트렌드 마이크로는 2014 년 11 월 중순 메시지 서비스 'Viber'를 위장한 스팸 메일이 급증하고있는 것을 확인했습니다. Viber는 사용자가 통화와 단문 메시지 서비스 (SMS)를 무료로 이용할 수있는 어플로 PC 버전도 제공되고 있습니다. 이 스팸 메일은 수신자가 음성 메일을받은 것을 전하고있었습니다.
그림 1 : 스팸 예
■ PC와 모바일 기기에서 다른 불법 활동
PC에서 감염 활동은 매우 간단합니다. 스팸 메일에 포함 된 링크를 클릭하면 " BKDR_KULUOZ.VLU "로 감지되는 백도어 악성 프로그램이 PC에 다운로드됩니다.
하지만 모바일 기기에서이 스팸 메일을 열 경우 사용자는 전혀 다른 불법 활동을 경험하게됩니다. 악성 프로그램이 생성되는 대신에, 임의의 URL과 검색 엔진 사이트 또는 공식 앱 스토어 등 사용자가 다양한 Web 사이트로 유도됩니다.
모바일 사용자는 동영상 전달 사이트로 유도 될 수도 있습니다. 당사의 조사에 따르면,이 Web 사이트는 불법 활동과 관련하여있었습니다. 예를 들어, 사용자가 가입시 제공 한 신용 카드 번호에 들키지 않고 청구하는 등입니다. Flash Player의 업데이트를 촉진 광고를 클릭하여이 Web 사이트에 유도 된 사례도있었습니다.
그림 2 : 동영상 전달 사이트로 유도 된 예
■ 모바일 기기의 OS에 따라 달라질 유도 된 사이트
또한 조심해야 할 것은 모바일 기기의 운영체제 (OS)에 의해 유도하려는 Web 사이트가 다른 것입니다.Android 사용자는 Google의 공식 앱 스토어 'Google Play'의 어플리케이션 「Go Launcher」에 유도되었습니다. Apple 제품 사용자는 "iTunes"에서 중국의 게임 응용 프로그램에 유도됩니다. 또한 어떤 어플리케이션도 잘못된 것은 아닙니다.
그림 3 : "Google Play"에 유도 된 예
그림 4 : 「iTunes」에 유도 된 예
OS에 따라 변화하는 유도 정보는 공식 앱 스토어에 없습니다. 링크를 클릭 한 Android 사용자는 빈 페이지에 보이는 Web 사이트로 유도 될 수 있습니다. 우리가이 Web 사이트의 소스 코드를 확인했는데, "ANDROIDOS_PAWEN.HBT"고 검출되는 APK 파일을 포함한 Web 사이트로 유도하는 링크를 포함하는 것으로 확인되었습니다.
이 응용 프로그램은 다양한 성인 사이트에 대한 링크가 포함되어있었습니다. 또한 수신 및 수신을 모니터링하고 전화 번호를 수집하여 응용 프로그램에서 하드 코드 된 URL에 보냈습니다. 그 목적은 URL을 보면 분명하다.
- http : // <잘못된 도메인> /scripts/app_tracking_manager.php
- http : // <잘못된 도메인> /scripts/app_call_tracking_manager.php
또한, 사용자는 악성 APK 파일을 포함한 링크에 유도되는 것은 아니라는 점에 유의하시기 바랍니다. 또한 iPhone 사용자도 성인 사이트로 유도 될 수 있습니다.
■ 결론
당사는 다양한 OS에서 작동하는 위협을 지금까지 여러 확인 왔지만 이번 스팸 메일 활동이 가져 오는 결과의 다양성에주의해야 할 것이다. 이 스팸 메일을 보낼 수있는 공격자가 상당한 노력을 할애 단말기의 OS마다 사용자를 다양한 Web 사이트로 유도 한 것은 흥미로운 점입니다.
메시지 서비스는 이번 사례처럼, 공격에 자주 사용되는 사회 공학의 먹이입니다. 이번 스팸 메일이 다른 것보다 신빙성이 높은 것은 Viber에 PC 버전 이 때문일 것이다. 스팸 메일을 수신 한 사용자가 음성 메일이 있다고 생각 버리는 것도 무리는 아닙니다.
E 편지를 개봉 할 때주의하십시오. 스패머와 사이버 범죄자가 위장하여 E 메일을 보내는 것은 쉽습니다.E 메일의 링크를 클릭하는 것은 가능한 한 피한다. E 메일의 링크는 신용하지 않고 주소창에 직접 Web 사이트의 URL을 입력하면 좋습니다.
Trend Micro 제품을 사용할 사용자는 당사의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network」에 의해 지켜지고 있습니다. 특히 " E-mail 평판 "기술은 이러한 위협에 대한 E 메일을 차단합니다. 또한 " Web 평판 "기술은 이러한 위협에 대한 잘못된 Web 사이트에 대한 액세스를 차단합니다. 또한 " 파일 평판 "기술은 위의 악성 프로그램을 감지하고 제거합니다. 그리고 " 바이러스 버스터 모바일 '은 잘못된 링크를 차단하고 모바일 사용자를이 위협으로부터 보호합니다.
당사는 본건과 관련하여 이미 Google에보고하고 있습니다.
또한, 이번에 확인 된 검체 관련 해시는 다음과 같습니다.
- 03f078d14c6714631f2f6acc78d0f5f23e80da70
- de0563e92daea91d028d5b26a2e2c01477af1ac8
협력 저자 : Chloe Ordonia, Sylvia Lascano, Francis Atanzo 및 Gideon Hernandez
참고 기사 :
- " Fake Viber Spam Changes Routines Based on Platform "
by Wish Wu (Mobile Threat Response Engineer)
'malware ' 카테고리의 다른 글
| CVE-2014-8439 Vulnerability: Trend Micro Solutions Ahead of the Game (0) | 2014.12.04 |
|---|---|
| When cookies lead to a DoS in phpMyAdmin CVE-2014-9218 (0) | 2014.12.04 |
| "Masque Attack '에서 밝혀졌다 다른 문제점 : 정보가 암호화되지 않은 iOS 응용 프로그램을 확인 (0) | 2014.12.03 |
| 유럽 통신 기업에 표적 공격에 사용 된 악성 프로그램 "Regin"그 방법을 설명 (0) | 2014.12.03 |
| 표적 형 사이버 공격을 효과적으로 대응하기위한 4 단계 (0) | 2014.12.03 |