보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

워닝(Warning)! 유해 사이트 차단 페이지도 가짜 조심!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-05-24

​인터넷 이용 중 ‘워닝(Warning)’이라는 단어와 함께 경찰청 로고가 큼지막하게 들어간 유해 사이트 차단 안내 페이지를 접해 본 사용자들이 제법 있을 것이다. 이 페이지는 방송통신심의위원회에서 지정한 것으로, 사용자에게 유해한 정보가 많은 사이트에 접속할 경우 접속 차단을 위해 리다이렉션(Redirection)되는 페이지의 안내문이다. 그런데 최근 이 유해 사이트 차단 페이지로 위장해 악성 앱 설치를 유도하고 금융 정보를 탈취하는 악성코드가 발견됐다. 

 

유해 사이트 차단 안내 페이지로 위장한 악성코드는 공인인증서 탈취, 자동 실행을 위한 레지스트리 등록, 방화벽 정책 등록 등 일반적으로 알려진 파밍 악성코드의 주요 행위와 매우 유사하다.  금융사 홈페이지로 사용자 접속을 유도해 금융 정보를 입력하도록 요구하는 이전의 방식과는 달리, 주요 포털 사이트에 접속할 때 유해 사이트 차단 안내 페이지로 위장한 피싱 페이지를 보여주는 게 차이점이다. 이 피싱 페이지는 정상적인 유해 사이트 차단 안내 페이지와 매우 비슷하게 만들어졌기 때문에 악성코드 감염으로 인해 표시되는 피싱 페이지라는 것을 일반 사용자들이 인식하기 어렵다.

 

  

[그림 1] 피싱 페이지(왼쪽) / 정상 페이지(오른쪽)

 

[그림 1]에서 보는 바와 같이 오른쪽 정상 페이지에는 유해 사이트 차단 안내문이 게시되어 있다. 반면, [그림 1]의 왼쪽 피싱 페이지에는 트래픽 전송 및 정보 도용에 대한 차단 안내문과 함께 비정상적인 트래픽 전송으로 인해 처벌받을 수 있으니 본인에 의한 트래픽 전송이 아닐 경우 트래픽 차단 프로그램을 설치하라는 협박성 메시지를 포함하고 있다. 

 

사용자가 이 허위 안내 페이지에서 이름과 휴대폰 번호를 입력하면 공격자에게 정보가 전송되며, [그림 1]와 같이 전용백신으로 위장한 악성 앱 설치를 유도한다.

 

 

[그림 2] 악성 APK 다운로드 유도

 

‘안티 트래픽(Anti Traffic)’이라는 이름의 악성 앱은 발신 전화 경로 전환, 통화 기록 쓰기/읽기, 네트워크 연결 변경 등 트래픽 차단 목적과는 관련 없는 불필요한 권한이 포함되어 있다. 악성 앱의 모든 행위는 사용자 모르게 백그라운드에서 실행되며, 악성 앱 설치 시 휴대폰 기종, IMEI, 악성 앱 설치 시간, 휴대폰 번호 등이 공격자 서버로 전송된다.

 

  

[그림 3] 전용백신으로 위장한 악성 앱

 

해당 악성 앱은 수시로 공격자 서버와 통신하면서 특정 전화번호 목록을 다운로드하는데 이 전화번호는 금융권 대부 업체 전화번호 목록이다. 악성 앱 설치로 인해 감염된 단말기에서 사용자가 금융권으로 전화를 걸면, 강제 착신전환을 통해 공격자가 조작한 전화번호로 연결된다.

 

강제 착신전환으로 사용자가 원래 전화를 하려고 한 금융 업체가 아닌 공격자에게 전화가 연결되면 앞서 탈취된 금융 정보와 보이스 피싱으로 수집한 정보를 조합하여 금전적인 피해를 입힐 것으로 추정된다. 

 

공격자는 서버를 통해 감염된 사용자를 관리하고 언제든지 강제 발신 전환 전화번호를 추가하거나 변경할 수 있기 때문에 금융 사기 외에도 다양한 방법으로 금전적 피해를 입힐 수 있다. 이 악성코드가 본격적으로 유포된다면, 기존 악성코드보다 더 큰 피해가 발생할 가능성이 높을 것으로 예상된다. 

 

AhnLab 제품에서는 다음과 같은 내용으로 진단한다 :

  <안랩 제품별 진단명>

  - V3: Trojan/Win32.Banki

  - V3 모바일: Android-Trojan/Kaishi

  - MDS: Malware/MDP.Pharm

  

지속적으로 등장하는 새로운 유형의 금융 사기를 예방하기 위해서는 개인 정보를 요구하는 사이트나 전화는 항상 신중하게, 유심히 살펴보는 등의 습관이 반드시 필요하다. 또한 은행 등 금융권이나 금융감독원 등 공공기관에서는 어떠한 경우에도 웹 사이트나 전화를 통해 과도한 개인 정보나 금융 정보를 요구하지 않는다는 것을 명심해야 한다. 

 

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기