유해 사이트 차단 안내로 위장한 악성코드 등장

2017-05-25 김인순 보안 전문 기자

'워닝(Warning)! 불법 유해 정보사이트에 대한 차단 안내' 표시창이 뜨면 악성페이지가 아닌지 또 한 번 의심해야 한다. 유해 사이트 차단 안내 페이지로 위장한 악성코드가 나타났다.

안랩(대표 권치중)은 25일 가짜 유해 사이트 차단 페이지를 조심하라고 경고했다. 유해사이트 차단 페이지로 위장해 악성앱 설치를 유도하고 금융 정보를 탈취한다.

해당 악성코드는 공인인증서를 빼돌린다. 자동 실행을 위한 레지스트리와 방화벽을 등록한다. 일반적으로 알려진 파밍 악성코드 행위를 한다.

피싱 페이지(왼쪽) / 정상 페이지(오른쪽) (자료:안랩)

그동안 공격자는 금융사 홈페이지로 접속을 유도한 후 정보를 입력하게 했다. 이 공격은 주요 포털 사이트에 접속할 때 유해 사이트 차단 안내 페이지로 위장한 피싱 페이지를 보여준다. 정상 유해사이트 페이지와 매우 유사하게 제작돼 악성코드 감염으로 표시되는 피싱 페이지라는 걸 인식하기 어렵다.

가짜페이지는 해당 PC가 비정상적 트래픽을 전송하고 정보도용이 의심돼 사이트 접속을 차단했다고 밝힌다. 또, 바이러스 감염이 의심되니 사이버경찰청 트래픽 차단 전용 백신 프로그램을 설치하라고 강요한다. 휴대폰에 QR코드를 인식해 백신프로그램을 설치하라고 안내한다.

사용자가 허위 안내 페이지에 이름과 휴대폰 번호를 입력하면 정보가 전송된다. 이후 전용백신으로 위장한 악성앱 설치를 유도한다.

안티 트래픽이라는 이름의 악성앱은 △발신 전화 경로 전환 △통화 기록 쓰기와 읽기 △네트워크 연결 변경 등 트래픽 차단 목적과 관련 없는 불필요한 권한이 들어있다. 사용자 모르게 뒤에서 악성행위를 실행한다. 이 앱이 설치되면 휴대폰 기종과 고유번호(IMEI), 악성앱 설치 시간, 휴대폰 번호 등이 공격자 서버로 전송된다.

악성 APK 다운로드 유도(자료:안랩)

이 앱은 수시로 공격자 서버와 통신하면서 주로 금융권 대부 업체 전화번호 목록을 내려 받는다. 악성앱 감염 피해자가 금융권으로 전화를 걸면, 강제로 착신을 전환시켜 공격자가 조작한 번호로 연결된다. 사용자가 전화한 금융사가 아니라 공격자에게 연결된다. 이미 탈취한 금융정보와 보이스 피싱을 결합해 금전 피해를 입힐 것으로 추정된다.

공격자는 서버를 통해 감염된 사용자를 관리하고 언제든지 강제 발신 번호를 추가하거나 변경할 수 있다. 금융사기 외에도 다양한 방법으로 금전 피해를 입힐 수 있다.

전용백신으로 위장한 악성 앱(자료:안랩)

김인순 보안 전문기자 insoon@etnews.com