B1u3Sky

[www.667803.com] B1u3Sky@Pwn&Play 본문

News

[www.667803.com] B1u3Sky@Pwn&Play

B1u3Sky 장기려 2013.09.30 13:26
www.667803.com 실체? 공인인증서 탈취 악성코드!

 입력날짜 : 2013-09-29 23:58

트위터 보내기  페이스북 보내기  미투데이 보내기  싸이월드 공감 보내기  다음 요즘 보내기  구글 보내기   

해킹보안팀 Pwn&Play, 신속하게 샘플 확보한 후 분석결과 공유  

악성코드 감염 피해자, 스마트폰 초기화해야...2차 피해 우려돼


[보안뉴스 권 준] 본지는 지난 26일 지인의 이름으로 ‘www.667803.com’이라는 단순한 링크 주소를 문자메시지로 보내는 스미싱이 급속히 퍼지고 있다는 내용을 긴급 보도한 바 있다. 


이번 스미싱이 유포되는 시점에 국내 해킹보안팀인 Pwn&Play(팀장 장기려, http://pwnplay.org)에서 신속하게 샘플을 확보한 후, 분석한 결과를 내놓고 정보를 공유해서 화제가 되고 있다. 
 

최근 기승을 부리고 있는 스미싱은 문자메시지를 이용한 새로운 휴대폰 해킹 기법으로, 웹사이트 주소가 포함된 문자메시지를 보내 스마트폰 사용자가 링크를 클릭하면 악성코드를 삽입해 사이버범죄자가 스마트폰을 통제할 수 있도록 하는 것을 의미한다.


이와 관련 Pwn&Play팀의 장기려 팀장은 “지난 9월 25일 밤부터 감염된 스마트폰 사용자들의 주소록을 통해 대규모로 유포된 ‘www.667803.com’라는 문자메시지를 분석한 결과 놀랄만한 사실을 얻을 수 있었다”며, “이번 건의 경우 스마트폰 내부에 저장된 여러 은행의 공인인증서를 탈취하는 악성코드가 SMS를 통해 빠르게 유포된 스미싱 공격이었다”고 밝혔다.  

Pwn&Play팀이 분석한 바에 따르면 문자메시지에 기재된 악성링크 주소를 클릭해 악성코드가 설치·실행됐다면 사용자의 NPKI(인증서)가 유출된다. 또한, 감염 피해를 입은 사용자 주소록에 저장된 모든 지인들에게 SMS로 같은 링크를 자동 전송하게 된다.


이번 악성코드는 SMS에 포함된 링크주소에 접속하면 자동으로 악성코드를 다운로드 하게 되는데, 이때 [1.apk], [4.apk], [5.apk]의 3개의 APK파일이 모바일 기기에 설치되는 것으로 분석됐다.


그 다음 설치된 악성 앱을 실행하게 되면 스마트폰 외장메모리에 저장된 공인인증서 파일을 피해자의 폰번호를 이름으로 한 ZIP 파일로 압축해 공격자의 서버에 업로드를 시키게 된다는 것. 

또한, 2차 피해자를 만들어내기 위해 스마트폰에 저장된 연락처를 스캔하여 각 번호로 스미싱 메시지를 발신하게 되는데, 이때 스미싱 메시지의 내용은 http://유포지주소.com/gen/memo.txt 파일을 참조하게 된다는 게 Pwn&Play팀의 설명이다.
 

▲NPKI 디렉터리를 Zip 형식으로 압축하여 공격자의 서버로 전송하는 내용 [자료 : Pwn&Play팀]


결국 공격자가 Memo.txt의 내용을 변경하게 되면, 변경된 유포지 주소가 SMS 메시지를 통해 퍼지게 되어 유포지 서버가 차단당하더라도 주소를 쉽게 바꾸어 퍼트릴 수 있게 된다는 얘기다. 

이와 관련 장 팀장은 “9월 26일 오전 3~4시경부터는 추가적으로 ‘www.39******.pw’의 유포 주소가 추가됐으며, 해당 악성코드 유포지로 인한 피해는 약 5만 3천 건의 스미싱 문자 발송, 그리고 인증서 유출은 1만 건에 달하는 것으로 확인됐다”고 2차 피해 가능성을 우려했다.


덧붙여 그는 “현재는 공격자의 서버가 닫혀있는 상태지만 이미 설치된 후 실행된 악성코드로 인하여 공격자에게 인증서가 유출된 상황”이라며, “악성코드에 감염된 사용자는 스마트폰을 초기화 할 것”을 권고했다.


이처럼 스미싱은 사용자를 속이기 위해 갈수록 지능화되고 있으며, 이를 바탕으로 정보 유출 및 소액 결제를 유도하고 있는 상황이다.


이에 따라 스마트폰 사용자들은 믿을 수 있는 가족이나 친한 지인이 URL 주소 링크를 보냈다 하더라도 문자를 보낸 본인에게 먼저 전화연락을 통해 확인한 뒤에 여는 습관을 들여야 하고, 스마트폰에 백신을 반드시 설치해 악성코드 감염을 예방해야 한다. 


추가로 소액결제 피해가 발생했을 경우 오티티엘(www.ottl.co.kr) 등 스마트폰 소액결제로 인한 피해를 환불 받을 수 있도록 도와주는 서비스를 적극 활용할 필요가 있다.


한편, 안유정 씨의 제보를 바탕으로 이번 스미싱 악성코드를 신속하게 분석한 후, 분석정보를 공유 및 전파한 Pwn&Play팀은 IT에 열정을 가지고 공부하는 해킹보안팀으로, 시스템과 악성코드 분석, 네트워크, 포렌식, 모바일, 개발 등의 세부 분야로 나누어 대내외적으로 활발하게 활동하고 있다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>


1 Comments
댓글쓰기 폼