울지않는벌새 : Security, Movie & Society

모바일을 이용한 블로그 접속시 "webnaverblog.kr" 메시지 창 생성 주의 (2014.7.19)

벌새::Analysis

예전부터 블로그 접속시 리퍼러(Referrer) 체크를 통해 조건에 부합될 경우 자동으로 특정 웹 사이트로 납치를 시도하거나 악성 파일을 자동으로 다운로드하는 악의적 행위에 대해 소개한 적이 있었습니다.

그런데 최근 모바일 기기를 이용하여 티스토리(Tistory) 블로그를 중심으로 사용자가 접속시 ['http://(Random).webnaverblog.kr' 페이지 내용] 메시지 창을 생성하여 안드로이드(Android)앱 설치를 유도하는 사례가 확인되고 있기에 살펴보도록 하겠습니다.

예를 들어 안드로이드(Android) 모바일 기기를 이용하여 네이버(Naver) 검색을 통해 노출된 블로그에 접속시 ['http://(Random).webnaverblog.kr' 페이지 내용] 메시지 창에 생성되며 "애인이 필요할 때에는 신개념 소개팅 어플 즐톡!"이라는 내용의 팝업창이 생성되는 것을 확인할 수 있습니다.

위와 같은 메시지 창이 생성되는 원인을 확인하기 위해 사용자가 접속한 티스토리(Tistory) 블로그의 특정 페이지 소스를 확인해보면 접속자의 UserAgent 값을 체크하여 "webnaverblog.kr" 웹 서버로 연결을 시도하는 스크립트를 발견할 수 있습니다.

 

즉 접속하는 사용자가 PC 환경인 경우에는 블로그 게시글만을 노출하며, 안드로이드(Android) 또는 아이폰(iPhone) 기기의 경우에는 메시지 창 생성 또는 자동 납치 방식으로 연결을 시도하게 됩니다.

이를 통해 연결되는 랜덤(Random)한 URL 값을 가진 "webnaverblog.kr" 웹 서버에서는 구글 플레이(Google Play)에 등록된 특정 어플 페이지로 연결을 시도하는 것을 알 수 있습니다.

연결된 Google Play에 등록된 앱은 "즐거운 랜덤채팅은 즐톡"이라는 남녀 만남을 위한 채팅앱으로 보입니다.

  • 저장 : SD 카드 콘텐츠 수정/삭제
  • 전화 통화 : 휴대전화 상태 및 ID 읽기
  • 네트워크 통신 : 인터넷 액세스

설치를 해보면 위와 같은 권한을 요청하며 바탕 화면에 "즐거운톡" 바로가기 아이콘을 생성합니다.

 

위와 같이 특정 애플리케이션 홍보를 목적으로 티스토리(Tistory) 블로그를 중심으로 모바일 기기를 통해 접속시 원치않는 메시지 창을 통해 앱 설치를 유도하는 사례가 많이 확인되고 있으며, 악성앱 유포 방식도 위와 같은 형태로 존재할 가능성이 매우 높으므로 위와 같은 메시지 창 생성을 통한 앱 설치 방식은 되도록 하지 않기를 권장합니다.