본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

iPhone 4.1 탈옥 도구를 가장한 패스워드 유출 악성코드 주의

보안공지 2010-09-27

안녕하세요 이스트소프트 알약보안대응팀입니다.
아이폰 iOS 4.1 버전의 탈옥(Jailbreak) 도구를 가장한 파일에 패스워드를 유출시킨 후 미국 시카고에 위치한 서버로 전송하는 악성코드가 발견되어 사용자들의 주의가 요구됩니다.


아이폰 iOS 4.1 탈옥 수행을 가장한 파일에 악성코드가 내장되어 있으며, 이들 악성코드가 주로 MSN 메신저와 Google Talk, 아웃룩, IE의 자동 완성 패스워드 등을 유출해 미국 시카고에 위치한 서버로 전송하는 역할을 수행합니다. 주로 P2P 파일 공유 프로그램과 블로그, 홈페이지 등을 통해 유포되는 이번 악성코드는 아이폰 4.1의 탈옥을 시도하려는 사용자가 첨부된 파일을 실행했을 때 가짜 아이폰 탈옥 프로그램이 함께 실행되면서 PC에 설치됩니다. PC에 설치된 이후에는 MSN 메신저와 Google Talk, 아웃룩, IE의 자동 완성 패스워드들을 유출해 미국 시카고에 위치한 서버로 전송시킵니다. 특히 악성코드 제작자가 아이폰 4.1의 탈옥 여부를 증명하기 위해 증거 동영상과 사진 캡쳐를 올려둔 치밀한 점도 보였지만, 실제 다운로드 받은 파일에서는 이른바 벽돌 상태의 아이폰을 복원시키는 가짜 탈옥 프로그램으로 드러났습니다.


현재 이들 악성코드에 대한 진단 및 치료(진단명 : V.TRJ.Infostealer.ip. 18764288) 기능을 알약을 통해 제공하고 있으며, 미국 시카고에 위치하고 있는 패스워드 수집 서버의 접속 차단을 한국인터넷진흥원(KISA)에 요청한 상태입니다.


아이폰과 같은 스마트폰에서의 탈옥이 여러 앱(App)들을 제한 없이 사용할 수 있게 만들지만 그만큼 악성코드 감염될 수 있는 위험 역시 함께 증가합니다. 이번 사례처럼 탈옥을 시도하는 과정에서 악성코드에 노출될 가능성이 높으므로 되도록 스마트폰의 탈옥(Jailbreak)를 삼가 해야 합니다. 또한, 반드시 알약을 설치하여 DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 해주시기 바랍니다.



아이폰 4.1 탈옥(Jailbreak) 도구를 가장하여 탈옥 과정을 설명하고 있는 사이트

<아이폰 4.1 탈옥(Jailbreak) 도구를 가장하여 탈옥 과정을 설명하고 있는 사이트>



패스워드 전송 서버의 위치 - 미국 시카고

<패스워드 전송 서버의 위치 - 미국 시카고>


 

[치료방법]


1) 알약 사용자께서는 DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 시켜주시기 바랍니다.
2) 현재 알약에서는 해당 악성코드 파일들을 V.TRJ.Infostealer.ip. 18764288로 진단하고 있으며, 제거가 가능합니다. 이미 감염된 PC에서는 반드시 알약을 설치하여 최신 DB로 업데이트 한 후 기본/정밀 검사를 실시해야 합니다.


[예방방법]


1) 알약 DB 업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다