울지않는벌새 : Security, Movie & Society

android-tester.com 메시지를 이용한 허위 보안 경고 주의 (2014.2.26)

벌새::Analysis

안드로이드(Android) 스마트폰 사용자가 해외 광고가 포함된 웹 사이트에 접속하여 인터넷을 이용하는 과정에서 ['h**p://android-tester.com' 페이지 내용] 경고창을 생성하여 바이러스 발견 또는 브라우저 경고와 같은 메시지 창을 통해 특정앱을 설치하도록 유도하는 행위가 지속적으로 발견되고 있습니다.

 

■ 사례 1 : 'h**p://android-tester.com' 페이지 내용

****** 경고 바이러스가 발견되었습니다. 안드로이드에 트로잔 바이러스 킬러를 다운로드받으셨습니다. 고객님 전화는 이 바이러스로 감염된 32,000 전화 중 하나입니다. 은행계좌 정보와 비밀번호, 사진을 가져갔거나 지웠습니다. 이 바이러스는 360 안티바이러스에 의해 11월 21일 처음 발견되었으며, 260 안티바이러스가 유일한 무료 바이러스 백신입니다. 지금 다운로드하여 이 바이러스를 제거하려면 확인(OK)을 누르세요. ******

표시되는 메시지 창에서는 번역기로 작성된 것으로 보이는 한글로 작성되어 있으며, 모바일에서는 "확인" 버튼만 표시되어 무조건 클릭해야 하도록 제작되어 있습니다.

고객님의 전화가 치명적인 트로잔 멀웨어에 감염되었을 수 있습니다.

암호와 은행 정보가 위험에 처할 수 있습니다. 탭하여 전화를 스캔하세요.

"확인" 버튼을 클릭하면 "브라우저 경고" 창을 통해 또 다른 경고를 통해 "바이러스 제거" 버튼을 클릭하도록 되어 있습니다.

 

■ 사례 2 : 'h**p://android-tester.com' 페이지 내용

--------- 브라우저 경고 ---------

고객님의 전화가 치명적인 트로잔 멀웨어에 감염되었을 수 있습니다.

또 다른 사례에서는 스마트폰이 감염되었다는 "브라우저 경고" 창을 생성하여 반드시 "확인" 버튼을 클릭하도록 제작되어 있습니다.

"확인" 버튼을 클릭하면 허위 크롬(Chrome) 웹 브라우저의 경고창을 생성하여 "위험:멀웨어(컴퓨터 시스템 파괴 소프트웨어) 감염 가능!" 메시지를 통해 버튼을 클릭하도록 제작되어 있습니다.

 

위와 같은 다양한 경고창은 사용자에게 허위 정보를 제공하여 메시지에서 표시된 버튼 클릭을 통해 특정 앱 설치를 하도록 유도하는 일종의 광고 방식으로 확인되며, 실제 사용자 스마트폰을 검사하여 감염 여부를 알려주는 것은 절대로 아닙니다.

 

  <하우리 악성코드 분석정보> [모바일용] [주의] 웹을 통한 모바일 애드웨어 설치

 

최근 하우리(Hauri) 보안 업체에서도 위와 관련된 모바일 애드웨어(Adware) 유포와 설치에 대한 정보를 공개하였으며, 개인적으로 확인한 정보는 다음과 같습니다.

위와 같은 광고가 포함된 웹 사이트는 안드로이드(Android) 모바일 환경에서 동작하며, 쿠키(Cookies)를 체크하여 특정 시간대 내에서 반복적으로 경고창이 생성되지 않도록 하는 것으로 파악됩니다.

문제의 웹 사이트에서 콘텐츠를 보거나 인터넷 검색을 통해 특정 콘텐츠를 클릭하는 과정에서 자동으로 외부의 특정 광고 서버로 리다이렉트를 시도합니다.

 

참고로 Windows 운영 체제 환경에서는 또 다른 광고 사이트를 통해 제휴 프로그램이 포함된 실행 파일을 다운로드할 수 있습니다.

연결된 광고 서버는 또 다른 서버를 경유하여 "android-tester.com" 서버로 연결이 이루어지며, 이 과정에서 안드로이드(Android) 스마트폰의 언어를 체크하여 한글로 메시지창을 생성하게 할 수 있습니다.

사용자가 생성된 메시지창을 통해 "확인" 버튼을 클릭할 경우 최종적으로 Google Play의 특정앱으로 연결될 수 있습니다.

테스트에서는 실제로 Google Play의 "Clean Master (작업 관리자, 히스토리 삭제)" 앱의 설치로 연결되지는 않지만, 위와 같은 광고 방식을 통해 언제든지 모바일 앱의 설치로 연결될 수 있으리라 판단됩니다.

 

그러므로 안드로이드(Android) 스마트폰 사용자 중에서 인터넷을 이용하는 과정에서 한글로 표시되는 허위 감염 메시지에 너무 놀라서 설치를 유도하는 앱을 설치하는 일이 없도록 하시기 바랍니다.

 

또한 차후에도 위와 유사한 앱 홍보 및 배포를 목적으로 다양한 파트너들의 활동이 있을 것으로 보이므로, PC와 마찬가지로 모바일 환경에서도 원치않는 광고창으로 고생할 수 있으므로 주의하시기 바랍니다.