본문 바로가기

벌새::Security

포털 사이트 접속시 "보안 업데이트 버전 출시" 메시지를 이용한 악성앱 설치 주의 (2015.3.14)

반응형

2015년 3월 10일경부터 보안 취약점을 가진 공유기를 이용하여 포털 사이트 접속시 보안 업데이트 버전이 출시되었다는 허위 메시지를 통해 악성 APK 파일을 다운로드 및 설치를 유도하는 행위가 확인되고 있습니다.

[103.251.37.179의 페이지 내용]

 

보안업데이트 버전이 출시되었습니다. 업데이트후 이용해주십시오.

  • (9자리 숫자+영문).apk (SHA-1 : 3785cd3ff7496c86c5b029e372e67a42194310bd) - AhnLab V3 모바일 : Android-Malicious/Bankun
  • (9자리 숫자+영문).apk (SHA-1 : 1911e559a4fd0764de4ee5c1c4e0f0ee43ac2dab) - Kaspersky : HEUR:Backdoor.AndroidOS.Wroba.a

이를 통해 홍콩(Hong Kong)에 위치한 특정 IP 서버로부터 (9자리 숫자+영문).apk 파일이 다운로드될 수 있으며, 사용자가 해당 파일을 실행하여 설치한 경우 안드로이드(Android) 기반 스마트폰 감염을 통해 개인정보 및 금융 정보가 외부로 유출될 수 있습니다.

 

실제로 공유기 해킹을 통해 DNS 서버 주소를 변경하여 포털 사이트 접속시 다운로드된 APK 파일을 설치하여 금융 정보 탈취, 스미싱(Smishing) 문자 발송, 화면 잠금을 통한 스마트폰 사용 제한 등의 피해를 당할 수 있음을 알 수 있었습니다.

 

위와 같은 보안 취약점을 가진 유무선 공유기 문제로 인하여 최근 정부 차원에서 국내 공유기 제조사와 함께 대응책을 마련하고 있으며, ipTIME 유무선 공유기의 경우 전 제품에 대한 보안 패치가 적용된 펌웨어를 일괄 배포하고 있습니다.

 

특히 공유기 관리가 부실한 공공 장소에서 와이파이(Wi-Fi)를 통한 인터넷 접속시 위협에 쉽게 노출될 수 있다는 점에서 매우 주의가 요구되고 있으며, 공유기를 사용하는 사용자는 다음과 같은 기본적인 보안 설정을 체크하시기 바랍니다.(※ 펌웨어 업데이트를 지원하지 않는 일부 구형 공유기는 해결 방법이 없으므로 공유기를 교체하시기 바랍니다.)

 

1. 최신 펌웨어 업데이트

사용하시는 공유기의 펌웨어 버전을 확인하여 2014년 이후로 업데이트가 이루어지지 않은 공유기는 해킹에 쉽게 노출될 수 있으므로 반드시 최신 버전으로 업데이트하시기 바랍니다.

 

2. 공유기 DNS 서버 설정

포털 사이트 접속시 의심스러운 알림창이 생성되는 경우에는 공유기 DNS 서버 설정값을 확인하여 특정 IP 주소로 기본/보조 DNS 서버가 설정된 경우 해킹을 당한 것이므로 공장 초기화를 통해 기본값으로 복구하시기 바랍니다.(기업과 같은 특수한 네트워크 환경에서는 수동 DNS 서버 설정이 되어 있을 수 있습니다.)

 

3. 2.4/5GHz 무선 네트워크 암호 설정

무선 네트워크는 "WPA2PSK + AES" 암호화 방식으로 최소 "8자리 영문+숫자+특수 문자"가 혼합된 암호를 설정하시기 바랍니다.

 

4. 원격 관리 포트 사용 해제

특수한 이유없이 외부 접속을 허용하는 "원격 관리 포트 사용" 기능에 체크되어 있지 않도록 설정하시기 바랍니다.

 

5. 공유기 관리자 로그인 설정

공유기 환경 설정을 위한 관리자 페이지 접속시 로그인 단계를 거치도록 관리자 계정 설정 및 로그인 인증 방식을 캡차 코드(Captcha Code)가 포함되도록 설정하시기 바랍니다.

 

특히 관리자 암호는 최소 "8자리 영문+숫자+특수 문자"가 혼합된 방식으로 설정하시기 바랍니다.

 

위와 같은 기본적인 설정을 통해 공유기를 통한 인터넷 이용을 하시기 바라며, 주기적으로 새로운 펌웨어 업데이트가 나왔는지 확인하는 습관도 매우 중요합니다.

 

또한 차후 다양한 메시지를 통해 악성앱 유포가 이루어질 것이 분명하므로 평소와는 다르게 인터넷 이용시 메시지를 통해 애플리케이션 설치를 요구하는 경우에는 함부로 설치하지 마시고 안전한 파일인지 확인하는 습관을 가지시기 바랍니다.

 

 

728x90
반응형
  • 제 여자친구가 실수로 저 apk들을 깔아버렸는데 그 이후로 포털에 들어가려하면 저 메세지가 뜨면서 접속이 안됩니다. 혹 이런경우 apk들을 찾아 삭제하면 문제가 해결될까요?

    • 포털 사이트 접속시 저런 메시지 창이 뜨는 것은 공유기 펌웨어 업데이트 및 보안 설정을 해야지 해결됩니다.

      또한 메시지를 통해 apk 파일을 다운로드한걸 설치했다면 찾아서 삭제를 하시기 바라며, 공인인증서가 폰에 보관되어 있었다면 폐기 후 재발급 받으시기 바랍니다.

      마지막으로 모바일 백신을 이용하여 정밀 검사를 해보시길 권장합니다.

    • 빠른답변 감사드립니다. 그런데 한가지 궁금한것이 저렇게 포털접속이 안 된 이후 LTE를 통해서도 저런 메세지와 함께 접속이 불가해지는데 이문제는 공유기만 고친다고 해결되는 것이 아니라 말씀하신것처럼 어플을 찾아 지워야 해결되는것이겠죠?

    • 공유기의 DNS 서버가 변경되어 포털 접속이 이루어지지 않는 문제로 LTE 데이터 방식으로 전환하였을 경우 여전히 접속되지 않는다면 인터넷 접속시 사용하는 애플리케이션의 옵션에서 쿠키, 임시 파일을 모두 삭제한 후 접속해 보시기 바랍니다.

  • 안녕하세요 2015.03.28 12:32 댓글주소 수정/삭제 댓글쓰기

    안녕하세요? 제폰에도 문제가 생겨서 벌새님의 글대로 거의 대부분 따라해봤더니 지금은 네이버앱을 실행해도 잘됩니다. 원래는 실행중인 앱에 제가 실행시키지도 않았는데 크롬앱이 떠있고 했는데 알약까지 깔아서 크롬앱 삭제를 하니 이제는 크롬이 실행되고 그러진않습니다. 혹시나 싶어서 공인인증서들은 다폐기시켰구요..
    그러면 핸드폰을 초기화 하지 않아도 될까요? 다 제거된것일까요?

  • 여기있는걸 다 해봤는데 소용이 없습니다ㅜㅜ
    데이터는 보안업데이트 저 메세지가 안떴는데
    이젠 데이터도 뜨네요ㅜㅜ

  • 이혜인 2015.04.07 23:54 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 여기있는대로 다해보고도 안돼서 공유기도 바꾸고 핸드폰도 다 초기화 시켰는데 집에서 와이파이로만 연결하면 저 메시지가 계속 뜨네요 ㅠㅠ어떻게 해결해야 하나요 ..

    • 어떤 공유기를 사용하시는지 모르지만 최신 공유기를 구입한게 아니라 예전 공유기를 사용하신다면 펌웨어 지원이 되지 않는 문제로 해결되지 않습니다.

      정확하게 무슨 공유기 기종을 사용하시는지 알려주시면 사용 가능한지 확인해 보겠습니다.

  • 이혜인 2015.04.08 00:00 댓글주소 수정/삭제 댓글쓰기

    원래 iptime n640v를 사용했었는데 오늘 wevo공유기로 바꿨습니다 ㅠㅠ바꿨는데도 계속이러네요 .. 공유기문제가 아닌걸까요?

    • ipTIME 공유기는 최근 전 제품에 대한 펌웨어 업데이트를 통해 해당 문제를 완전히 해결했습니다.

      아마 사용자가 최신 버전의 펌웨어 업데이트를 하지 않은게 아닌가 싶습니다.

      개인적으로 Wevo 공유기보다 ipTIME 제품이 사후 관리를 잘해주므로 ipTIME 제품을 이용하시기 바랍니다.

      만약 설정을 제대로 할 수 없다면 시간되시면 http://hummingbird.tistory.com/notice/4859 게시글에서 공개한 이메일로 네이트온 메신저를 알려주시면 원격으로 설정을 도와드리도록 하겠습니다.

  • 이혜인 2015.04.08 00:29 댓글주소 수정/삭제 댓글쓰기

    펌웨어 업데이트를 했는데도 계속 이러는데 대체 뭐가 문제인지 모르겠어요 ..다른방법은 없나요?

    • 인터넷 접속하는 웹 브라우저의 인터넷 옵션에서 임시 파일, 쿠키 파일을 모두 삭제해 보시기 바랍니다.

      특히 "즐겨찾기 웹 사이트 데이터 보존" 항목의 체크를 반드시 해제하시고 임시 인터넷 파일 및 웹 사이트 파일, 쿠키 및 웹 사이트 데이터 항목에 체크한 후 삭제하시기 바랍니다.

  • 비밀댓글입니다

    • apk 파일은 다운로드 폴더에 생성되었을 것으로 보이므로 찾아서 삭제하시면 됩니다. 실제 설치는 이루어지지 않았습니다.

      그리고 모바일 백신을 사용하시기 바랍니다.

  • apk파일까지 설치해 버렸네요. 그래서 내 파일에서 해당 파일을 삭제하고 공유기 펌웨어 업데이트까지 마쳤는데, 이후에 더 해야할 것들은 없나요? 다시 와이파이를 연결하기 영 그렇네요 ㅜㅠㅠ(아무래도 찝찝해서 내일 공인인증서를 새로 발급받아야겠네요 ㅠㅠ)

    • 다운로드한 apk 파일만 삭제하시면 안되며 apk 파일을 실행하여 설치한 악성앱 이름을 기억해서 설치된 앱을 찾아 삭제하셔야 합니다.

      또한 공유기 펌웨어 업데이트 이후 비밀번호 설정 등을 추가적으로 하시기 바라며, 인터넷 접속을 통해 문제가 해결되었는지 점검하시기 바랍니다.

    • gg 2015.05.04 23:12 댓글주소 수정/삭제

      그 설치되는 앱이 크롬이 아닌가요? 크롬을 삭제했는데..ㅠㅠ 공유기에는 비밀번호를 설정해두었습니다.

    • 기존에 직접 정상적인 Chrome 앱을 설치하지 않은 상태에서 Chrome 앱이 설치되어 있다면 이번 apk 악성 파일을 통해 설치된 것이 Chrome이 맞을겁니다.

    • gg 2015.05.04 23:16 댓글주소 수정/삭제

      이미 크롬이 설치되어있던 상태면 다른 어플일 수도 있다는 얘기인가요? 속 시원하게 초기화를 시켜도 되나요? 자꾸 질문드려서 죄송합니다.

    • 기존에 Chrome 앱이 설치된 상태였다면 설치된 애플리케이션 목록에 Chrome 앱이 2개 표시될 겁니다. 그 중에서 하나는 악성앱입니다.

      잘 모르겠으면 모바일 백신을 설치하여 정밀 검사해 보시거나 초기화를 하시기 바랍니다.

    • gg 2015.05.04 23:21 댓글주소 수정/삭제

      아 아까 크롬이 2개 있어서 두개를 모두 삭제했는데 그럼 된건가보네요! 혹시 몰라서 v3 정밀검사를 하고 있습니다. 귀찮게 해서 죄송합니다. ㅎㅎ 덕분에 한시름 놓겠네요 ㅠㅜㅜ정말 눈 뜨고 코 베인 기분이에요..

    • 네.. 그렇게 하시면 될 듯 합니다. 그리고 혹시 Chrome 악성앱 설치 이후에 금융앱 업데이트 창이 뜨면서 추가 다운로드 및 설치를 유도하였다면 금융앱도 삭제하셔야 합니다.

    • gg 2015.05.04 23:27 댓글주소 수정/삭제

      네. 정말 감사드려요. 사진만 따로 빼놓고 초기화 시켜야겠어요. 정말 감사드립니다. :D