본문 바로가기

벌새::Security

공유기 취약점을 이용한 "Smart 업데이트" 메시지 생성 주의 (2015.2.6)

보안에 취약한 유무선 공유기를 이용하여 스마트폰 또는 PC를 통해 포털 사이트 접속시 악성앱 설치를 유도하는 사례가 2015년 1월말경부터 "Smart 업데이트" 창 생성을 통한 다른 형태로 변경된 부분을 확인하였습니다.

Smart업데이트

 

새로운 S/W로 업데이트가 가능합니다.

 

업데이트 버전:S0218214.

 

최신 S/W가 무료로 다운로드 완료 되었습니다.

 

설치를 하시면 휴대폰을 최신 기능으로 사용할수 있으며 보다 향상된 속도로 즐길수 있습니다.


업데이트를 진행하여도 개인 데이터와 설정.다운로드 받은 앱은 삭제되거나 변경 되지 않습니다.

 

간단한 버튼 클릭으로 설치가 가능 합니다 .다운된 파일은 휴대폰상단 알림창에 위치해있습니다

 

S/W 업데이트를 통해 휴대폰 기능을 향상 시킬수 있습니다.지금 업데이트 하시겠습니까?

 

해당 문제는 보안에 취약한 유무선 공유기의 와이파이(Wi-Fi)를 이용하여 포털 사이트(구글, 네이버, 네이트, 다음)에 접속할 경우 "h**p://103.251.38.239/nupdate/in*****" IP 주소로 연결되어 "Smart 업데이트" 메시지를 생성하는 수법입니다.

 

  • h**p://103.***.38.***/nate/Chrome3.2.apk (SHA-1 : 3961e2bea819d3d61ff60fe89ffd83d99b003df8) - avast! : Android:Banker-DK [Trj]
  • h**p://103.***.38.***/google/Chrome3.2.apk (SHA-1 : 3961e2bea819d3d61ff60fe89ffd83d99b003df8) - avast! : Android:Banker-DK [Trj]
  • h**p://103.***.38.***/daum/Chrome3.2.apk (SHA-1 : 3961e2bea819d3d61ff60fe89ffd83d99b003df8) - avast! : Android:Banker-DK [Trj]
  • h**p://103.***.38.***/naver/Chrome3.2.apk (SHA-1 : 3961e2bea819d3d61ff60fe89ffd83d99b003df8) - avast! : Android:Banker-DK [Trj]

만약 메시지 창에 표시된 "지금설치" 버튼을 클릭할 경우 홍콩(Hong Kong)에 위치한 특정 IP 서버로부터 크롬(Chrome)앱으로 위장한 악성앱이 다운로드되며, 사용자가 직접 설치를 진행할 경우 다음과 같은 악의적인 기능을 수행할 수 있습니다.

 

① 스마트폰에 저장된 공인인증서 외부 유출 ② 스마트폰에 설치된 금융앱 검색을 통한 추가적인 악성앱 다운로드 및 설치 유도 ③ 바꿔치기된 금융앱을 이용한 금융 정보 수집 ④ 주소록에 저장된 전화번호로 스미싱(Smishing) 문자 발송 ⑤ 스마트폰 설정 변경 ⑥ 설치된 악성앱 삭제 방해(※ 기기 관리자 활성화를 체크 해제할 수 없는 경우에는 안전 모드에서 제거하시기 바랍니다.) 등의 다양한 악의적인 기능을 수행합니다.

 

특히 공공 장소에서 개방된 와이파이(Wi-Fi)를 이용한 인터넷 접속시 감염으로 연결되는 사례가 있으므로 보안을 담보할 수 없는 공공 장소(※ 예시 : 카페, 병원 등)에서는 데이터 방식으로 인터넷 접속을 하시길 권장합니다.

 

■ 유무선 공유기 보안 설정 방법

 

가정에서 유무선 공유기를 사용하시는 분들은 반드시 다음과 같은 보안 설정을 통해 외부에서 임의로 DNS 서버 주소를 변경할 수 없도록 세팅하시고 사용하시기 바라며, 일부 구형 공유기(※ 예시 : 애니게이트(AnyGate) 공유기 모델명 - XM-3300N, XM-3100N, XM-2100N, XM-1100N, XM-700A, XM-300UA 등)의 경우 보안 문제를 해결할 수 없으므로 재구매를 하셔야 합니다.

 

(a) 유무선 공유기 제조사 홈 페이지에서 제공하는 공유기 공장 초기화 방법을 참고하여 초기화를 진행하시기 바랍니다.(※ 스마트폰에 악성앱을 직접 설치한 경우에는 모바일 백신을 통한 악성앱 제거 또는 스마트폰도 공장 초기화하시기 바랍니다.)

 

(b) 유무선 공유기 제조사 홈 페이지에서 제공하는 공유기 기종의 최신 펌웨어 버전을 확인하여 업데이트하시기 바랍니다.(※ 2014년 이후로 펌웨어 업데이트가 없는 기종의 경우 최신 펌웨어 버전에서 문제가 해결되지 않을 가능성이 있으므로 제조사에 문의하시기 바랍니다.)

 

(c) 유무선 공유기 환경 설정에서 2.4GHz 및 5GHz 무선 설정 항목에서 인증 및 암호화 방식은 "WPA2PSK+AES"로 설정하시고 네트워크 암호는 최소 10자리 이상의 "영문+숫자+특수문자" 조합으로 구성하시기 바랍니다.

 

(d) 유무선 공유기 환경 설정 관리자 페이지의 로그인 계정 및 암호를 설정하시기 바라며, 암호는 최소 10자리 이상의 "영문+숫자+특수문자" 조합으로 구성하시기 바랍니다.

특히 로그인 인증 방법에서 "세션 방식"으로 설정하여 "로그인시 문자열 입력(Captcha Code)" 방식을 지원할 경우 반드시 설정하시기 바랍니다.

 

(e) 유무선 공유기 환경 설정에서 외부 접속 차단을 위해 "원격 관리 포트 사용" 체크를 해제하시기 바라며, 사용시에는 "외부 접속 보안 사용" 항목에 체크한 후 특정 IP에서만 접속할 수 있도록 세부적인 세팅을 하시기 바랍니다.

  • 항상 포스팅 잘 보고 있습니다~
    혹시 모바일 브라우저 업데이트 소식은 포스팅 예정이 없으신지 궁금해요.

  • 이미 설치했다가 뭔가 이상해서 바로 삿제했는데
    계속 최신버전이있습니다 창이랑 문제가 생겼다은 창이뜨네요... 화면만 껏다 켜지면..ㅜㅜ 초기화햐야하나요?

    • 스마트폰의 문제가 아니라 공유기 문제입니다. 그러므로 단순히 초기화해서는 해결이 안됩니다.

      공유기 펌웨어 업데이트 -> 공유기 초기화 -> 무선 연결 비밀번호 설정 -> 공유기 환경 설정 로그인 설정 -> 원격 제어 해제 등의 보안 설정을 하시기 바랍니다.

      일부 구형 공유기는 위와 같은 방식으로 해결되지 않으므로 제조사에 문의하여 해결이 안된다고 한다면 공유기를 재구매하시기 바랍니다.

  • 벌새님,이사이트리다이랙션형같아요,,1번들어가고다시들어가면네이버ip주소로리다이렉션되내요~^^

  • 아.. 저는 이 포스트의 공유기 취약점이 아닌 모바일 브라우저 버전 업데이트 정보에 대해 포스팅 하실 의향을 물어본 거였습니다 ^^;

  • 성원 2015.02.13 01:38 댓글주소 수정/삭제 댓글쓰기

    구글접속하는데 갑자기 저런 허접해보이는 업데이트가 떠서 이상해서 검색해보니 악성코드가 공유기를 침범한 거였군요. 이런적 처음이라 당황했는데, 덕분에 해결할수 있었습니다. 펌웨어 업데이트 만으로 해결이 되었는데, 다른 것들도 다 설정을 바꿨내요. 정말 감사드립니다.

  • 전 아이패드에 이메세지가 떠서지금설치를 눌렀더니 안드로이드 업데이트 다운버튼이 뜨길래 닫아버렸는데 혹 악성앱이까렸을까요?

  • 제가 모르고 apk는 다운받았는대요 찜찜해서 설치는 안했습니다 apk도 다운로드폴더에서지웠구요 이럼 괜찮은건지요?

  • 저 악성코드 뜨는화면에서 실수로 바로설치를 눌렀습니다. 다운이 완료되어 설치진행도중 안드로이드에서 출처를 알수없는 메세지떠서 설치취소를 눌렀고 다운로드 목록에서 apk를 지웠는대요 이경우 괜찮은건지요? 화면상 바로설치 버튼 누르는순간 이미 악성코드가 깔리는건 아닌지 걱정되넹ㅎ ㅜㅜ

  • 지금설치를 눌러도 바로 악성코드 깔리는건 아닌가보죠?

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 삼성폰의 경우에는 PIN 잠금 해제를 위한 방법이 안내되고 있습니다.

      http://www.samsungsvc.co.kr/online/faqView.do?faqId=KNOW0000000129&#solution002

      만약 직접 해제가 안되는 경우에는 고객센터를 방문해 보시기 바랍니다.

  • 비밀댓글입니다

  • 계속 뜨길래 귀찮아서 설치를 해버렸는데 실행은 안하고 바로 앱이랑 apk파일 다 지웠습니다. 감염된건가요??? 휴..ㅜ

  • apk파일 설치진행까지 다 하고 실행은 안하고 바로 지웠습니다 댓글 많이 달아서죄송해요ㅜ

    • 위에 댓글처럼 빠른 시간 내에 삭제하였다면 큰 문제는 없으리라 생각됩니다. 단지 공인인증서는 유출되었을 수도 있으므로 폰에 저장되어 있었다면 폐기 후 재발급하시는 것도 좋습니다.

  • 검색하다가 여기들어오게되었어요~ 베가시크릿노트 쓰는중인데 아침에 스마트업데이트 뜨길래 안하려고해도 계속떠서 설치눌렀는데..폰 업데이트 인줄알았는데 아닌가봐요?? ㅜㅜ 지금설치 누르고 그뒤로 스마트업데이트 드가서 강제종료 눌러놨는데 이제 어떻게해야될까요ㅜㅜ

    • 해당 가짜 경고창은 베가 업데이트로 위장한 것이므로 실제 베가 사용자에게 표시되는 것은 진짜가 아닌가 싶습니다. 공유기의 DNS 서버가 수동으로 세팅되어 있지 않다면 진짜이며 포털 사이트 접속이 정상이라면 진짜일겁니다.

  • 다운로드 폴더에apk라는 글씨는 안보이는데 그럼 진짜 업데이트가 맞는건가요? 제가 나중에설치 눌렀더니 언제설치할껀지 30분뒤.1시간뒤.재부팅시. 이런식으로 누르는게떠서 그냥 설치한거거든요~가짜라면 저런창은 안뜨는거죠?? ㅜㅜ걱정되네요ㅜㅜ 공인인증서는 아직없지만 다음주에 받을꺼라서요ㅜㅜ