포스팅 내용

악성코드 분석 리포트

공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장

공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장


안녕하세요. 이스트시큐리티입니다.

최근 국내 이용자들을 대상으로, 공유기의 DNS를 변경하는 조직의 활동이 더욱 진화된 모습으로 다시 등장했습니다. 이용자들의 주의를 당부 드립니다.


이번 공격은 기존과 마찬가지로 외부에서 악의적인 경로를 통해 보안이 취약한 공유기에 접근하여 DNS를 변경합니다. 그리고 이용자가 모바일 기기로 포털 사이트에 접속하였을 때 악성앱을 다운로드 및 실행을 유도합니다.


그러나 기존 공격과 달리 특이한 점은, 공유기 DNS가 변조된 상태에서 PC에서 국내 포털 사이트에 접속하였을 경우 특정 포털 사이트의 security.html 페이지로 연결됩니다. 그리고 아래와 같이 '죄송합니다. 요청한 웹페이지 잠시 방문할 수 없습니다. QT코드를 적어주세요.'라는 문구를 통해 QR코드를 찍도록 유도합니다.


실제 security.html은 정상 도메인에 없는 페이지입니다. 이는 마치 보안 관련 페이지로 위장하여 사용자를 현혹하고 있습니다.


[그림 1] PC 접속시 QR코드 유도 화면


사용자가 QR코드를 모바일 애플리케이션을 통해 찍으면, m.novel.naver.com/naver.apk 주소로 이동시켜 악성앱을 다운로드하게끔 유도합니다. m.novel.naver.com은 실제로 운영되고 있는 서비스의 도메인이지만, DNS 질의 요청간 공격자가 설정한 악성 DNS 주소로 연결되어 악성앱이 다운로드됩니다.


또한 모바일에서 특정 포털 사이트에 접속할 경우, 메인 화면은 아무런 감염 증상 없이 로딩됩니다. 하지만 메인 화면에서 뉴스, 웹툰, 스포츠 등의 하위 카테고리에 접속할 경우 ‘한층 개선된 Chrome의 최신버전이 출시되었습니다. 업데이트후 이용해주십시오.’ 메시지가 나타나면서 chrome2.0.4.apk이 다운로드 됩니다. 이는 이용자들의 심리를 교묘히 노린 것으로 평가됩니다.

 

[그림 2] 모바일에서 악성앱 다운로드


다운로드 된 Naver.apk 및 chrome2.0.4.apk 악성앱을 분석한 결과, 이름 및 애플리케이션 아이콘만 다를 뿐, 실제로 수행하는 기능인 금융 정보 탈취, SMS 정보 탈취 등의 기능은 동일한 것으로 확인되었습니다.



이스트시큐리티 시큐리티대응센터는 해당 이슈를 추적하는 도중, 또 다른 유포지를 발견했습니다. 그 결과, chrome7.0.exe 이름으로 키로깅 등의 원격제어 기능을 수행하는 악성코드를 확인할 수 있었습니다.


 [그림 3] chrome7.0.exe 악성코드 다운로드


마찬가지로 동일 IP에서 Naver.apk이 발견되었습니다. 이를 통해 공유기 DNS 주소로 수집된 Naver.apk와의 디지털 서명이 동일한 것을 확인할 수 있었습니다.


 [그림 4] 악성앱 인증서 동일


지금까지의 내용을 요약하자면, 이번에 등장한 공격은 기존의 공격방식에서 더 진보된 방식으로 안드로이드 기기를 대상으로 큐싱 등의 정교한 방법을 사용했습니다. 추후에는 PC를 대상으로 한 악성코드 유포로도 바뀔 수 있기에 주의가 필요합니다.


따라서 이용자들은 공유기 펌웨어 업데이트 및 관리자 접속 비밀번호 설정 등을 통해 감염이 되지 않도록 주의해주시기 바랍니다. 


※ 관련 포스팅 자세히 보기 :

보안이 취약한 공유기를 이용한 스마트폰 악성앱 유포에 주의하세요! 


관련 악성코드 및 악성앱은 알약과 알약 안드로이드에서 각각 Trojan.Downloader.72192, Android.Trojan.HiddenApp.UT으로 진단 및 치료하고 있습니다.






저작자 표시
신고
  1. 관심손님 2017.03.30 17:34 신고  수정/삭제  댓글쓰기

    아이폰버전도 알약이 생기면 좋겠어요

    • BlogIcon 알약(Alyac) 2017.04.03 15:51 신고  수정/삭제

      안녕하세요. 알약입니다. 아이폰은 정책상 백신앱을 허용하지 않으며, 저희 알약 안드로이드도 아이폰 지원계획이 없는 점 참고부탁 드립니다. 감사합니다.

  2. 도와주세요 2017.03.31 02:46 신고  수정/삭제  댓글쓰기

    어제까진 괜찮았는데 오늘 컴을 켜니 딱 이 상태네요... 휴대폰과 컴퓨터 다 말썽인데 알약으로도 못 잡는것 같아요. DB 최신 상태구요... 어떻게 방법없을까요??

    • BlogIcon 알약(Alyac) 2017.04.03 15:47 신고  수정/삭제

      안녕하세요. 알약입니다. 먼저 피해를 입으신 점 정말 안타깝게 생각합니다. 공유기 자체 취약점을 통한 해킹은 알약으로는 탐지가 불가하며, 공유기의 취약점을 패치해 주셔야 합니다. 피해를 입으신 후 대응 방법은 공유기 제조사마다 다르기 때문에 각 제조사의 대응방법을 따라 주시기 바랍니다. 자세한 대응 방법은 알약 블로그 포스팅(http://blog.alyac.co.kr/108)을 참고해주시기 바랍니다. 감사합니다.

  3. 이런망할 2017.03.31 19:30 신고  수정/삭제  댓글쓰기

    어느 순간부터 다음 네이버 유투브 구글코리아가 접속 안되거나 네이버-시큐리티로 연결되네요 -_-;
    모바일은 아이폰인데 혹시나 해서 네이버 메인 화면 기사는 안 눌러봤고...
    일단 앱만 설치 안하면 다행인 걸까요? 공유기 해킹만으로도 중요 정보가 빠져나가나요?

    • BlogIcon 알약(Alyac) 2017.04.03 15:42 신고  수정/삭제

      안녕하세요. 알약입니다. 공유기가 해킹을 당하면 악성 앱 설치 유도 뿐만 아니라 피싱사이트로에서 정보입력을 유도할 수 있어 충분히 중요정보 유출 가능성이 존재합니다. 대응 방법은 공유기 제조사마다 다르므로, 각 업체의 대응방법을 따라 주시기 바랍니다. 자세한 대응 방법은 알약 포스팅(http://blog.alyac.co.kr/108)을 참고해주시기 바랍니다. 감사합니다.

  4. 이런망할 2017.03.31 19:36 신고  수정/삭제  댓글쓰기

    안드로이드 대상이면 아이폰에는 안 통한다는 건지도 궁금하네요

    • BlogIcon 알약(Alyac) 2017.04.03 16:06 신고  수정/삭제

      안녕하세요. 알약입니다. 해당 공격을 위하여 내려주는 악성파일은 apk파일로 안드로이드 전용 파일입니다. 즉 아이폰에서는 실행이 불가능합니다. 하지만 공유기가 해킹당했을 경우 여러 보안 이슈들이 발생할 수 있기 때문에, 사용하시는 공유기 제조사에서 제공하는 대응방법에 따라 공유기 펌웨어 업그레이드 등 필요조치를 취해주시기 바랍니다. 자세한 내용은 관련 포스팅(http://blog.alyac.co.kr/108)을 참고해주시기 바랍니다. 감사합니다.

  5. 오마갓 2017.04.03 12:34 신고  수정/삭제  댓글쓰기

    설치만 안하면되나여? 자동으로 파일이 다운로드 되던데

    • BlogIcon 알약(Alyac) 2017.04.03 16:02 신고  수정/삭제

      안녕하세요. 알약입니다. 설치하지 않으셨다면 안전합니다. 자동으로 다운로드 된 파일은 수동으로 삭제하거나 알약으로 삭제 부탁 드립니다. 또한 공유기가 해킹당한 경우, 해당 공유기 제조사에서 제공하는 대응방법에 따라 공유기 펌웨어 업그레이드 등 조치를 취해주시기 바랍니다. 자세한 내용은 관련 포스팅(http://blog.alyac.co.kr/108)을 참고해주세요! 감사합니다.

  6. BlogIcon 지나가던 2017.04.03 16:44 신고  수정/삭제  댓글쓰기

    국내 사이트 어플 들어갔더니 위 사진 팝업이 떠서 자동으로 chrome2.0.4.apk파일이 받아졌어요 꺼림칙해서 검색하고 이 포스트 발견했는데 알약 어플 깔고 검사하기를 해도 해당 파일 삭제하기기 안뜹니다.
    아 다시 검사하기 하니까 trojan...파일 치료하기 떴는데 이거 하면 안전한건가요?ㅠㅠ

    • BlogIcon 알약(Alyac) 2017.04.04 09:07 신고  수정/삭제

      안녕하세요. 알약 안드로이드에서 정상적으로 탐지 및 삭제하였다면 안심하셔도 좋습니다. 하지만 공유기에 취약점이 존재하는 것으로 추정되는 만큼, 펌웨어 업데이트와 같은 적절한 조치를 취해주시기 바랍니다. 자세한 내용은 관련 포스팅(http://blog.alyac.co.kr/108)을 참고해주세요! 감사합니다.

  7. 젠장 2017.04.04 21:55 신고  수정/삭제  댓글쓰기

    m.naver.com/naver.apk. 어 qr코드 치고 들어갔는데. 상단바에는 다운로드되었다는 표시는 뜨지않고 걍 네이버 소설메인으로 가더군요 apk가 다운되었는지. 확인하기위해서 도운로드파일에 가보았는데 다른점은 없구요. 파일이 다운된 것인가요?

    • BlogIcon 알약(Alyac) 2017.04.05 09:01 신고  수정/삭제

      안녕하세요. 알약 안드로이드를 최신 버전으로 업데이트하신 후 검사를 진행해주시길 부탁 드립니다. 말씀하신 내용만으로는 파일이 다운로드된 것인지 정확한 확인이 어려운데요. 감염이 의심스러우신 경우, 앱 목록 등 자세한 내용을 m_alyac@estsecurity.com으로 보내주시면 좀 더 상세한 안내를 드리도록 하겠습니다. 감사합니다.

  8. 2017.04.06 09:16  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 2017.04.06 11:13  수정/삭제

      비밀댓글입니다

  9. 악성코드 2017.04.06 09:33 신고  수정/삭제  댓글쓰기

    PC에 QR코드 찍으라는 문구가 나오는데요 공유기 펌웨어하고 비번걸면 계속 사용해도 괜찮은가요?

    • BlogIcon 알약(Alyac) 2017.04.06 11:15 신고  수정/삭제

      공유기에 취약점이 존재하는 것으로 예상됩니다. 따라서 펌웨어 업데이트를 반드시 진행해주시길 당부 드립니다. 펌웨어를 업데이트하신 후, 안전한 비밀번호를 설정하여 사용해주시면 됩니다. 관련하여 자세한 내용은 해당 포스팅(http://blog.alyac.co.kr/108)을 확인해주시길 부탁 드릴게요! 감사합니다.

  10. 제발.. 2017.04.07 14:46 신고  수정/삭제  댓글쓰기

    노트북과 핸드폰에 저거랑 똑같이 네이버 qt코드랑 크롬업데이트가 나와요.. 근데 공유기연결하고 랜선 연결했을때만 그런 창이 뜨고 핸드폰 데이터연결과 노트북과 핸드폰의 테더링으로 연결했을 때는 그런 증상이 없어지는데요, 알약을 돌려도 아무 것도 안잡히는데 방에 있는 랜선과 공유기 연결에서만 계속 이 증상이 나타나는데 어떻게 해야될까요??ㅠㅠ

    • BlogIcon 알약(Alyac) 2017.04.10 09:14 신고  수정/삭제

      안녕하세요. 알약입니다. 공유기 자체 취약점을 통한 해킹은 알약으로는 탐지가 어렵습니다. 따라서 공유기의 취약점을 패치해 주셔야 합니다. 피해를 입으신 후 대응 방법은 공유기 제조사마다 다르기 때문에 각 제조사의 대응방법을 따라 주시기 바랍니다. 자세한 대응 방법은 알약 블로그 포스팅(http://blog.alyac.co.kr/108)을 참고해주시기 바랍니다. 감사합니다.

  11. 힘드네요 2017.04.18 00:13 신고  수정/삭제  댓글쓰기

    며칠째 이문제로 고생입니다
    공유기 교체하면 되나요? 아이폰으로 코드
    찍었는데 괜찮은거죠?

    • BlogIcon 알약(Alyac) 2017.04.18 08:51 신고  수정/삭제

      안녕하세요. 공유기 해킹 관련 대응 방법은 공유기 제조사마다 다른 점 확인 부탁 드립니다. 사용하시는 공유기 제조사의 대응 방법을 참고해주시면 됩니다. ^^ 자세한 방법은 알약 블로그의 포스팅(http://blog.alyac.co.kr/108)을 확인해주시기 바랍니다. 감사합니다.

  12. 다운ㅜ 2017.04.21 22:57 신고  수정/삭제  댓글쓰기

    제가 저 QR코드를 들어갔어요ㅜㅜ
    다운된건 없다뜨고 혹시몰라 파일이나 다운목록도봤는데 없어요.
    그리고 제가 앱이 설치순으로뜨는데 거기도 없으면 괜찮은거 맞나요?ㅜㅜㅜ

    • BlogIcon 알약(Alyac) 2017.04.24 09:28 신고  수정/삭제

      apk파일을 다운로드받지 않으셨다면 안심하셔도 좋습니다. ^^ 그러나 향후 같은 피해를 입지 않도록, 사용하시는 공유기 펌웨어를 업데이트하시길 당부 드립니다. 또한 알약 등 모바일 백신을 설치하시고 주기적으로 검사를 진행해주세요!
      펌웨어 업데이트 관련 자세한 내용은 알약 블로그 포스팅(http://blog.alyac.co.kr/108)을 확인해주시기 바랍니다. 감사합니다.

  13. 아이폰 2017.04.28 23:09 신고  수정/삭제  댓글쓰기

    아이폰 사용중이고 큐알코드 스캔해서 들어갔는데 "데이터"라는 파일 다운로드하는 페이지가 뜨더라구요 이게 다운이 된건가요? 그리고 글 내용에는 안드로이드폰 대상이라고 하는데 아이폰은 안전한가요?

    • BlogIcon 알약(Alyac) 2017.05.08 08:33 신고  수정/삭제

      안녕하세요. 파일을 다운로드하는 페이지만 확인하시고, 설치하지 않으셨다면 안심하셔도 좋습니다. 말씀하신 것처럼 해당 악성앱은 안드로이드 기기를 대상으로 하나, 루팅된 아이폰 기기 등은 취약할 수 있으니 이 점 주의 부탁 드립니다. 감사합니다.

  14. 2017.05.14 04:08 신고  수정/삭제  댓글쓰기

    위에 처럼 크롬Apk 깔렸는데 3개나 어떻게해야되나요 일단 지우긴했습니다

    • 2017.05.14 04:14 신고  수정/삭제

      Qr 코드도 찍었는데 뭐가다운되지는않고
      요정하신 페이지를 찾을수없다고 나와서
      다운이된건지안된건지... V3 mobile 급하게 돌려보긴했는데 바이러스는 없다고 나오네요..

    • BlogIcon 알약(Alyac) 2017.05.15 08:52 신고  수정/삭제

      안녕하세요. 설치된 악성앱을 정상 삭제하셨다면 안심하셔도 좋습니다. ^^ 향후 유사한 피해를 입지 않으시도록, 사용하시는 공유기 펌웨어를 업데이트하시는 것을 추천 드립니다. 감사합니다.

  15. 정군 2017.06.12 19:00 신고  수정/삭제  댓글쓰기

    공유기는초기화해서 안정적으로작동하나 PC에감염된거는 알약으로 해결이안되네요 최근디비업데이트하고 정밀금사다했는데 발견된게없다고나와서
    방법은 이전시점으로복원인듯한데 전해당기능을꺼놔서 어쩔수없이 포맷했습니다.

    • BlogIcon 알약(Alyac) 2017.06.13 10:49 신고  수정/삭제

      안녕하세요. 악성 apk가 PC에 감염되었다는 말씀이신가요? 죄송하지만 말씀하신 내용만으로는 정확한 정황 파악이 어려운데요. 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등을 통해 좀 더 자세한 내용을 안내해 드리겠습니다. 감사합니다.

티스토리 방명록 작성
name password homepage