본문 바로가기

벌새::Analysis

android-tester.com 메시지를 이용한 허위 보안 경고 주의 (2014.2.26)

안드로이드(Android) 스마트폰 사용자가 해외 광고가 포함된 웹 사이트에 접속하여 인터넷을 이용하는 과정에서 ['h**p://android-tester.com' 페이지 내용] 경고창을 생성하여 바이러스 발견 또는 브라우저 경고와 같은 메시지 창을 통해 특정앱을 설치하도록 유도하는 행위가 지속적으로 발견되고 있습니다.

 

■ 사례 1 : 'h**p://android-tester.com' 페이지 내용

****** 경고 바이러스가 발견되었습니다. 안드로이드에 트로잔 바이러스 킬러를 다운로드받으셨습니다. 고객님 전화는 이 바이러스로 감염된 32,000 전화 중 하나입니다. 은행계좌 정보와 비밀번호, 사진을 가져갔거나 지웠습니다. 이 바이러스는 360 안티바이러스에 의해 11월 21일 처음 발견되었으며, 260 안티바이러스가 유일한 무료 바이러스 백신입니다. 지금 다운로드하여 이 바이러스를 제거하려면 확인(OK)을 누르세요. ******

표시되는 메시지 창에서는 번역기로 작성된 것으로 보이는 한글로 작성되어 있으며, 모바일에서는 "확인" 버튼만 표시되어 무조건 클릭해야 하도록 제작되어 있습니다.

고객님의 전화가 치명적인 트로잔 멀웨어에 감염되었을 수 있습니다.

암호와 은행 정보가 위험에 처할 수 있습니다. 탭하여 전화를 스캔하세요.

"확인" 버튼을 클릭하면 "브라우저 경고" 창을 통해 또 다른 경고를 통해 "바이러스 제거" 버튼을 클릭하도록 되어 있습니다.

 

■ 사례 2 : 'h**p://android-tester.com' 페이지 내용

--------- 브라우저 경고 ---------

고객님의 전화가 치명적인 트로잔 멀웨어에 감염되었을 수 있습니다.

또 다른 사례에서는 스마트폰이 감염되었다는 "브라우저 경고" 창을 생성하여 반드시 "확인" 버튼을 클릭하도록 제작되어 있습니다.

"확인" 버튼을 클릭하면 허위 크롬(Chrome) 웹 브라우저의 경고창을 생성하여 "위험:멀웨어(컴퓨터 시스템 파괴 소프트웨어) 감염 가능!" 메시지를 통해 버튼을 클릭하도록 제작되어 있습니다.

 

위와 같은 다양한 경고창은 사용자에게 허위 정보를 제공하여 메시지에서 표시된 버튼 클릭을 통해 특정 앱 설치를 하도록 유도하는 일종의 광고 방식으로 확인되며, 실제 사용자 스마트폰을 검사하여 감염 여부를 알려주는 것은 절대로 아닙니다.

 

  <하우리 악성코드 분석정보> [모바일용] [주의] 웹을 통한 모바일 애드웨어 설치

 

최근 하우리(Hauri) 보안 업체에서도 위와 관련된 모바일 애드웨어(Adware) 유포와 설치에 대한 정보를 공개하였으며, 개인적으로 확인한 정보는 다음과 같습니다.

위와 같은 광고가 포함된 웹 사이트는 안드로이드(Android) 모바일 환경에서 동작하며, 쿠키(Cookies)를 체크하여 특정 시간대 내에서 반복적으로 경고창이 생성되지 않도록 하는 것으로 파악됩니다.

문제의 웹 사이트에서 콘텐츠를 보거나 인터넷 검색을 통해 특정 콘텐츠를 클릭하는 과정에서 자동으로 외부의 특정 광고 서버로 리다이렉트를 시도합니다.

 

참고로 Windows 운영 체제 환경에서는 또 다른 광고 사이트를 통해 제휴 프로그램이 포함된 실행 파일을 다운로드할 수 있습니다.

연결된 광고 서버는 또 다른 서버를 경유하여 "android-tester.com" 서버로 연결이 이루어지며, 이 과정에서 안드로이드(Android) 스마트폰의 언어를 체크하여 한글로 메시지창을 생성하게 할 수 있습니다.

사용자가 생성된 메시지창을 통해 "확인" 버튼을 클릭할 경우 최종적으로 Google Play의 특정앱으로 연결될 수 있습니다.

테스트에서는 실제로 Google Play의 "Clean Master (작업 관리자, 히스토리 삭제)" 앱의 설치로 연결되지는 않지만, 위와 같은 광고 방식을 통해 언제든지 모바일 앱의 설치로 연결될 수 있으리라 판단됩니다.

 

그러므로 안드로이드(Android) 스마트폰 사용자 중에서 인터넷을 이용하는 과정에서 한글로 표시되는 허위 감염 메시지에 너무 놀라서 설치를 유도하는 앱을 설치하는 일이 없도록 하시기 바랍니다.

 

또한 차후에도 위와 유사한 앱 홍보 및 배포를 목적으로 다양한 파트너들의 활동이 있을 것으로 보이므로, PC와 마찬가지로 모바일 환경에서도 원치않는 광고창으로 고생할 수 있으므로 주의하시기 바랍니다.

  • 재밌게 봤습니다. 추천 눌르고 가야징 ^^

  • 좋은정보감사해요 2014.03.07 01:38 댓글주소 수정/삭제 댓글쓰기

    전 이거 확인 눌렀다가 이상해서 뒤로가기 버튼 막 눌렀는데ㅠ 그래서 원래 인터넷페이지로 돌아왔습니다.
    그렇게되면 제폰에 특정 앱이 깔린건가요? 아니면 확인을 누른 후에 어떤 앱을 깔겠다고 다시확인을 해야 깔리는 건가요?

  • 방성재 2014.03.08 17:06 댓글주소 수정/삭제 댓글쓰기

    저도 떠서 검색해봤는데 역시나네요. 강사합니다.

  • 치윤 2014.03.09 19:50 댓글주소 수정/삭제 댓글쓰기

    저이거 확인누르고 그담것도누르고 뒤로가기 막눌럿는데 소액결제라던가 된건가요 ㅠㅠ

  • 저기 야동볼려고 들어같는데 성인사이트3개에 바이러스가왔대여 그러면서 마스터클린?인가 벌새님이올린 그 어풀이떠요 다운ㅂㄷ으라고 그래서 막 검사 별애별거했는데 이상없데요..;;어떻함?진짜임안임?

    • 설치하라는 클린마스터 앱 자체도 악성앱은 아닌 것으로 알고 있습니다.

      단지 클린마스터 앱을 사용자폰에 설치하도록 하기 위한 위협성 과장 광고가 문제로 보입니다.

      하지만 일부 광고는 실제로는 클린마스터가 구글 플레이가 아닌 다른 서드파트에서 받도록 변경한다면 악성앱이 설치될 수 있습니다.

  • 저도 방금전 성인사이트 어쩌고저쩌고 하면서 바이러스에 감염되셨습니다 제거 하시겠습니까 했는데 일단 확인 누르는순간 이상한 사이트에 들어가지면서 제가 뭔가 다운받거나 스토어 들어갈때 항상 비번을 처야 들어가게끔 해놨거든요 갑자기 그 비번 치는게 떠서 얼른 뒤로가기 눌렀는데 이미 사이트 주소자체에 들어간거면 악성코드에 감염된건가요 아니면 설치되기전에 비번뜨게해놓은것 때문에 걸리지않았을까요? ㅠ 사이트 주소는 clilk.trk0131.com 이거인데요 감염됬을까요? ㅠ

    • 주소가 잘못적혔네요 click.trk0131.com 이거입니다 ㅠㅠ

    • 현재 안드로이드 환경에서 해외 광고 스크립트가 포함된 웹 사이트 방문시 위와 유사한 경고창을 통해 특정앱을 설치하도록 유도하고 있습니다.

      그러므로 단순히 경고창이 생성되었다고 감염된 것이 아니므로 경고창을 통해 설치 유도하는 앱을 설치하지만 않는다면 문제없습니다.

  • 안녕하세요

    벌써 2년 전 글이네요

    저도 동일한 증상으로 고통받고 있는데..

    혹시 해결 방법은 어떤게 있을까요? 알약이나 V3로는 악성코드 검색이 안되네요ㅠ

    • 해당 증상은 악성앱에 감염되어서 발생하는 것이 아니라 사용자가 이런 광고를 하는 웹사이트에 접근해서 발생하므로 이런 광고가 노출되는 웹사이트 접속을 되도록 하지 않는 방법 외에는 없습니다.

  • 비밀댓글입니다

    • 다운로드한 앱이 구글 플레이에서 했다면 문제있는 앱이 아니므로 이후에 제거까지 한 후에는 특별히 추가적으로 처리할 부분은 없습니다.

      단지 첫 다운로드가 이상한 웹 사이트에서 바로했다면 모바일 백신으로 검사를 한 번 해보시기 바랍니다.

  • 권석현 2018.06.10 15:12 댓글주소 수정/삭제 댓글쓰기

    저 이거 엄청 많이 당했어요ㅠㅠㅠ 일베는 감시하려고 엄청나게 들어갔다가 다 이거 걸려서 요새 안 들어가요.그리고 뜬금없이 1번째로 당한 게 개인정보 터는 휴대폰 준다는 거였는데 '쇼와의 날' 사이트에서 뜨더라고요.그래서 검색해 보았더니 위치 정보도 털릴 수 있다고 했는데 그건 아니겠죠?