2024-03-28 17:35 (목)
중국산 안드로이드 악성앱, 한국 상륙 시도!
상태바
중국산 안드로이드 악성앱, 한국 상륙 시도!
  • 길민권
  • 승인 2013.02.26 17:23
이 기사를 공유합니다

금융관련 사기문자 이용해 악성앱 유포…주의!
국내 특정 금융권 자동이체일과 잔액부족, 신용카드 결제일, 성인동영상과 관련된 내용 등으로 위장된 문자메시지가 안드로이드 악성앱 유포에 악용되고, 국내에 다수 전파 중인 정황이 포착됐다.

 
공격자는 매우 다양한 내용으로 문자메시지를 발송했다. 보안서비스 휴대폰 안전을 위해 안전설치 바로가기, 이벤트☆야동 7일무료, 고객님 계좌번호비밀번호 변경완료되었습니다, 고객님![**카드]자동이체일은 25일입니다. 통장잔액 확인, [**은행] 자동이체통장 확인해주세요 잔액이부족합니다 (-480,000) 등의 내용을 사칭한 것으로 드러났다. 악성앱을 유포했던 사이트는 중국에서 도메인이 등록되었으며, 현재는 국내에서 접속이 차단된 상태이다.
 
잉카인터넷 대응팀 관계자는 “해당 중국 도메인에서는 이미 스파이앱 관련 악성 안드로이드 앱을 유포했던 이력을 가지고 있으며, 국내 스마트폰 이용자들의 안드로이드 스마트폰을 감염시켜, 문자메시지를 무단 탈취하여 불법적인 소액결제사기에 악용하거나 개인정보 유출 시도를 위한 목적으로 공격을 수행한 것으로 추정된다”고 설명했다.
 
◇중국산 안드로이드 악성앱 안전지대 아니다!
2월 중순부터 중국의 특정 도메인으로 부터 "hgz.apk"라는 이름의 악성파일이 국내에 다수 전파된 것이 확인되었고 변종도 존재하는 것으로 파악되었다.
 
잉카인터넷 대응팀이 파악한바에 의하면 다양한 형태로 조작되어 국내 이용자들에게 유포되었고, 보통 25일이 기업의 급여일이라는 점 등을 교묘히 악용하여 자동이체나 통장잔액 부족이라는 문구를 사용해 수신자들을 현혹시켰다.
 
사용자가 [설치] 버튼을 클릭해 설치가 완료되면 스마트폰에 "Android SMS Core"라는 이름의 아이콘이 생성된다. 그 이후에 조건에 따라 자신을 숨기기 위한 명령을 통해서 실행아이콘 런처를 숨기게 되어 아이콘 자체가 보여지지 않은 상태로 작동될 수 있다.
 
해당 악성앱은 2개의 리시버와 1개의 서비스로 등록하여 작동하는데, "MyStartupReceiver" 는 재부팅시 "SmsService"를 실행하는 역할을 수행한다.
 
"MySmsReceiver" 리시버는 사용자 스마트폰에 수신되는 문자메시지(SMS) 내용을 감시하며, 문자메시지 발신번호가 +86(중국), +82(한국) 여부를 체크하여 국가번호를 제외한 번호를 저장한 후 발신번호의 시작이 "01"이 아닐 경우 "01333662220" 번호로 발신번호와 문자메시지의 본문내용을 담아 유출시도한다. 더불어 "sendTextMessage()" API 함수를 통해서 감염된 스마트폰 이용자의 전호번호가 함께 유출될 수 있다.
 
또한 메인 액티비티가 실행되면 "安?是否成功"라는 한자 내용을 "18889918537" 전화번호로 문자메시지를 무단발송한다. 해당 한자인 "안장시부성공"이라는 내용은 [설치에 성공했습니까?] 라는 의미를 가지고 있고, 공격자로 하여금 감염현황을 확인하기 위한 용도로 사용된다.
 
잉카인터넷 대응팀은 “해당 악성앱을 추적해 본 결과 이미 2012년부터 중국내에서 마치 스마트폰 보안프로그램처럼 위장한 변종이 다수 전파된 이력을 확인한 상태”라며 “중국의 모바일 보안위협이 한국으로 점차 번져가고 있다는 것을 예상해 볼 수 있다. 이번 악성앱은 소액결제 승인용 문자내역을 훔쳐가거나 사용자에게 수신되는 각종 문자메시지 내역을 갈취해 악용할 소지가 있다”고 경고했다.
 
◇안드로이드 악성앱 감염 예방법
이 업체 관계자는 “소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고, 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요해 보인다”며 “만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고 있다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★