본문 바로가기

벌새::Analysis

카카오톡 PC 버전 금전 사기와 악성 파일 유포 (2011.7.11)

애플 아이폰과 안드로이드 스마트폰을 이용하여 무료로 문자 메시지를 주고 받을 수 있는 국내 카카오톡 서비스의 인기를 이용하여 최근 PC 버전용 카카오톡 출시를 이용한 금전 사기 행위가 있었다는 언론 보도가 있었습니다.

현재 문제의 사이트는 네이버 백과 사전으로 연결이 되고 있지만, 사기 행위를 할 당시에는 개인정보 입력과 유료 결제를 유도하였던 것으로 보입니다.

이에 카카오톡 PC 버전을 이용한 악의적인 인터넷 게시글이 있는지 확인하던 중, 특정 블로그에서 카카오톡 PC 버전 설치 파일로 위장한 다운로드를 제공하는 것을 확인하였습니다.

해당 블로그에서는 그림과 같이 PC 버전용 카카오톡 파일을 블로그에 첨부 파일 형태로 등록하여 다운로드를 하도록 유도하고 있습니다.

참고로 해당 설치 파일(MD5 : CEA29C3F8D2A61731F50B04452ED9EEC)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Adware/Win32.Gaba (VirusTotal : 23/43) 진단명으로 진단되고 있습니다.

해당 첨부 파일을 실행하면 국내에서 흔히 볼 수 있는 파일 다운로드 창이 생성되며, 카카오톡 PC 버전을 다운로드할 수 있도록 구성되어 있는 것을 확인할 수 있습니다.

실제 해당 다운로드의 핵심은 하단에 위치한 제휴(스폰서) 프로그램으로 작은 공간에 목록을 배치하여 사용자가 제대로 체크 해제를 하지 않을 경우 다운로드 과정에서 자동으로 다수의 광고 프로그램이 설치될 수 있습니다.

[제휴(스폰서) 프로그램 정보]

1. 검색 도우미 : GuideOn (2011.4.14)
 - MD5 : 1c3fd5a6ebf83888e47048d81d71f4c6
 - Hauri ViRobot : Trojan.Win32.Fosniw.146528 (VirusTotal : 26/43)

2. 검색 도우미 : 위즈서치(WizSearch) - WizSearch Class (2011.4.6)
 - MD5 : 933551ae8d83499a24fdbb18f3e8e674
 - Hauri ViRobot : Trojan.Win32.Downloader.60928.BK (VirusTotal : 27/43)

3. 다운로드매니저 업데이트
 - MD5 : 841e291499b1c9d087e2ac7ae46c2db3
 - AhnLab V3 : Trojan/Win32.Dloadr (VirusTotal : 21/43)


해당 카카오톡 PC 버전을 실제로 다운로드를 할 경우 다운로드된 파일은 티스토리(Tistory) 특정 블로그에 등록된 Adobe Flash Player 10.2 설치 파일을 다운로드하는 것을 확인할 수 있었습니다.(※ 해당 오류 메시지는 Adobe Flash Player 최신 버전이 설치된 상태에서 실행하였기 때문에 표시되는 것으로 보입니다.)

추가로 다운로드 과정에서 생성된 파일을 통해 확인을 해보면 Adobe Flash Player 10.3 최신 버전을 다운로드하는 것처럼 구성되어 있지만, 해당 파일 역시 카카오톡 PC 버전과 동일한 파일로 확인이 되었습니다.

이처럼 이슈가 되는 소프트웨어를 이용하여 블로그 등 인터넷 게시판을 통해 다운로드하는 파일은 매우 주의할 필요가 있으며, 사용자가 제대로 인지하지 못하는 과정에서 설치된 프로그램은 차후 PC 이용시 다양한 불편을 야기할 수 있습니다.

  • 아무래도 많은 사람들의 관심을 가지고 있는 카카오톡을 이용한 피싱이다 보니, 피해자가 많을 것 같네요… 주의해야겠습니다-

  • 좋은정보 감사합니다~

  • 카톡이 PC버전이 있었나요,,,ㄷ

    • 인터넷 상에서 확인해보면 비공식적으로 개인이 제작하여 배포하는 경우가 있어 보입니다.

      주로 저작권 문제로 p2p를 이용하는 듯 싶습니다.

      하지만 공식적으로 PC 버전은 카톡에서 제공하지 않습니다.

  • 나그네 2011.08.01 02:07 댓글주소 수정/삭제 댓글쓰기

    아 방금 비슷한거에 당햇네요.. 앵그리버드 PC버전 시디키(불법이지만..??)를 찾던중
    앵그리 버드 실사판이란게 있다고 하더라고요..(검색결과에 나옴 ㅡㅡ) 무심히 다운로드했더니.. 저런 거였어요.. 지우고 재부팅했는데 또생기고 하네요..(처음에는 재부팅해보니 3대 쇼핑몰 아이콘가지생 겼네요)
    익스 하단에 광고 뜨는거 설치된거같고.. 익스 끌때 에러 뜨네요.. 전엔 안그랬는데.. 지금 V3라이트 최신으로 업뎃하고 검사해보고 있습니다.
    절대 속지마세요.. 앵그리버드 실사판 이거 없습니다..(사이트에 해외에서 실사판??과 같은게 있다고 이미지까지 올라와있드라고요..) 앵글 버드 실사판 없으니 절대 속지마세요..

  • 나그네 2011.08.01 02:13 댓글주소 수정/삭제 댓글쓰기

    저것과 관련된거 같네요.. 혹시 보시면 들어가지 마세요.. 댓글달려햇으나 막아놨네요..
    http://fndwls.tistory.com/60 <= 들어가서 다운받지말것!!