본문 바로가기

벌새::Security

보안 설정이 취약한 공유기를 통한 "AhnLab V3 Mobile" 출시 알림창 생성 주의 (2014.12.20)

반응형

최근 스마트폰 사용자가 보안 설정을 제대로 하지 않은 유무선 공유기를 이용하여 포털 사이트 접속시 "h**p://36.2.123.254/(영문+숫자)/index.php" 악성 웹 사이트로 연결되어 "AhnLab V3 Mobile" 악성앱을 설치하도록 유도하는 알림창이 생성되는 문제가 발견되고 있습니다.

 

현재 확인된 공통적인 동작은 안드로이드(Android), 아이폰(iPhone)과 같은 스마트폰 사용자가 DNS 변조가 이루어진 유무선 공유기에서 제공하는 와이파이(Wi-Fi) 환경을 통해 인터넷에 접속을 할 경우 발생하고 있습니다.

 

특히 접속시 네이버앱 등의 특정 애플리케이션 및 접속 기기를 체크하여 PC 환경에서는 동작이 이루어지지 않으며(※ 최근에는 PC에서도 악성 IP 주소로 연결되거나 웹 사이트 연결이 이루어지지 않는 문제가 확인되었습니다.), 조건에 맞게 네이버(Naver) 등의 포털 사이트 접속시 "36.2.123.254" IP 주소로 자동 연결되어 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오."라는 알림창을 생성하여 확인 버튼을 클릭할 경우 악성 apk 파일이 다운로드가 이루어집니다.

실제 위와 매우 유사한 공유기 DNS 변조를 통한 악성앱 유포 행위는 2014년 8월경에도 발생하였으며, 당시에는 "V3 모바일 3.0"이라는 실제 존재하지 않는 버전의 설치를 유도하고 있었습니다.

 

위와 같이 스마트폰 사용자 중에서 와이파이(Wi-Fi)를 통해 인터넷 접속시 알림창 생성을 통해 특정 애플리케이션 설치를 유도할 경우에는 절대로 확인 버튼을 클릭하여 apk 파일을 다운로드하지 않도록 주의하시기 바라며, 만약 apk 악성 파일이 다운로드된 경우에는 직접 실행하여 설치를 진행하지 않았다면 감염된 것이 아니므로 apk 파일만 삭제하시면 됩니다.

 

보안 설정이 제대로 이루어지지 않은 유무선 공유기를 통해 인터넷 접속시 위와 같은 피해를 당하지 않기 위해서는 사용하시는 유무선 공유기 보안 설정을 다음과 같이 반드시 변경하시기 바랍니다.

 

(a) 유무선 공유기 제조사 홈 페이지를 방문하여 안내에 따라 유무선 공유기를 공장 초기화하시기 바랍니다.

 

(b) 유무선 공유기의 펌웨어 버전을 확인하여 최신 버전으로 업데이트하시기 바랍니다.

 

(c) 유무선 공유기의 인터넷 연결 설정값에서 DNS 서버 주소가 수동으로 설정된 경우 기본/보조 DNS 서버 IP 주소를 모두 삭제하여 자동으로 설정하도록 하시기 바랍니다.

 

(d) 유무선 공유기 관리자 페이지의 로그인 계정 및 암호를 설정하시기 바랍니다.(※ 비밀번호는 영문, 숫자, 특수 문자가 조합된 10자리 이상으로 설정하시기 바랍니다.)

 

(e) 2.4GHz / 5GHz 무선 인터넷 연결을 위한 암호화 및 암호를 설정하시기 바랍니다.( 암호화는 WPA2PSK+AES로 설정하시고 암호는 영문, 숫자, 특수 문자가 조합된 10자리 이상으로 설정하시기 바랍니다.)

 

(f) 외부에서 공유기를 원격 접속하지 못하도록 "원격 관리 포트" 사용을 해제하시기 바랍니다.

 

위와 같은 조치를 통해 유무선 공유기 보안 설정을 한 후에는 더 이상 문제가 발생하지 않으며, 만약 설정 완료 후 인터넷 접속시 증상이 지속된다면 접속하는 애플리케이션의 임시 파일(캐시)과 쿠키 파일을 모두 삭제하시고 재접속하시기 바랍니다.

 

또한 차후에도 유무선 공유기의 보안 수준을 유지하기 위해서는 꾸준하게 펌웨어 업데이트 정보를 체크하여 최신 버전을 설치하시기 바라며, 주기적으로 유무선 공유기 관리자 페이지 및 인터넷 연결을 위한 암호(비밀번호)를 변경해 주시기 바랍니다.

 

또한 만약 해당 알림창을 통해 악성 apk 파일 다운로드 후 직접 설치를 한 사용자는 설치시 제시된 애플리케이션 이름을 기반으로 설치된 애플리케이션을 찾아 삭제하시거나 모바일 백신을 통해 정밀 검사를 하시기 바랍니다.(※ 참고로 악성앱 제거시 삭제가 되지 않는 경우에는 기기관리자 항목에서 설치된 악성앱을 찾아 체크 해제 후 설치된 애플리케이션 목록에서 삭제하시기 바랍니다.)

 

만약 설치된 찾을 수 없을 경우에는 스마트폰 공장 초기화를 하시기 바라며, 감염된 상태에서 공인인증서, 중요 사진, 비디오, 문서 등이 외부로 유출되었을 가능성이 있으므로 공인인증서의 경우 폐기 후 재발급 받으시기 바랍니다.

 

마지막으로 여전히 유무선 공유기의 보안 설정 문제로 인터넷 접속시 가짜 웹 사이트로 연결되어 악성앱 다운로드를 유도하거나 주민등록번호를 입력하도록 하는 사례가 지속적으로 발견되고 있으므로 유무선 공유기를 이용한 인터넷 사용시에는 항상 보안 설정을 신경써서 관리하는 습관을 가지시기 바랍니다.

 

 추가 악성 IP 정보 : 122.103.122.215 (2014.12.21)

추가적으로 확인된 정보에 따르면 스마트폰을 통해 네이버(Naver) 접속시 "122.103.122.215" 악성 IP 서버로 자동 연결되어 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오." 알림창이 생성되어 악성앱 설치를 유도하고 있습니다.

 

 추가 악성 IP 정보 : 103.251.37.113 (2014.12.22)

 

  • h**p://103.251.37.113/(영문+숫자)naver/index.php

유무선 공유기 DNS 변조를 통해 스마트폰을 이용하여 와이파이(Wi-Fi) 인터넷 환경으로 포털 사이트 접속시 "103.251.37.113" IP 서버로 자동 연결되어 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오." 알림창이 생성되어 악성앱 다운로드를 유도하고 있습니다.

 

 추가 악성 IP 정보 : 103.251.36.44 (2014.12.23)

AhnLab V3 Mobile 출시 알림창 이외에도 기존과 마찬가지로 네이버(Naver), 다음(Daum), 네이트(Nate) 포털 사이트 접속시 "회원님의 아이디를 보호하고 있습니다."라는 허위 페이지를 표시하여 포털 사이트 계정 정보 및 주민등록번호를 비롯한 개인정보 수집과 악성앱 다운로드를 시도할 수 있으므로 주의하시기 바랍니다.

 

 추가 악성 IP 정보 : 122.103.125.95 (2014.12.26)

  • h**p://122.103.125.95/(영문+숫자)/index.php

DNS 변조가 이루어진 유무선 공유기를 이용하여 포털 사이트 접속시 "122.103.125.95" IP를 이용하여 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오." 알림창이 생성되고 있습니다.

 

특히 일부 유무선 공유기 사용자 중에서 해당 문제로 인하여 "공유기 초기화 → 비밀번호 설정" 등의 보안 조치를 한 이후 몇 시간이 경과하면 재발생하는 문제가 있다고 보고되고 있습니다.

 

  • 통신사 제공 또는 구형 유무선 공유기의 경우 보안 취약점이 해결된 펌웨어 미지원으로 인해 보안 설정 후에도 반복적인 DNS 변조가 이루어질 수 있습니다.

그러므로 해당 문제의 핵심 중의 하나는 공유기 해킹을 유발하는 문제를 해결한 펌웨어 최신 버전을 설치하지 않는 한 반복적으로 DNS 변조가 이루어질 수 있다는 점을 명심하시기 바랍니다.

 

 
728x90
반응형
  • 지나가다 2014.12.21 23:11 댓글주소 수정/삭제 댓글쓰기

    네트워크 설정에 나름 자부를 하고 있었는데 오늘자 공유기를 통해서 저도 바로 당했습니다.
    이번사태 생각보다 많은 사람이 당할 것 같습니다.

    공유기를 깔려있는데 우리나라 공유기 관리자 설정 안하는 사람이 태반이니까요.

    • 실제로 이런 공격이 시작된 올해초부터 정말 많은 사람들이 검색을 통해 유입되고 있으며, 일시적으로 해결했다고 생각하는 사람들도 또 당하는 것 같습니다. ㅠㅠ

    • 지나가다 2014.12.21 23:59 댓글주소 수정/삭제

      구형공유기를 사용하는데 네트워크 관리자 비번 설정은 한 것 같으데.. 무선은 당연히 비번을 걸고 또 걸었고.

      공유기기본설정에 ui 외부접속 포트를 열어놓았더니..
      그걸로 침투한 것 같내요.

      점심까지 아무런 문제없이 쓰다가
      저녁에 스마트폰 두대에 저런게 떠서 당장 모든 스마트폰 검색하고 바로 공유기 리셋해서 다시 셋팅했습니다.

    • 지나가다 2014.12.22 00:03 댓글주소 수정/삭제


      아직도 각 가정에 wifi 비밀번호 설정조차 안 된 오픈된 공유기가 많은데,

      집이나 사무실 영업장소 등 다른 곳에 설치된 자동으로 접속되어 피해를 입은 사람이 있을 수도 있다는 점에서..

      걱정스럽내요.

    • 네.. 원격 접속 포트를 오픈하면 공유기가 침투가 가능한 것으로 알고 있습니다.

      특히 구형의 경우 펌웨어 업데이트 지원이 안될 수도 있고 참 해결이 쉽지 않은 환경도 있을 듯합니다.

    • 감염자를 보면 병원에서 와이파이로 연결했더니 저런게 뜬다는 분이 있었습니다.

  • 비밀댓글입니다

    • 단순히 공유기를 초기화한다고 해결되지 않을 수 있습니다. 현재 사용하는 공유기 기종을 정확하게 확인하여 제조사에서 제공하는 최신 펌웨어 버전으로 업데이트를 하시기 바랍니다.

      또한 와이파이 비밀번호, 관리자 설정 비밀번호, 세부적인 보안 설정(원격 포트 차단)을 함께 설정하셔야 합니다.

      http://hummingbird.tistory.com/5399

      자세한 내용을 참고하시기 바랍니다.

  • 저 오늘 시 ㅡ발안렙파밍당함
    Ip추가122.103.122.215

  • 비밀댓글입니다

    • 개인적인 연락은 어렵습니다. 단지 http://hummingbird.tistory.com/notice/4859 게시글을 참고하여 메일로 사용하시는 공유기의 정확한 제품명과 네이트온 친구 신청을 위한 정보를 주시기 바랍니다.

  • 벌서 개인정보다 입력했으면 어떻하나요 ㅜㅜㅜ

  • 집 공유기를 쓰고 있는 다른 기기들은 이상이 없는데 유독 휴대폰만 자주 저런 페이지가 떠요. 집 외에는 지하철 공유기의 와이파이만을 사용했는데 지하철의 공유기에도 저런 문제가 발생할 수 있는거겠죠?? ㅠㅠ

    • 병원 와이파이에서도 발생한다는 이야기가 있더군요.

    • 생각을 해보니 지하철 와이파이가 아니고 hellowireless 와이파이를 사용해서 그런 것 같아요. 그런데 태블릿같은 다른 스마트기기들은 멀쩡한데 휴대폰만 계속해서 저런 것들이 뜨네요..덕분에 포맷과 백업을 수차례 했는데 또 뜨고 마네요.. 더 이상 외부 와이파이는 쓰면 안되겠군요 ㅠㅠ

  • 질문있어요 2014.12.31 00:03 댓글주소 수정/삭제 댓글쓰기

    어제 집에서 와이파이를 켜고 네이버에 접속하는데 업데이트를 하라는 화면이 뜨더군요.
    잘못 눌러져서 확인을 눌러버렸고, 다운이 되었거든요.
    제 핸드폰 보안에서 구글 스토어에 있지 않은 앱은 설치를 금지한다인가..
    그런 항목을 설정을 해놓아서인지, 설치는 안되고 apk 파일만 설치된거 같아서요.
    다운된 apk파일을 누르니까 환경설정을 해달라고만 하고 설치된건 못봤어요.
    파일탐색기로 apk파일 지우고, 어베스트 모바일 설치해서 검사했어요.
    혹시 설치가 된걸까요? ㅜㅜ 제가 처리는 잘 한건지..
    불안해서.. 핸드폰으로 아무것도 못하고 있어요..
    은행업무도 못보고, 핸드폰을 버려야 하나요.ㅜㅜ

    • 내용을 보니 단순히 apk 파일 다운로드만 이루어진 상태에서 설치는 실패한 것으로 보입니다. 그러므로 apk 파일을 삭제하신 것으로 해결되었으므로 안심하시기 바랍니다. 그리고 문제가 되는 공유기는 고치시기 바랍니다.

  • 질문있어요 2014.12.31 17:07 댓글주소 수정/삭제 댓글쓰기

    답변 감사해요. 남편이 공유기 비번 걸려있는데 그럴리 없다며..ㅜㅜ
    아니라고 이 글 보여줬어요!! 남편 핸드폰에 apk파일 4개나 깔려있고.. 에휴..
    어베스트 모바이 깔아서 검사해서 치료했네요.
    공유기도 글 참고해서 오늘 설정 해보려구요.
    정말 감사합니다!!

  • 회사 와이파이를 쓰다가 갑자기 저런 화면이 뜨더군요... 실수로 다운을 받았는데 아무일도 안일어나네요...계속 네이버는 안되고 v3는 지워지지않고. ... 어떡하죠ㅠㅠ

    • 공유기 초기화 -> 펌웨어 업데이트 -> 공유기 비밀번호 및 보안 설정을 하시기 바랍니다.

      스마트폰의 경우에는 V3 삭제할 능력이 안되시면 공장 초기화를 하시기 바랍니다. 하지만 일부 개인정보 및 공인인증서가 유출되었을 수도 있으므로 폰에 저장되어 있다면 공인인증서는 폐기 후 재발급 받으시기 바랍니다.

    • 그리고 V3 악성앱 삭제와 관련해서는 http://hummingbird.tistory.com/5731 링크 내용을 참고하시기 바랍니다.

      아마 감염된 경우 비슷할 것으로 추정됩니다.