.gif)
빛스캔, 10여개 사이트에서 모바일 악성코드 경유지·유포지로 활용된 정황 포착
설날·춘절 이후 악성코드 활동 재개 조짐...기존 악성코드 유포 통로 관찰 필요
[보안뉴스 원병철 기자] 국내 대표적인 생활용품 판매점의 온라인 사이트와 한 보안제품 판매 사이트가 모바일 악성코드 경유 및 유포지로 활용된 정황이 발견되어 사용자의 주의가 필요하다.
설날과 춘절기간 이후부터 악성코드의 활동이 거의 나타나지 않는 현상이 3주 연속 지속되면서 신규 취약점을 활용한 공격과 같은 위협이 고조되고 있는 가운데, 2월 21일에는 유명생활용품 XX소 사이트를 비롯해 약 10여 곳에서 모바일(APK) 악성코드로 연결되는 URI가 삽입되었던 것으로 확인되었다고 빛스캔은 밝혔다.
.jpg)
▲ XX소 사이트 JS 스크립트 내에 삽입된 악성 URI 링크
발견된 악성 URI는 21일 오후에 동시에 삽입됐으며, 다음날 새벽까지 유지됐던 것으로 분석됐다. 특히, 전국 각지에 오프라인 매장이 있는 생활용품점 XX소같은 경우에는 2015년 11월부터 꾸준하게 모바일과 PC를 감염시킬 수 있는 악성 URI의 삽입과 삭제가 반복되고 있다.
XX소에서 연결되는 모바일(APK) 악성코드 URI는 3차례 경유지를 거쳐 APK 파일을 모바일기기로 다운로드 하고 버튼을 누르는 순간 스마트폰은 감염되어 정보유출 및 외부에서 통제 가능한 상태가 된다.
또한, 그동안 수차례 모바일 악성코드 유포가 동일 사이트에서 관찰됐으나 이번 유포의 경우에는 최종 악성파일이 업로드 된 사이트가 특정 보안제품을 판매하고 있는 국내 웹서비스로 확인되고 있다.
.jpg)
▲ 해외 보안제품 사이트에 업로드된 모바일(APK) 악성코드
그 이유로는 해당 사이트가 보안제품을 판매하는 곳이고 일반, 기업 고객이 로그인을 통해서 구매할 수 있도록 하고 있어 악성코드 유포 이슈뿐만 아니라 2차적인 피해 발생 가능성도 제기된다. 악성파일이 올려진 사이트 또는 악성링크가 추가된 사이트들은 모두 권한을 획득 당한 상태라고 볼 수 있으므로, 사용자 정보 유출 우려도 높은 상태라고 볼 수 있다.
보안제품 구매 사이트를 통해 다운로드 된 모바일(APK) 파일은 분석결과 최초 실행 이후 보안장비의 탐지를 우회하기 위해서 내부코드에서 2차적으로 파일을 불러와서 실행하도록 만들어졌으며, 공격자 서버로 전송하는 정보는 문자 메시지, 통화기록 등 개인정보가 다수 포함되어 있는 것으로 분석됐다.
현재 가정, 회사와 같은 고정적인 아이피 대역을 이용하여 인터넷을 사용하는 경우 일주일 이내에 Bitin 서비스를 통해 감염 내역을 확인할 수 있다. 현재 Bitin.me 서비스는 360여만 건 이상의 감염기록을 조회할 수 있으며 고정적인 아이피를 사용한 경우 조회가 가능하다. 스마트폰의 경우 이동 중 아이피가 수시 변경되므로 정확한 지점에서의 피해 여부 확인은 어렵다. 빛스캔 측은 사전 예방을 위한 대응 서비스를 모바일 부분까지 확장해 피해예방을 위해 노력하겠다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
설날·춘절 이후 악성코드 활동 재개 조짐...기존 악성코드 유포 통로 관찰 필요
[보안뉴스 원병철 기자] 국내 대표적인 생활용품 판매점의 온라인 사이트와 한 보안제품 판매 사이트가 모바일 악성코드 경유 및 유포지로 활용된 정황이 발견되어 사용자의 주의가 필요하다.
설날과 춘절기간 이후부터 악성코드의 활동이 거의 나타나지 않는 현상이 3주 연속 지속되면서 신규 취약점을 활용한 공격과 같은 위협이 고조되고 있는 가운데, 2월 21일에는 유명생활용품 XX소 사이트를 비롯해 약 10여 곳에서 모바일(APK) 악성코드로 연결되는 URI가 삽입되었던 것으로 확인되었다고 빛스캔은 밝혔다.
▲ XX소 사이트 JS 스크립트 내에 삽입된 악성 URI 링크
발견된 악성 URI는 21일 오후에 동시에 삽입됐으며, 다음날 새벽까지 유지됐던 것으로 분석됐다. 특히, 전국 각지에 오프라인 매장이 있는 생활용품점 XX소같은 경우에는 2015년 11월부터 꾸준하게 모바일과 PC를 감염시킬 수 있는 악성 URI의 삽입과 삭제가 반복되고 있다.
XX소에서 연결되는 모바일(APK) 악성코드 URI는 3차례 경유지를 거쳐 APK 파일을 모바일기기로 다운로드 하고 버튼을 누르는 순간 스마트폰은 감염되어 정보유출 및 외부에서 통제 가능한 상태가 된다.
또한, 그동안 수차례 모바일 악성코드 유포가 동일 사이트에서 관찰됐으나 이번 유포의 경우에는 최종 악성파일이 업로드 된 사이트가 특정 보안제품을 판매하고 있는 국내 웹서비스로 확인되고 있다.
▲ 해외 보안제품 사이트에 업로드된 모바일(APK) 악성코드
그 이유로는 해당 사이트가 보안제품을 판매하는 곳이고 일반, 기업 고객이 로그인을 통해서 구매할 수 있도록 하고 있어 악성코드 유포 이슈뿐만 아니라 2차적인 피해 발생 가능성도 제기된다. 악성파일이 올려진 사이트 또는 악성링크가 추가된 사이트들은 모두 권한을 획득 당한 상태라고 볼 수 있으므로, 사용자 정보 유출 우려도 높은 상태라고 볼 수 있다.
보안제품 구매 사이트를 통해 다운로드 된 모바일(APK) 파일은 분석결과 최초 실행 이후 보안장비의 탐지를 우회하기 위해서 내부코드에서 2차적으로 파일을 불러와서 실행하도록 만들어졌으며, 공격자 서버로 전송하는 정보는 문자 메시지, 통화기록 등 개인정보가 다수 포함되어 있는 것으로 분석됐다.
현재 가정, 회사와 같은 고정적인 아이피 대역을 이용하여 인터넷을 사용하는 경우 일주일 이내에 Bitin 서비스를 통해 감염 내역을 확인할 수 있다. 현재 Bitin.me 서비스는 360여만 건 이상의 감염기록을 조회할 수 있으며 고정적인 아이피를 사용한 경우 조회가 가능하다. 스마트폰의 경우 이동 중 아이피가 수시 변경되므로 정확한 지점에서의 피해 여부 확인은 어렵다. 빛스캔 측은 사전 예방을 위한 대응 서비스를 모바일 부분까지 확장해 피해예방을 위해 노력하겠다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
