PokemonGO에 해당하는글 3




포켓몬고의 인기는 가히 경이로운 수준이다. 포켓몬고는 미국 앱스토어 무료앱 1위를 차지하고있으며 안드로이드 기준으로 유명 소개팅앱 Tinder보다 2배 많이 설치됐다. 일부 조사에 따르면 포켓몬고 일일 사용자수는 트위터와 비슷한 수준이라고 한다. 포켓몬고의 선풍적인 인기는 사이버범죄에도 영향을 끼쳤으며 얼마 지나지 않아 다양한 범죄수법이 개발됐다.



1. 포켓몬고 개발사 Niantic은 앱 자체는 무료 제공하지만 사용자가 PokeCoin이라는 가상통화를 구매하도록 하여 수익을 올린다. PokeCoin은 희귀 포켓몬을 부화시킬 수 있는 알이나 포켓몬을 유혹할 수 있는 아이템 등을 구매하는 데 쓰인다. 사이버범죄자들은 PokeCoin을 제공하는 설문조사를 만들어냈다. 사용자가 설문조사 사이트를 클릭하면 포켓몬고 사용자이름과 원하는 코인의 금액을 입력하고 인증절차를 거치게 되는데 이 과정이 완료되도 PokeCoin은 제공되지 않으며 대신 범죄자 측에서 수익을 올릴 수 있는 불량 프로그램에 가입되게 된다.


2. 포켓몬고는 아직 몇몇 국가에서만 제공되기 때문에 수많은 사람들이 인터넷을 통한 다운로드를 시도하고 있으며 이로 인해 사이버범죄자의 표적이 되고 있다. 인터넷에서 다운받은 가짜 포켓몬고 앱은 실제 앱과 똑같이 생겼지만 사실은 범죄자 측에서 사용자 휴대전화에 접근할 수 있도록 하는 맬웨어다.


3. 가짜 이메일을 포켓몬고 사용자에게 전송하여 24시간 내에 13달러짜리 포켓몬고 유료버전에 등록하지 않으면 계정이 정지된다는 허위정보를 제공하여 돈을 뜯어낸다. 이메일 내용은 다음과 같다. 포켓몬고에 대한 폭발적인 반응으로 인해 서버 증설이 필요하여 향후 계정에 대한 무료서비스를 지속할 수 없게 됐습니다. 24시간 내 유료버전으로 업그레이드하지 않을 경우 계정이 정지됩니다. 한편 이메일에 첨부된 링크는 사용자의 이메일 비밀번호와 신용카드 계좌정보를 탈취하도록 설계된 제3자 서버로 연결된다.



포켓몬고 사기방지요령

• 포켓몬고를 인터넷에서 다운받지 말 것

• 포켓몬고 계정에 대해 강력한 비밀번호 사용

• 스마트폰 펌웨어 최신여부 확인

• 포켓몬/Pokemon이라는 단어가 들어간 이메일은 열지 말 것




VIPRE Security News, Don’t Let Pokémon Scammers Say ‘Gotcha’ at Your Expense, 8. 2. 2016.

https://blog.vipreantivirus.com/security-news-room/dont-let-pokemon-scammers-say-gotcha-expense/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.04 13:33


세계적으로 수백만 명이 즐기는 게임으로 크게 성공한 포켓몬고(Pokemon Go)의 iOS 앱에 보안취약점이 있었던 것으로 밝혀졌다.


포켓몬고를 실행하려면 구글이나 pokemon.com 웹사이트에서 계정을 생성해야 한다. 그런데 pokemon.com 웹사이트의 경우 서버 과부하 때문인지는 확실하지 않지만 신규 가입이 진행되지 않는다. 그러므로 구글 계정을 만들어야 하는데 여기서 문제가 생긴다.


게임이 출시되고 나서 이틀 뒤 보안전문가 Adam Reeve가 블로그를 통해 이 문제를 최초로 제기했다. Reeve에 따르면 포켓몬고 그리고 제작사 나이앤틱(Niantic)이 자신의 구글 계정 무제한으로 접근할 수 있었다고 한다. 다행히도 이 문제는 iOS에서만  발생하힌ㄷ디 ㅠㅔㅁ으로 보이며 안드로이드 앱의 경우 계정정보에 대한 접근을 따로 요청하지 않는다.



제한 없는 접근이 승인될 경우 포켓몬고와 나이앤틱이 실행 가능한 행동은 다음과 같다.


• 사용자 이메일 열람

• 사용자 이름으로 이메일 전송

• 구글드라이브 문서 접근 및 변경 가능

• 구글포토에 보관된 모든 사진 접근 가능



업데이트


나이앤틱은 여러 보도채널을 통해 다음과 같이 밝혔다. "나이앤틱은 최근 iOS 포켓몬고 계정생성과정에서 사용자 구글계정에 대한 무제한 접근을 요청하는 오류가 발생한다는 사실을 발견했다. 하지만 포켓몬고가 실제 접근하는 부분은 구글 기본프로필(사용자 ID 및 이메일주소)에 국한되며 구글계정의 다른 정보에 대한 수집이나 접근은 없었다. 포켓몬고나 나이앤틱이 실제 사용하는 데이터에 맞도록 기본 구글프로필 정보에 대해서만 승인을 요청하도록 클라이언트 수정을 시작했다. 구글은 조만간 포켓몬고 승인수준을 포켓몬고가 실제로 필요로 하는 기본프로필에 대해서만 승인을 요청하게 되며 사용자들이 따로 어떤 조치를 취할 필요는 없다."


나이앤틱은 최근 iOS 포켓몬고를 1.01 버전으로 업데이트했으며 안정성 그리고 중단오류(crash)해결과 더불어 구글계정 접근승인요청의 침습성을 줄이겠다고 약속했다. 해당 업데이트는 애플 앱스토어를 통해 설치할 수 있다.




VIPRE Security News, Pokemon Go: the Security Flaw and the Fix, 7. 14. 2016.

https://blog.vipreantivirus.com/uncategorized/pokemon-go-security-flaw-fix/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.18 15:52



근래 출시된 증강현실 모바일게임 포켓몬고(Pokemon Go)의 인기가 뜨겁다. 게임의 인기와는 대조적으로 막상 게임이 정식 출시된 국가는 몇 안 되며 따라서 게임을 즐기기 위해 구글 플레이나 애플 앱스토어 등 정식 채널이 아닌 다른 경로를 통해 게임을 구하려는 시도가 많아질 수 있다.

 

이는 보안 측면에서 문제가 될 수 있는데 물론 구글 플레이나 구글 플레이스토어 역시 맬웨어 위협이 완전히 없다고 할 수는 없지만 적어도 외부 앱마켓에 비해서는 상대적으로 안전한 편이다. 반면 구글의 심사를 거치지 않고 누구나 무슨 앱이든 등록할 수 있는 외부 앱마켓을 통한 앱 다운로드는 그 안전을 보장하기 어렵다. 실제로 포켓몬고 정식 앱을 해킹하여 맬웨어를 주입한 악성앱으로 개조한 사례가 벌써 발견되는 등 포켓몬고의 인기가 사이버범죄에 악용되기 시작했다.


 

 

포켓몬고 악성코드

 

여기에서 소개하는 포켓몬고 위장 악성앱은 안드로이드 스파이웨어/RAT/봇툴킷 등을 통해 겉으로는 정상적으로 작동하면서 원본 앱과 똑같아 보이지만 내부에 악성코드를 숨기고 있다. 이 맬웨어에는 2014년 밝혀진 원격제어툴 SandroRAT의 이름에서 따온 Andr/SandRat-C라는 이름이 붙여졌다.

 

참고: 스파이웨어(spyware)란 사용자의 전화통화, 문자메시지, 웹브라우징 등 온라인활동 정보를 탈취하는 맬웨어를 의미한다. RAT는 원격접속 트로이목마(remote access Trojan)의 약자로 주로 사용자의 웹캠을 해킹하는 맬웨어를 가리킨다. (bot)은 좀비(zombie)라고도 하는 원격제어툴로 공격자는 이 맬웨어가 설치된 다수의 감염기기 전체에 일괄적으로 명령을 전송하여 데이터탈취, 메시지 대량전송, 트래픽 과부하에 의한 디도스(분산서비스거부; distributed denial of service, DDoS) 공격 실행 등을 행할 수 있다.

 

여기서 심각한 문제는 사용자가 이 악성앱을 정식 앱과 구분해 낼 수 있는가이다. Andr/Sandrat-C는 유명한 앱의 겉모양과 행동양상을 모방하여 사용자를 혼동시키는 수법에 머무르지 않고 정식 앱 자체에 백그라운드 구동 스파이웨어 코드만 주입하고 나머지는 그대로 뒀기 때문에 정식 앱을 모방한 게 아니라 동일하게 구현하되 내부에 약간의 변형만 가한 경우에 해당한다. 아래 그림을 보면 정식 앱과 악성 앱의 차이점은 전혀 발견되지 않는다.


 

Andr/SandRat-C의 정체는 바로 정식 앱과는 달리 백그라운드에서 구동되는 악성기능이 다양하게 들어간 데서 발견할 수 있다. 이들 기능은 보안승인을 필요로 하지만 이러한 승인절차는 실질적으로 효과적인 보안대책이 될 수 없다. 왜냐하면 정식 포켓몬고 앱의 경우 카메라, 마이크, 위치정보, 외부저장소에 대한 접근을 요청하는데 Andr/SandRat-C보다 악성기능이 다소 제한되는 스파이웨어 트로이목마 또한 동일한 수준의 접근만 승인받아도 제 기능을 할 수 있기 때문이다.


 

Andr/SandRat-C를 디컴파일링하면 정식 포켓몬고 앱과 비교하지 않는다 해도 악성임을 알 수 있다. 아래 그림의 droidjack 항목의 추가요소들은 그 이름이 제시하는 대로의 기능을 수행한다. 하지만 이들 기능이 작동하기 위해 요구하는 승인은 정식 포켓몬고 앱과 비교하여 별 차이가 없기 때문에 안드로이드 개발자 툴을 보유한 사용자조차도 악성코드를 포착하기가 쉽지 않다.


 

특히 정교하게 설계된 스파이웨어는 추가기능이 많지 않고 여기에 이름도 그럴듯하게 붙일 수 있으며 기존의 정상 앱에 추가 코드를 패치로 주입하는 방식을 사용하기 때문에 어플리케이션 패키지에서는 악성코드임을 바로 알아내기 어렵다. 이를 뒤집어 생각해 보면 정식 포켓몬고 앱의 몇몇 구성요소는 전문가 입장에서도 수상해 보이는 부분이 없지 않다. 특히 프로그래밍 환경에서 구성요소에 기이한 이름을 붙이는 경우가 적지 않기 때문에 맬웨어 구성요소 또한 약간의 위장만으로도 자신의 정체를 손쉽게 숨길 수 있는 것이다.




 

 

대처방안

알려지지 않은 앱은 사용하지 않음: 아직 사용자층이 거의 없고 피드백도 빈약한 앱은 사용하지 않도록 한다.

구글 플레이 사용: 구글 플레이 역시 약점이 없다고는 할 수 없지만 그래도 정체불명의 앱이 난무하는 비공식 안드로이드 마켓보다는 안전한 편이다.

안드로이드 안티바이러스 사용: 악성앱이나 신원불명의 앱을 자동으로 차단할 수 있는 모바일보안 솔루션을 사용한다.

업무용 휴대폰 중앙제어: 모바일제어 솔루션을 통해 업무용 휴대전화에 어떤 앱을 허용할지의 여부를 제어할 수 있다.

 

 


Paul Ducklin, Fake Pokémon GO app watches you, tracks you, listens to your calls, 7. 12. 2016.

https://nakedsecurity.sophos.com/2016/07/12/fake-pokemon-go-app-watches-you-tracks-you-listens-to-your-calls/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.15 15:01

위로가기