공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장
안녕하세요. 이스트시큐리티입니다.
최근 국내 이용자들을 대상으로, 공유기의 DNS를 변경하는 조직의 활동이 더욱 진화된 모습으로 다시 등장했습니다. 이용자들의 주의를 당부 드립니다.
이번 공격은 기존과 마찬가지로 외부에서 악의적인 경로를 통해 보안이 취약한 공유기에 접근하여 DNS를 변경합니다. 그리고 이용자가 모바일 기기로 포털 사이트에 접속하였을 때 악성앱을 다운로드 및 실행을 유도합니다.
그러나 기존 공격과 달리 특이한 점은, 공유기 DNS가 변조된 상태에서 PC에서 국내 포털 사이트에 접속하였을 경우 특정 포털 사이트의 security.html 페이지로 연결됩니다. 그리고 아래와 같이 '죄송합니다. 요청한 웹페이지 잠시 방문할 수 없습니다. QT코드를 적어주세요.'라는 문구를 통해 QR코드를 찍도록 유도합니다.
실제 security.html은 정상 도메인에 없는 페이지입니다. 이는 마치 보안 관련 페이지로 위장하여 사용자를 현혹하고 있습니다.
사용자가 QR코드를 모바일 애플리케이션을 통해 찍으면, m.novel.naver.com/naver.apk 주소로 이동시켜 악성앱을 다운로드하게끔 유도합니다. m.novel.naver.com은 실제로 운영되고 있는 서비스의 도메인이지만, DNS 질의 요청간 공격자가 설정한 악성 DNS 주소로 연결되어 악성앱이 다운로드됩니다.
또한 모바일에서 특정 포털 사이트에 접속할 경우, 메인 화면은 아무런 감염 증상 없이 로딩됩니다. 하지만 메인 화면에서 뉴스, 웹툰, 스포츠 등의 하위 카테고리에 접속할 경우 ‘한층 개선된 Chrome의 최신버전이 출시되었습니다. 업데이트후 이용해주십시오.’ 메시지가 나타나면서 chrome2.0.4.apk이 다운로드 됩니다. 이는 이용자들의 심리를 교묘히 노린 것으로 평가됩니다.
다운로드 된 Naver.apk 및 chrome2.0.4.apk 악성앱을 분석한 결과, 이름 및 애플리케이션 아이콘만 다를 뿐, 실제로 수행하는 기능인 금융 정보 탈취, SMS 정보 탈취 등의 기능은 동일한 것으로 확인되었습니다.