쿠폰받기 클릭하면 baseDao 악성앱 다운로드 돼
알약 안드로이드를 서비스하는 이스트소프트는 지난 4월 6일부터 알약 안드로이드 30일 무료체험을 가장한 문자를 이용한 스미싱 공격 시도가 확인되었다고 밝혔다.공격자는 ‘Smishing 완벽차단! 알약 안드로이드 출시! 30일 무료체험’이라는 문구와 단축URL을 SMS메시지로 전달한다.
<그림1. 알약 안드로이드 무료체험으로 가장한 SMS메시지>
기존의 스미싱 공격과 달라진 점은 이전에는 단축URL을 클릭 후 바로 악성 APK를 다운로드했다면 이번에 발견된 스미싱 공격은 단축URL을 클릭시 특정 URL로 접속하여 유명 연예인의 광고이미지를 도용한 ‘쿠폰받기’ 배너를 일단 보여주며, 사용자가 해당 배너를 클릭할 경우, baseDao라는 악성앱을 다운로드 및 설치한다.
현재 발견된 케이스의 경우 SMS메시지 내용과 단축URL클릭시 연결되는 배너이미지 내용이 서로 다르지만, 향후에는 발송한 SMS의 내용과 일치하는 배너이미지를 통해 사용자들이 정상적인 이벤트로 착각하게 만들 가능성이 높다.
현재 발견된 케이스의 경우 SMS메시지 내용과 단축URL클릭시 연결되는 배너이미지 내용이 서로 다르지만, 향후에는 발송한 SMS의 내용과 일치하는 배너이미지를 통해 사용자들이 정상적인 이벤트로 착각하게 만들 가능성이 높다.
<그림2. 유명연예인의 광고이미지를 도용한 악성앱 다운로드 배너>
<그림3. 그림2의 배너를 클릭시 baseDao앱이 다운로드/설치됨>
이와 같이 설치된 baseDao앱이 사용자 스마트폰에서 실행되면 고유키를 생성하여 공격자가 사전에 지정한 특정 서버 및 특정 휴대폰으로 수집한 정보를 전송하며, 감염된 스마트폰으로 전달되는 SMS메시지를 가로채서 공격자에게 전달하게 된다. 전송된 정보는 추가적인 스미싱 공격 및 소액결제 사기에 악용되게 된다. 알약 안드로이드에서는 해당 악성앱에 대해 Trojan.Android.SMS.Stech / Trojan.Android.SMS.Stech.Gen으로 탐지하고 있다.
이스트소프트 알약개발부문 김준섭 부문장은 “기존에 직접 악성APK를 내려주던 방식에서 이번에발견된 것과 같이 사용자 특정URL로 접속하게 한 후, 클릭시 악성APK를 내려주고 설치하는 방식으로 형태로 변경된 것은 최근 단축URL 점검기능 및 스미싱 공격에 대응하는 보안기능이 업그레이드되는 것에 대한 공격자들의 우회공격 방식 중의 하나로 추정된다”며, “문자 메시지에 포함된 URL 링크를 통해 직접 앱을 설치하도록 유도하거나 이번 경우처럼 이벤트 페이지를 경유해서 앱을 설치하는 경우는 스미싱 가능성을 의심해야 한다”고 사용자들의 주의를 당부했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
이스트소프트 알약개발부문 김준섭 부문장은 “기존에 직접 악성APK를 내려주던 방식에서 이번에발견된 것과 같이 사용자 특정URL로 접속하게 한 후, 클릭시 악성APK를 내려주고 설치하는 방식으로 형태로 변경된 것은 최근 단축URL 점검기능 및 스미싱 공격에 대응하는 보안기능이 업그레이드되는 것에 대한 공격자들의 우회공격 방식 중의 하나로 추정된다”며, “문자 메시지에 포함된 URL 링크를 통해 직접 앱을 설치하도록 유도하거나 이번 경우처럼 이벤트 페이지를 경유해서 앱을 설치하는 경우는 스미싱 가능성을 의심해야 한다”고 사용자들의 주의를 당부했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
