울지않는벌새 : Security, Movie & Society

"배신자톡 ver 1.0" 프로그램을 이용한 결제 사기 주의 (2012.8.8)

벌새::Analysis

카카오톡에 등록된 차단된 친구를 찾아준다는 "배신자톡"이라는 프로그램을 이용하여 인터넷 사기를 치는 행위에 대해 몇 차례 언론을 통해 주의보가 내려졌으며, 실제 청소년이 수천만원을 챙겨서 경찰에 잡혔다는 내용도 확인할 수 있습니다.

 

  <ZDNet Korea> 카톡 사기 이번엔 ‘배신자톡’...충격 (2012.7.12)

 

그런데 최근 비슷한 방식의 "배신자톡 ver 1.0" 프로그램을 이용하여 자동 연장 결제 방식의 사기 행위를 목적으로 유포가 이루어진 정황이 확인되어 살펴보도록 하겠습니다. 

유포 방식은 네이버(Naver) 카페 게시글을 통해 "스마트폰 필수 배신자톡 ver 1.0 카카오톡 차단 여부 확인 프로그램"이라는 제목으로 "배신자톡 ver 1.0 다운로드.zip" 압축 파일을 다운로드 하도록 홍보하고 있습니다.(※ 원문글은 네이버(Naver) 신고를 통해 삭제가 된 것으로 보입니다.)

 

다운로드되는 배신자톡 압축 파일은 카페24(Cafe24) 웹 호스팅에 등록된 특정 도메인(free****.kr)으로부터 다운로드되고 있으며, 해당 도메인 등록자는 핵(Hack), 봇(Bot) 등의 아이디를 이용하여 최근 활동을 하는 사용자로 보입니다. 

다운로드된 압축 파일 내부에는 사용법과 함께 "배신자톡ver1.0.exe" 실행 파일(MD5 : f41a04e3ba5dd2279a84bd042108b963)이 포함되어 있습니다. 

 파일 아이콘은 카카오톡 모양을 하고 있으며, 2012년 8월 3일경 제작된 것으로 보입니다. 

파일을 실행해보면 그림과 같은 인터페이스를 하고 있으며, 회원 승인을 거쳐 등록된 아이디(ID)와 비밀번호(PW)를 입력하도록 제작되어 있습니다. 

우선 임의의 아이디(ID)와 비밀번호(PW)를 입력하여 로그인을 시도해보면 그림과 같이 로그인에 실패하였다는 메시지가 나오지만, 실제 외부 통신을 통한 계정 정보 체크가 확인되지 않는 가짜 로그인 창임을 확인하였습니다.

 

이는 "회원 승인" 버튼을 통해 회원 가입을 유도하는 동작만이 "배신자톡 ver 1.0" 프로그램의 핵심이라고 할 수 있습니다. 

"회원 승인" 버튼을 클릭하면 "배신자톡 ver 1.0 회원 가입"창이 생성되며, "핸드폰 인증은 무료이고 본인확인용으로 밖에 사용되지 않습니다."라는 문구를 확인할 수 있습니다. 

해당 회원 가입창을 구현한 페이지 소스를 확인해보면 국내 특정 도메인 서비스를 이용하고 있으며, 이로 인하여 삽입된 iframe으로 인하여 다음과 같은 ActiveX 설치앙이 생성되는 동작을 확인할 수 있습니다. 

해당 ActiveX는 일반 사용자들 입장에서는 회원 가입을 위해 반드시 설치해야 하는 프로그램으로 오해를 유발할 수 있으며, "sb partners Holdings" 게시자로 서명된 "ActiveGard.exe" ActiveX 설치창을 설치하지 않아도 동작에 영향을 주지는 않습니다. 

  • h**p://inging***.co.kr/ac_120709/ActiveGard.exe (MD5 : b860a9aa66613a884d3a04a3461f7f0c)

해당 ActiveX를 받아오는 소스를 확인해보면 기존에 알려진 특정 서버로부터 ActiveGard.exe 파일을 다운로드하는 것을 확인할 수 있습니다. 

 

만약 사용자가 ActiveGard.exe ActiveX 설치를 진행하였다면 "Domain ActiveX Guide" 창이 생성되며, 현재 테스트 시점에서는 9종의 다양한 수익성 프로그램이 함께 설치될 가능성이 존재합니다.

 

  <Right Security Blog> 무료 도메인을 경유한 네이버 카페 접속시 악성코드 유포 행위 (2010.3.9)

 

  보안인증 ActiveX 설치를 이용한 SXGuide 유포 주의 (2010.6.13)

 

  Domain Sponsor Reword Program 설치창을 생성하는 국내 ActiveX 설치 주의 (2010.7.15)

 

  국내 악성코드 : Windows sxguide navigation - S2Xguide (2010.7.18)

 

  국내 악성코드 : 쇼핑 도우미로 위장한 Windows sxguide navigation (2010.9.9)

 

  군 입대를 빙자한 온라인 게임 계정 사기 (2011.8.13)

 

참고로 해당 ActiveX는 기존의 JuneIP, SXGuide, Totoran 계열의 수익성 프로그램으로 알려져 있으므로 참고하시기 바랍니다. 

ActiveX 설치창을 종료한 후에는 그림과 같은 회원 가입 양식이 제공되고 있으며, 하단의 붉은색 버튼을 교묘하게 숨겨서 사용자가 정확하게 어떤 부분에 동의를 했는지 정보를 확인할 수 없도록 하고 있습니다. 

사용자가 회원 가입 양식에 정보(아이디, 비밀번호, 이름, 주민등록번호, 이동통신사 종류, 휴대폰 번호)를 입력한 후 버튼을 클릭할 경우, 국내 특정 오락실 게임 사이트(gebo***.co.kr (27.102.201.154))를 통해 다날(Danal) 휴대폰 소액 결제를 시도하는 동작을 확인할 수 있습니다.

 

이 과정에서 입력한 개인정보는 암호화되지 않은 상태로 서버로 전송되며, 특정 광고 아이디(ID)가 추가되어 있는 것을 확인할 수 있습니다. 

문제의 오락실 게임 사이트의 이용약관을 확인해보면 자동 연장 결제 방식으로 운영되며, 사용자가 해지 신청을 하지 않을 경우 매월 15,000원(부가세 별도) 이상이 결제되는 것으로 보입니다. 

해당 사이트는 오락실 게임, 성인 콘텐츠, 운세 등의 서비스를 하고 있으며, 웹 사이트를 통한 회원 가입은 이루어지지 않는 방식으로 보입니다. 

참고로 실제 입력한 휴대폰 정보는 정상적으로 다날 결제 시스템에서 체크를 하는 것으로 확인되고 있습니다.

 

위와 같은 배신자톡 프로그램을 이용하여 제시되는 회원 가입 양식은 어떤 서비스를 통해 회원 가입이 이루어지는지 사용자는 전혀 확인할 방법이 없으며, 결제와 함께 일정 금액이 결제되고 사용자가 추가적인 해지 신청을 하지 않을 경우에는 지속적인 금전 피해가 예상됩니다.

 

하지만 이미 배신자톡의 위험성에 대하여 많은 인터넷 사용자들이 인지하고 있으므로 금전적 피해는 없을 것으로 생각되지만, 앞으로도 유사한 방식의 인터넷 사기가 발생할 수 있으므로 주의가 요구됩니다.

 

 추가 정보 : 서든 어택(Sudden Attack) 핵을 이용한 결제 유도 행위 (2012.8.8) 

추가로 확인한 정보에 의하면 해당 유포자는 서든 어택(Sudden Attack) FPS 온라인 게임에서 사용할 수 있는 핵(Hack)으로 위장한 프로그램을 이용하여 배신자톡과 동일한 방식으로 유료 결제를 유도하는 행위도 확인할 수 있습니다.