최근 스마트폰 사용자가 보안 설정을 제대로 하지 않은 유무선 공유기를 이용하여 포털 사이트 접속시 "h**p://36.2.123.254/(영문+숫자)/index.php" 악성 웹 사이트로 연결되어 "AhnLab V3 Mobile" 악성앱을 설치하도록 유도하는 알림창이 생성되는 문제가 발견되고 있습니다.
현재 확인된 공통적인 동작은 안드로이드(Android), 아이폰(iPhone)과 같은 스마트폰 사용자가 DNS 변조가 이루어진 유무선 공유기에서 제공하는 와이파이(Wi-Fi) 환경을 통해 인터넷에 접속을 할 경우 발생하고 있습니다.
특히 접속시 네이버앱 등의 특정 애플리케이션 및 접속 기기를 체크하여 PC 환경에서는 동작이 이루어지지 않으며(※ 최근에는 PC에서도 악성 IP 주소로 연결되거나 웹 사이트 연결이 이루어지지 않는 문제가 확인되었습니다.), 조건에 맞게 네이버(Naver) 등의 포털 사이트 접속시 "36.2.123.254" IP 주소로 자동 연결되어 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오."라는 알림창을 생성하여 확인 버튼을 클릭할 경우 악성 apk 파일이 다운로드가 이루어집니다.
실제 위와 매우 유사한 공유기 DNS 변조를 통한 악성앱 유포 행위는 2014년 8월경에도 발생하였으며, 당시에는 "V3 모바일 3.0"이라는 실제 존재하지 않는 버전의 설치를 유도하고 있었습니다.
위와 같이 스마트폰 사용자 중에서 와이파이(Wi-Fi)를 통해 인터넷 접속시 알림창 생성을 통해 특정 애플리케이션 설치를 유도할 경우에는 절대로 확인 버튼을 클릭하여 apk 파일을 다운로드하지 않도록 주의하시기 바라며, 만약 apk 악성 파일이 다운로드된 경우에는 직접 실행하여 설치를 진행하지 않았다면 감염된 것이 아니므로 apk 파일만 삭제하시면 됩니다.
보안 설정이 제대로 이루어지지 않은 유무선 공유기를 통해 인터넷 접속시 위와 같은 피해를 당하지 않기 위해서는 사용하시는 유무선 공유기 보안 설정을 다음과 같이 반드시 변경하시기 바랍니다.
(a) 유무선 공유기 제조사 홈 페이지를 방문하여 안내에 따라 유무선 공유기를 공장 초기화하시기 바랍니다.
(b) 유무선 공유기의 펌웨어 버전을 확인하여 최신 버전으로 업데이트하시기 바랍니다.
(c) 유무선 공유기의 인터넷 연결 설정값에서 DNS 서버 주소가 수동으로 설정된 경우 기본/보조 DNS 서버 IP 주소를 모두 삭제하여 자동으로 설정하도록 하시기 바랍니다.
(d) 유무선 공유기 관리자 페이지의 로그인 계정 및 암호를 설정하시기 바랍니다.(※ 비밀번호는 영문, 숫자, 특수 문자가 조합된 10자리 이상으로 설정하시기 바랍니다.)
(e) 2.4GHz / 5GHz 무선 인터넷 연결을 위한 암호화 및 암호를 설정하시기 바랍니다.(※ 암호화는 WPA2PSK+AES로 설정하시고 암호는 영문, 숫자, 특수 문자가 조합된 10자리 이상으로 설정하시기 바랍니다.)
(f) 외부에서 공유기를 원격 접속하지 못하도록 "원격 관리 포트" 사용을 해제하시기 바랍니다.
위와 같은 조치를 통해 유무선 공유기 보안 설정을 한 후에는 더 이상 문제가 발생하지 않으며, 만약 설정 완료 후 인터넷 접속시 증상이 지속된다면 접속하는 애플리케이션의 임시 파일(캐시)과 쿠키 파일을 모두 삭제하시고 재접속하시기 바랍니다.
또한 차후에도 유무선 공유기의 보안 수준을 유지하기 위해서는 꾸준하게 펌웨어 업데이트 정보를 체크하여 최신 버전을 설치하시기 바라며, 주기적으로 유무선 공유기 관리자 페이지 및 인터넷 연결을 위한 암호(비밀번호)를 변경해 주시기 바랍니다.
또한 만약 해당 알림창을 통해 악성 apk 파일 다운로드 후 직접 설치를 한 사용자는 설치시 제시된 애플리케이션 이름을 기반으로 설치된 애플리케이션을 찾아 삭제하시거나 모바일 백신을 통해 정밀 검사를 하시기 바랍니다.(※ 참고로 악성앱 제거시 삭제가 되지 않는 경우에는 기기관리자 항목에서 설치된 악성앱을 찾아 체크 해제 후 설치된 애플리케이션 목록에서 삭제하시기 바랍니다.)
만약 설치된 찾을 수 없을 경우에는 스마트폰 공장 초기화를 하시기 바라며, 감염된 상태에서 공인인증서, 중요 사진, 비디오, 문서 등이 외부로 유출되었을 가능성이 있으므로 공인인증서의 경우 폐기 후 재발급 받으시기 바랍니다.
마지막으로 여전히 유무선 공유기의 보안 설정 문제로 인터넷 접속시 가짜 웹 사이트로 연결되어 악성앱 다운로드를 유도하거나 주민등록번호를 입력하도록 하는 사례가 지속적으로 발견되고 있으므로 유무선 공유기를 이용한 인터넷 사용시에는 항상 보안 설정을 신경써서 관리하는 습관을 가지시기 바랍니다.
추가 악성 IP 정보 : 122.103.122.215 (2014.12.21)
추가적으로 확인된 정보에 따르면 스마트폰을 통해 네이버(Naver) 접속시 "122.103.122.215" 악성 IP 서버로 자동 연결되어 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오." 알림창이 생성되어 악성앱 설치를 유도하고 있습니다.
추가 악성 IP 정보 : 103.251.37.113 (2014.12.22)
- h**p://103.251.37.113/(영문+숫자)naver/index.php
유무선 공유기 DNS 변조를 통해 스마트폰을 이용하여 와이파이(Wi-Fi) 인터넷 환경으로 포털 사이트 접속시 "103.251.37.113" IP 서버로 자동 연결되어 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오." 알림창이 생성되어 악성앱 다운로드를 유도하고 있습니다.
추가 악성 IP 정보 : 103.251.36.44 (2014.12.23)
AhnLab V3 Mobile 출시 알림창 이외에도 기존과 마찬가지로 네이버(Naver), 다음(Daum), 네이트(Nate) 포털 사이트 접속시 "회원님의 아이디를 보호하고 있습니다."라는 허위 페이지를 표시하여 포털 사이트 계정 정보 및 주민등록번호를 비롯한 개인정보 수집과 악성앱 다운로드를 시도할 수 있으므로 주의하시기 바랍니다.
추가 악성 IP 정보 : 122.103.125.95 (2014.12.26)
- h**p://122.103.125.95/(영문+숫자)/index.php
DNS 변조가 이루어진 유무선 공유기를 이용하여 포털 사이트 접속시 "122.103.125.95" IP를 이용하여 "AhnLab V3 Mobile 최신버전이 출시되었습니다. 업데이트후 이용해주십시오." 알림창이 생성되고 있습니다.
특히 일부 유무선 공유기 사용자 중에서 해당 문제로 인하여 "공유기 초기화 → 비밀번호 설정" 등의 보안 조치를 한 이후 몇 시간이 경과하면 재발생하는 문제가 있다고 보고되고 있습니다.
- 통신사 제공 또는 구형 유무선 공유기의 경우 보안 취약점이 해결된 펌웨어 미지원으로 인해 보안 설정 후에도 반복적인 DNS 변조가 이루어질 수 있습니다.
그러므로 해당 문제의 핵심 중의 하나는 공유기 해킹을 유발하는 문제를 해결한 펌웨어 최신 버전을 설치하지 않는 한 반복적으로 DNS 변조가 이루어질 수 있다는 점을 명심하시기 바랍니다.
☞ 공유기 취약점을 이용한 "악성어플 치료서비스" 경고창 생성 주의 (2014.4.27)
☞ 다음(Daum), 네이버(Naver) 모바일 접속시 변조 사이트 메시지 생성 주의 (2014.5.23)