2024-03-28 18:20 (목)
금융기관 사칭 뱅킹 악성앱, 계속 진화중...주의
상태바
금융기관 사칭 뱅킹 악성앱, 계속 진화중...주의
  • 길민권 기자
  • 승인 2018.03.22 05:27
이 기사를 공유합니다

최근 악성 뱅킹앱, 사용자 직접적 행동 없이도 주소록, 문자 메시지 등 몰래 탈취해 악용

▲ 캐피탈 사칭앱 사례. 주의.
▲ 캐피탈 사칭앱 사례. 주의.
금융기관 앱을 사칭해 기기정보 및 뱅킹 관련 정보들을 탈취하는 악성앱 변종이 지속적으로 확인되고 있어 각별한 주의가 요구된다.

이스트시큐리티 측은 "2013년 이후 그 수량이 감소했지만 여전히 꾸준히 발견되고 있고 그 수법 또한 점점 정교해 지고 있다"며 "일단 이러한 악성앱에 감염되면 중요 금융정보들을 탈취당해 큰 피해를 입을 수 있는 만큼 사용자들의 각별한 주의가 필요하다"고 강조했다.

▲ 뱅킹 사칭 앱 사례.
▲ 뱅킹 사칭 앱 사례.
기존 악성 뱅킹앱들은 은행들을 사칭해 기기정보 및 뱅킹 관련 정보들을 사용자가 직접 기입하도록 유도해 탈취했다.

하지만 최근의 악성 뱅킹앱들은 사용자의 직접적인 행동 없이도 주소록, 문자 메시지를 몰래 탈취하고, 특정 대부업체로 전화를 걸면 이를 자동으로 가로채게 해 공격자가 원하는 번호로 변경하는 행위를 하기 때문에 사용자가 알아차리기 어려워졌다.

이스트시큐리티 분석에 따르면, 처음 앱을 실행하면 캐피탈을 사칭해 신용대출과 관련된 화면이 나타나고 개인정보 입력을 유도한다.

asseets폴더 내부에는 “num.dat”파일과 “image.zip”파일 2개가 있다.

“num.dat”파일에는 특정 대부업체의 번호가 500개 이상이 기록되어 있고 “image.zip”파일에는 50개 이상의 사진 파일들이 있다.

Assets 폴더로부터 500개 이상의 대부업체 전화번호가 적인 파일과 통화와 관련된 사진들을 불러오며, 사용자가 특정 대부업체로 전화를 할 경우 그 전화를 공격자가 의도한 번호로 포워딩하고 사용자를 속이기 위한 가짜 통화관련 사진을 팝업한다.

이 업체는 포털 사이트를 통해 실제로 존재하고 있는 전화번호와 대부업체 임을 확인했다고 전했다.

사용자 디바이스를 감염 시킨 후 디바이스 아이디와 사용자 주소록, 문자메시지를을 탈취하고 xml형태로 저장해 이를 C&C 서버인 “hana101.eocnf961.com (111.223.246.53)”서버로 전송한다.

기기의 통화 상태를 확인하고 기기의 기종에 따라 사용자를 속이는 사진을 팝업 한 후 공격자가 의도한 번호로 포워딩한다. 공격자가 의도한 번호는 C&C서버인 hana101.eocnf961.com(111.223.246.53)를 통해서 받아오는데 현재 이 서버와는 통신이 되지 않아서 해당 번호를 확인할 수 없다

해당 앱은 KB 국민은행 앱을 사칭하고 있는 것으로 조사됐다. 이 악성앱은 ISMS, 휴대폰 번호, SIM 시리얼 번호 등 기기정보를 탈취하며, 사용자들에게 금융계좌와 개인정보 입력 및 보안카드 정보 입력을 유도한다.

이렇게 탈취한 정보들은 종합적으로 저장해 공격자의 C&C서버로 전송하며, 전송 완료 후에는 “success”라는 응답을 받고 앱의 아이콘을 숨긴다.

또한 은행 인증과 관련된 문자 수신 시 문자 내용을 C&C 서버(180.214.163.103 )로 전송한다.

이스트시큐리티 관계자는 "예전 금융 악성앱들은 사용자를 속여 직접 정보를 입력하도록 유도했지만, 최근에 발견되는 금융 악성앱들은 사용자 정보 탈취 뿐만 아니라 사용자 전화를 가로채어 공격자가 원하는 번호로 변경을 하는 등 끊임없이 진화하고 있다"며 "이러한 악성앱들은 주로 SNS 링크나 써드파티 마켓을 통해 유포되므로, 출처가 불분명한 링크 클릭이나 써드파티 마켓에서 앱을 다운로드 하는 것은 위험하다. 또 안드로이드 기기 및 백신을 항상 최신으로 유지해야 한다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★