유명 포털 보안프로그램 사칭한 악성코드 확산… PC·스마트폰 모두 타깃

최근 유명 포털사이트의 보안프로그램 다운로드 안내페이지로 위장한 악성코드가 확산 중이다.
18일 보안업체 안랩은 유명 포털사이트의 보안프로그램 안내페이지를 가장한 피싱페이지에서 악성코드를 유포하고 있다며 사용자들의 주의를 당부했다.

공격자는 피싱페이지에 사용자의 기기환경에 맞는 화면이 나타나도록 피싱페이지를 만든 것이 특징이다. 보안프로그램 설치파일로 위장한 악성코드도 PC에서는 zip파일을, 스마트폰에서는 apk 설치파일을 받도록 설계됐다.


가짜 보안프로그램 설치 페이지에 접속하면 ‘보안 프로그램 다운로드 링크’ 버튼이 나타나도 이를 클릭하면 악성파일이 다운로드된다. 다운받은 파일을 압축해제한 후 실행하면 악성코드에 바로 감염되고 ‘보안프로그램이 정상적으로 설치됐다’는 안내문구가 등장한다. 사용자는 악성코드에 감염됐다는 사실을 인지하기조차 어렵다.

PC가 악성코드에 감염된 후에는 사용자 PC의 IP, 윈도 운영체제 버전 정보, 드라이브 정보 등을 C&C(Command & Control) 서버로 전송한다. 또한 추가 악성코드를 사용자 PC로 다운로드해 악성 행위를 지속 수행한다. 스마트폰에서는 zip파일 대신 apk 설치파일이 등장한다. 이후에는 PC와 같은 방식으로 정보가 유출된다.

이를 예방하기 위해서는 출처가 불분명한 첨부파일 실행을 자제하고 보안이 확실하지 않은 사이트 방문을 자제하는 것이 좋다. 또 웹브라우저와 운영체제를 최신 버전으로 유지하고 백신을 통한 실시간 검사를 실행해야 한다.


박태환 안랩 ASEC 대응팀장은 “포털사이트처럼 신뢰할 수 있는 사이트를 사칭하는 수법은 꾸준하게 등장하는 방식”이라며 “최근에는 PC뿐만 아니라 스마트폰을 타깃으로 하는 악성코드도 제작중인 만큼 스마트폰 사용시에도 출처가 불분명한 링크나 파일은 실행하지 않는 것이 좋다”고 말했다.