 비밀번호 변경을 위해 아이디 보호조치 해제 버튼을 클릭하면 본인 확인을 위한 "이름, 성별, 생년월일, 휴대폰 번호"를 입력하도록 양식을 제공하여 개인정보를 수집하고 있습니다.
개인정보 입력 후 확인 버튼을 클릭하면 "보안업데이트 버전이 출시되였습니다. 안전한 인터넷방문을 하시려면 업데이트후 이용해주십시오."라는 알림창이 생성됩니다.
이를 통해 NAVERV23.0.12.apk 파일명으로 제작된 가짜 네이버앱으로 추정되는 악성앱(APK) 다운로드가 이루어지는 구조입니다.
정상적인 네이버앱 다운로드는 네이버 앱스토어, Google Play와 같은 배포지를 통해 설치가 이루어지므로 방문하지 않은 사이트를 통해 APK 파일이 자동으로 다운로드되는 행위는 악성앱 설치 방식이라고 판단하시면 됩니다.
그러므로 모바일을 이용하여 인터넷 이용시 위와 같은 허위 정보를 기반으로 APK 파일 다운로드가 이루어지는 사용자는 현재 접속한 유무선 공유기 또는 무료 와이파이(Wi-Fi)의 DNS 주소가 변조되어 발생하고 있는 것으로 판단하여 반드시 보안 설정 권고문에 따라 보안 설정을 수정하시고 인터넷을 이용하시기 바랍니다.
특히 다운로드되는 악성앱 설치를 목적으로 한 APK 파일은 절대로 실행하여 설치하는 일이 없도록 하시기 바라며, 만약 설치가 되었다면 설치시 제시된 이름을 기반으로 관련 애플리케이션을 삭제하시거나 모바일 기기를 공장 초기화하여 추가적인 피해를 예방하시기 바랍니다.