3월말 기승부리던 공유기 DNS 변조 조직 재등장...악성앱 설치와 계정탈취 등 공격

[보안뉴스 원병철 기자] 지난 3월 말 기승을 부리던 공유기 DNS 변조 악성앱을 이용한 공격이 다시 기승을 부리고 있다. 7일 다수의 보안전문가들은 무선공유기 DNS 변조를 통한 악성앱이 다시 유포되고 있다면서 특히 공공장소에서의 와이파이(Wi-Fi) 사용시 주의할 것을 당부했다.


현재 유포중인 악성앱은 ‘chrome2.0.4.apk’로 바이러스 토탈(virustotal) 확인 결과 대부분의 백신 프로그램이 오늘 날짜로 업데이트됐다는 것을 알 수 있다. 또한, 프로그램마다 진단명이 다르긴 하지만, ‘Android’와 ‘HiddenApp’이 공통으로 들어가 있다는 사실을 확인할 수 있다. 

위협정보대응 전문 서비스를 제공하는 제로써트(ZeroCERT) 측은 7일 오후 “잘 알려졌던 무선 공유기 DNS 변조를 통한 악성앱이 다시 활동을 개시했다”면서, “취약한 무선 공유기 설정을 변조하는 공격으로 핸드폰 등 모바일 기기로 인터넷을 이용할 경우 악성앱 설치는 물론, 계정 탈취 등 다양한 피해가 발생할 수 있다”고 설명했다. 

특히, 제로써트 측은 구글과 네이버, 다음과 네이트 등 사용자 접속이 많은 사이트를 대상으로 하고 있다며 악성앱 유포에 악용되고 있는 공유기들은 구글 검색만으로도 쉽게 확인할 수 있으며, 비밀번호 설정이 되지 않았거나 디폴트 패스워드를 사용하는 공유기들은 언제든지 악용될 수 있다고 강조했다. 

망고스캔을 운영 중인 보안전문기업 MDsoft도 이전에 자주 사용되던 DNS 변조 공격으로 안드로이드 사용자를 대상으로 대량 감염시도를 한 정황이 포착됐다고 경고했다. 또한, 이번 공격은 유무선 공유기의 DNS 변조를 통해 사이트를 접속하면, 브라우저 업데이트와 보안강화 등을 이유로 앱 설치를 유도해 사용자 스마트폰에 악성코드를 감염시키는 방식으로 이뤄지고 있다고 설명했다.

제로서트 측은 카페 등 공공장소에서 와이파이를 연결해 인터넷을 이용할 경우 각별한 주의가 필요하며, IoT 시대를 맞아 악용되거나 방치된 공유기나 장치들에 대한 정부차원의 대책 마련도 시급하다고 강조했다.

출처:http://www.boannews.com/media/view.asp?idx=54174