울지않는벌새 : Security, Movie & Society

Apple 기기를 노리는 가짜 바이러스 경고 주의 (2016.8.28)

벌새::Analysis

모바일 기기를 이용하여 웹사이트 접속 과정에서 바이러스 감염으로 인한 배터리 손상 메시지를 생성하여 Google Play에 등록된 특정 애플리케이션을 설치하도록 하는 사기성 마케팅이 심하게 이루어지고 있다는 소식을 여러차례 소개한 적이 있습니다.

 

 

그런데 최근 iPhone 기기 사용자가 Google 검색을 통해 웹사이트를 방문하는 과정에서 이전의 애플리케이션 홍보와는 전혀 다른 방식으로 이루어지는 바이러스 경고 메시지를 이용한 사기 행위가 확인되어 간단하게 살펴보도록 하겠습니다.

 

 

웹사이트 접속 과정에서 자동으로 연결된 해당 웹사이트에서는 "Warning Safari Crashed!! Your Apple Device May Have Adware/Spyware Virus." 경고 메시지를 표시하여 Apple 기기가 바이러스에 감염되어 Safari 웹 브라우저가 손상되었다는 내용을 표시합니다.

 

특히 해당 페이지에 접속한 경우 새로고침 및 뒤로가기 자체가 이루어지지 않도록 Lock 증상이 발생하여 접속자는 순간적으로 매우 당황할 수 있습니다.

 

DATA AT RISK:
Your credit card details and banking information.Your e-mail passwords and other account passwords.Your Facebook, Skype, AIM, ICQ and other chat logs.
Your private photos, family photos and other sensitive files.Your webcam could be accessed remotely by stalkers with a VPN virus.

 

Call +1-844-313-8592 immediately to connect with Apple Technical Support for installing the Protection Software.

메시지 내용에서는 바이러스 감염으로 인하여 신용카드, 은행 정보, 이메일 비밀번호 및 Facebook, AIM, ICQ 등의 채팅 로그 정보가 유출되었으며, 사진을 비롯한 민감한 파일들과 웹캠이 VPN 서버를 통해 원격으로 접속되었다는 내용입니다.

 

이런 문제를 해결하기 위해서는 보호 소프트웨어(Protection Software) 설치를 위해 Apple 기술 지원(Apple Technical Support)에 전화를 하도록 안내하고 있습니다.

 

 

당황한 접속자가 해당 페이지를 터치할 경우 표시된 국제 전화번호(+1-844-313-8592)로 전화 연결을 시도하는 메시지가 표시되도록 설정되어 있습니다.

 

 

실제로 기기에서 테스트를 진행해보면 국제 전화번호로 통화를 시도할 것인지 묻는 메시지가 뜨는 것을 확인할 수 있습니다.

 

 

이후 단계에서는 화면상으로는 접속한 페이지의 내용 전환이 이루어지지 않을 수 있지만 소스 코드를 확인해보면 전화 통화를 시도하지 않는 경우를 대비하여 이메일 발송을 위한 코드가 포함되어 있습니다.

 

 

실제로 통화 메시지가 표시된 후 자동으로 메일(Mail)앱을 오픈하여 "Call +1-844-313-8592 Immediately To Install The Apple Authorized Protection Software" 제목으로 메일을 발송하도록 동작하는 것을 알 수 있습니다.

 

일련의 전화 통화 또는 메일 발송을 통해 바이러스에 감염된 Apple 기기와 관련된 문제를 가짜(Fake) Apple 고객센터에서 Apple 인증 보호 소프트웨어(Apple Authorized Protection Software)를 받도록 할 목적으로 보입니다.

 

어떤 소프트웨어가 제공되는지까지는 진행해보지 않았지만 위와 같은 사기성 메시지와 Safari 웹 브라우저의 동작 불능 증상으로 인하여 사용자는 바이러스에 감염된 것으로 착각하여 연락을 통해 제공된 신뢰할 수 없는 애플리케이션 설치로 인하여 개인정보 유출 또는 금전적 피해를 당할 수 있으므로 속지 않도록 주의하시기 바랍니다.

 

 

마지막으로 문제의 웹사이트 접속으로 인하여 Safari 웹 브라우저를 정상적으로 사용하실 수 없는 경우에는 iPhone 기기의 전원을 완전히 종료한 후 재부팅하시고 설정 항목의 Safari 메뉴에서 "방문 기록 및 웹 사이트 데이터 지우기"를 통해 방문 기록, 쿠키, 탐색 데이터를 제거하시기 바랍니다.