"한층 개선된 chrome의 최신버전이 출시되었습니다." 메시지를 통한 악성앱 설치 유도 주의 (2015.1.6)

스마트폰을 이용하여 보안 설정이 제대로 이루어지지 않은 유무선 공유기의 와이파이(Wi-Fi)를 통해 포털 사이트 접속시 DNS 변조를 통해 특정 IP 서버로 연결되어 다음과 같은 메시지 창을 생성하는 사례가 발견되고 있습니다.

h**p://103.251.37.113
한층 개선된 chrome의 최신버전이 출시되었습니다. 업데이트후 이용해주십시오.

메시지 창의 승인 버튼을 클릭할 경우 해당 IP 서버(h**p://103.251.37.113/(영문+숫자)/down.html?... → h**p://103.251.37.113/(영문+숫자)/18413PNXS.apk)로부터 안드로이드(Android) 모바일 운영 체제를 표적으로 한 악성 APK 파일을 다운로드할 수 있는 것으로 보입니다.

 

• 악성 IP 추가 정보 (2015.1.6) : 36.2.123.64

위와 같은 문제가 발생하는 원인은 사용자가 인터넷 접속을 위해 연결을 시켜주는 유무선 공유기의 보안 설정이 제대로 이루어지지 않았서 발생하므로 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

 

단, 일부 통신사에서 제공해주는 공유기 또는 일부 사후 지원이 제대로 이루어지지 않고 있는 업체의 공유기의 경우에는 보안 취약점 문제를 해결한 펌웨어 최신 버전이 존재하지 않으므로 다음의 안내는 효과가 없을 수 있습니다.(※ 펌웨어 업데이트가 이루어지지 않는 공유기는 쓰레기통에 버리고 사후 지원이 확실한 업체 공유기를 재구매하시거나 와이파이(Wi-Fi)를 이용하지 마시기 바랍니다.)

 

• <KISA 인터넷침해대응센터 보안공지> 유·무선 공유기 보안 설정 권고 (2014.7.15)

• <바이러스 제로 시즌 2 보안 카페> [중요] 공유기 취약점을 통한 DNS값 변조로 인해 포털 페이지에 악성 앱 또는 파밍 페이지가 표시될 때 조치 방법 (2014.5.14)

(a) 사용하시는 유무선 공유기 제조사 홈 페이지를 방문하여 안내에 따라 유무선 공유기 초기화를 진행하시기 바랍니다.

 

(b) 유무선 공유기 환경 설정 관리자 페이지에 접속하여 펌웨어 버전을 확인하여 최신 버전으로 업데이트하시기 바랍니다. 단, 제조사 홈 페이지에서 펌웨어 버전을 반드시 확인하여 업데이트하시기 바랍니다.

 

만약 펌웨어 업데이트 지원이 1~2년 동안 전혀없는 공유기는 지속적으로 DNS 변조를 통해 악성앱 설치를 유도할 수 있으므로 해당 공유기는 사용하지 마시기 바랍니다.

 

(c) 2.4GHz, 5GHz 무선 인터넷 연결을 위한 WPA2PSK+AES 암호화 설정 및 최소 12자리 이상의 (영문 대소문자+숫자+특수 문자) 비밀번호 조합으로 설정하시기 바랍니다.

 

(d) 유무선 공유기 환경 설정 관리자 페이지 접속을 위한 아이디(ID)와 최소 12자리 이상의 (영문 대소문자+숫자+특수 문자) 비밀번호 조합으로 설정하시기 바랍니다.

 

(e) 외부에서 공유기에 원격 접속하지 못하도록 "원격 관리 포트"를 사용하지 않도록 체크 해제하시기 바라며, NAS 사용을 위한 원격 관리 포트 사용시 매우 주의하시기 바랍니다.

 

(f) 스마트폰 앱의 임시 파일, 쿠키 파일을 모두 삭제하신 후 포털 사이트 접속을 시도하시기 바랍니다.

 

위와 같은 설정을 한 후에도 문제가 해결되지 않는 경우는 해당 공유기 업체에서 제공하는 최신 펌웨어 버전이 여전히 보안 취약점을 포함하고 있다는 의미이므로 해당 공유기를 사용하지 않도록 하시기 바랍니다.

 

이번에 유포되는 악성앱의 경우에는 구글 크롬(Google Chrome)앱처럼 위장한 것으로 추정되며, 기존의 "AhnLab V3 Mobile" 출시 관련 사례와 같이 감염시 모바일 뱅킹 서비스 이용시 금융 정보 및 공인인증서 탈취를 통해 금전적 피해를 유발할 수 있습니다.

 

• 결혼식 스미싱(Smishing) 문자를 이용한 "AhnLab V3 Mobile Plus 2.0" 악성앱 유포 주의 (2014.12.29)

만약 사용자가 해당 메시지를 통해 악성 APK 파일이 다운로드된 경우에는 감염된 것이 아니므로 다운로드 폴더에서 APK 파일을 찾아 삭제하시면 해결되며, 다운로드된 APK 파일을 직접 실행하여 설치한 경우에는 최종적으로 감염된 것입니다.

 

특히 악성앱 감염이 성공적으로 이루어진 경우 모바일 백신을 통한 삭제에 어려움이 있다고 알려져 있으므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

1. 설치시 제시된 악성앱 이름을 기반으로 기기 관리자에 등록된 악성앱을 찾아 체크 해제하시기 바랍니다. 단, 팅기시는 분들은 안전 모드 또는 체크 해제 후 비활성화 버튼을 매우 빠르게 클릭하여 해제하시기 바랍니다.
2. 설치된 애플리케이션 목록에서 설치시 제시된 악성앱 이름을 기반으로 찾아 삭제 버튼을 클릭하여 제거하시기 바랍니다.
3. 모바일 백신의 정밀 검사를 통해 추가적인 악성앱 감염 여부를 체크하시기 바랍니다.
4. 공인인증서가 저장되어 있다면 외부 유출이 이루어진 상태일 가능성이 높으므로 폐기 후 재발급 받으시기 바랍니다.

유무선 공유기의 보안 취약점을 이용한 악성앱 유포는 2014년 4월경부터 보고가 이루어지고 있지만 여전히 보안에 무관심한 사용자로 인하여 손쉽게 악성앱 유포 통로로 활용되고 있으므로 금전적 피해를 당하지 않도록 각별히 신경쓰시기 바랍니다.

 

[관련글 보기]

 

☞ 공유기 취약점을 이용한 "악성어플 치료서비스" 경고창 생성 주의 (2014.4.27)

 

☞ 다음(Daum), 네이버(Naver) 모바일 접속시 변조 사이트 메시지 생성 주의 (2014.5.23)

 

☞ 유무선 공유기 DNS 변조를 통한 "V3 모바일 3.0" 허위 메시지 생성 주의 (2014.8.14)

 

☞ 네이버 회원 아이디 보호 관련 이슈를 이용한 공유기 DNS 변조 주의 (2014.10.21)

 

☞ 보안 설정이 취약한 공유기를 통한 "AhnLab V3 Mobile" 출시 알림창 생성 주의 (2014.12.20)