상세 컨텐츠

본문 제목

아이폰 분실 사용자 겨냥한 맞춤형 피싱 주의보

악성코드 분석 리포트

by 알약(Alyac) 2016. 12. 15. 13:06

본문

아이폰 분실 사용자 겨냥한 맞춤형 피싱 주의보


애플의 아이폰(iPhone)을 도난 또는 분실한 한국 사용자를 겨냥한 맞춤형 피싱(Phishing) 공격이 지속적으로 등장하고 있습니다. 해당 스마트기기 사용자들의 각별한 주의가 필요합니다.


공격 대상은 주로 아이폰을 분실한 사용자입니다. 사용자가 단기간에 신규 단말기를 새로 구입했거나, 동일한 제품 계열 계정으로 연동되는 기기를 보유하고 있을 경우, 공격자의 표적으로 관련 위협에 노출될 수 있습니다.


피싱 공격자는 공식적인 애플 고객센터처럼 사칭하여 허위 문자메시지를 보내고, 사용자가 문자메시지에 포함된 피싱 웹 사이트 URL로 접속하도록 유인합니다. 만약 사용자가 가짜 문자메시지에 현혹되어 본문에 포함된 URL 주소를 무심코 클릭해 접속하면, 실제 정상서비스인 것처럼 위장된 ‘나의 iPhone 찾기’ 화면을 확인할 수 있습니다. 공격자는 사용자가 위장된 화면에 애플ID와 암호를 직접 입력하게 만들어 개인 정보를 탈취합니다.


▲ 분실 아이폰 사용자를 노린 피싱 수법 과정 화면


아이폰을 분실하였을 때 단말기의 위치를 찾을 수 있도록 만들어진 ‘나의 iPhone 찾기’ 기능은 일종의 도난방지서비스로, 다른 사람이 아이폰을 무단 습득했을 때 함부로 기기를 활성화하지 못하도록 막는 기능입니다.


iOS 7부터 기본 내장된 킬 스위치 기능이 바로 그것입니다. iCloud 설정에서 ‘나의 iPhone 찾기’를 활성화한 다음 ‘분실 모드’를 실행하면 킬 스위치 기능이 작동합니다. 따라서 도난·분실된 아이폰을 강제로 복원하거나 초기화해도 처음 입력했던 애플ID로만 활성화할 수 있습니다.


따라서 도난·분실된 아이폰을 범죄자들이 불법적으로 사용하기 위해서는 반드시 킬 스위치 기능을 무력화해야 합니다. 공격자는 그에 필요한 애플ID와 암호를 훔치고자 피싱을 시도하고 있는 것으로 추정됩니다. 


실제로 사용자가 기기를 분실할 경우, ‘나의 iPhone 찾기’ 기능을 통해 원격접속으로 단말기를 제어하여 ‘위치 확인’, ‘소리 재생’, ‘분실 모드’, 그리고 개인 정보 보호 목적으로 기기 내 데이터를 모두 초기화하는 ‘iPhone 지우기’ 기능 등을 수행할 수 있습니다. 


▲ 실제 ‘나의 iPhone 찾기’ 로그인 화면


‘나의 iPhone 찾기’ 기능이 활성화되었을 경우, 잠금을 해제하기 위해서는 반드시 기기에 등록된 암호를 알아야 합니다. 만약 도난·분실된 타인 명의의 아이폰을 불법으로 편취한 범죄자가 애플ID와 암호를 모른다면, 아이폰을 임의로 분해해 내부 전자부품을 헐값으로 팔 수밖에 없습니다. 그러나 애플ID와 암호까지 탈취에 성공하면 완제품 상태 그대로 아이폰을 불법 거래해 상대적으로 높은 수익을 얻을 수 있게 됩니다.



피싱 공격 과정


1. 피싱 문자 전송


공격자는 불법적으로 취득한 타인 명의의 아이폰 계정 잠금을 해제하기 위해 아래와 같은 피싱 문자를 전송합니다. 이후 사용자가 피싱 사이트로 접속해 애플ID와 암호를 입력할 수 있도록 유도하여 개인정보 탈취를 시도합니다. 아이폰 피싱 문자의 경우 다양한 사례들이 속속 발견되고 있으므로, 유사한 형태를 확인하면 각별히 주의할 필요가 있습니다.


▲ 아이폰 피싱 문자메시지 사례


2. 피싱 사이트 접속

 

사용자가 문자 메시지에 있는 피싱 사이트 URL을 클릭해 접속하면 ‘UserAgent’와 ‘Mobile-UserAgent’를 비교해 현재 사용자가 모바일 환경으로 사이트에 접속했는지 여부를 확인합니다. 만약 모바일 환경에서 접속이 이루어졌다면, 사용자를 ‘wap.asp’ 페이지로 이동시키고, 가짜 로그인 화면을 보여줍니다.


▲ 모바일 환경에서 User-Agent 체크


▲ 피싱용 가짜 ‘나의 iPhone 찾기’ 사이트 화면


해당 모바일 웹 페이지에서는 분실 기기의 애플ID와 암호 입력을 유도하고, 아이디와 암호가 정상적으로 입력되면 입력된 개인정보가 공격자의 특정 서버로 사용자 모르게 전송됩니다.


▲ 개인정보 탈취 코드 화면


▲ 공격자 서버로 입력된 정보 전송 화면


특히, ‘wap.asp’에서 ‘wap1.asp’로 웹 페이지가 이동될 때, 하단의 스크립트 명령에 의해 [Apple ID 또는 암호가 올바르지 않습니다]라는 허위 경고 창을 보여주며 사용자가 이를 잘못된 계정 정보로 인식하도록 만듭니다.


▲ 가짜 메시지를 호출하는 JavaScript 명령어 화면


▲ 가짜 메시지 창 출력 화면


▲ 계정 정보 입력 유도 화면


상기 화면에서 정보를 다시 입력하면 현재 페이지에서 ‘shengri.asp’로 이동하면서 입력한 정보를 특정 해외 명령 제어(C&C)서버로 전송합니다. 이는 사용자가 가짜 로그인 화면에 실수로 잘못된 암호를 입력하는 경우에 대비한 것으로, 두 번의 정보를 입력하도록 요구해 탈취 대상 정보의 정확성을 높이려는 치밀한 시도입니다.


▲ 개인정보 2차 입력을 유도하는 화면


‘shengri.asp’에서는 ‘tixing.asp’으로 이동하며, 이전과 마찬가지로 [Apple ID 또는 암호가 올바르지 않습니다.] 메시지를 띄우면서 정상 애플 사이트로 이동시켜 피싱에 의한 정보 유출 의심을 하지 않도록 만듭니다.

 

▲ 정상 애플 사이트로 변경시키는 코드 화면



마무리


앞서 말씀드렸듯이, 최근 아이폰 단말기를 분실한 한국 사용자를 대상으로 한 맞춤형 피싱 사이트가 지속적으로 등장하고 있습니다. 특히, 피싱 도메인들이 주로 ‘korea’, ‘kor’ 등과 같이 한국을 의미하는 맞춤형 키워드가 다수 존재하고 있는 것으로 확인되었습니다.


▲ 한국을 타깃으로 한 맞춤형 피싱 도메인 사례 


또한 페이지명 및 소스코드 내에 중국어로 된 키워드와 주석도 다수 포함되어 있습니다.


▲ 중국어가 포함된 피싱 사이트 코드 화면

 

▲ 중국 소재 피싱 서버와 중국어 사용 의미 화면


공격자는 중국 소재 피싱 서버와 함께 중국어를 다수 사용하며, 한국 사용자들을 겨냥한 맞춤형 언어 화면을 이용했습니다. 최근까지도 비슷한 유형의 피싱 공격이 지속되고 있으므로, 아이폰 사용자들은 피싱 사이트에 접속하지 않도록 각별히 주의해주시기 바랍니다.


이스트소프트 시큐리티 대응센터는 한국인터넷진흥원(KISA)과 협력해 해당 피싱 사이트가 신속하게 차단될 수 있도록 노력하고 있습니다. 앞으로도 유사한 형태의 피싱이 보고될 경우, 즉각적으로 대응하기 위해 최선을 다하겠습니다. 감사합니다.






관련글 더보기

댓글 영역