지난 4월 15일에 국내 스마트폰 이용자들에게 배포된 스미싱 문자메시지 중 구글코드 서비스로 연결되는 악성앱이 발견되었다. 이 악성앱은 Bit.ly 단축 URL 서비스를 이용하기도 했고 스미싱 문자내용처럼 조작된 유사 도메인을 사용하기도 했다. 최종 연결되는 사이트는 악성파일 유포목적으로 만들어진 특정 구글코드 사이트로 접근하는 것으로 밝혀져 주의가 요구된다.
 
잉카인터넷 대응팀 관계자는 “혹시 이와 유사한 문자메시지를 수신할 경우 내용에 포함되어 있는 단축URL 주소를 클릭해 앱을 설치하지 말고 해당 문자화면을 캡처해 잉카인터넷 대응팀(erteam@inca.co.kr)으로 이미지를 첨부해 제보해 주면 분석 후에 신속하게 악성여부 등의 결과를 통보해 줄 수 있다”고 주의와 신속한 제보를 당부했다.
 
hxxp://d*******.googlecode.com/*****/R.23.6688.apk
hxxp://b*****.googlecode.com/*****/R.27.550.apk
 
현재까지 두개의 구글코드 사이트가 확인된 상태이다. 일부 APK 안드로이드 악성앱의 경우 500 여명 이상이 다운로드한 상태로 추정된다.

 
이와 함께 해당 구글코드 사이트에는 "dkheitong.rar"라는 파일도 존재하는데, 이것은 중국에서 만들어진 백도어 종류의 하나인 DarkShell 악성프로그램이다.
 
사이버 범죄자는 윈도우용 악성프로그램도 함께 사용하고 있다는 증거이며, 다양한 사이버 범죄에 악용될 수 있어 주의해야 한다.
 
잉카인터넷 대응팀은 “국내에 전파 중인 스미싱 사기문자를 집중 모니터링하고 있다. 최근 그 수법이 진화에 진화를 거듭하고 있는데, 초기에 많이 사용되었던 모바일 이벤트 쿠폰 사칭방법은 다소 적어진 반면, 결혼식이나 동창회, 돌잔치 심지어는 법원 경매 강제집행 내용 등 스마트 폰 이용자들이 쉽게 현혹될 수 있는 문구가 사용되고 있다”며 “특히 모바일 보안제품이나 유명 기업의 서비스처럼 위장한 형태가 증가하고 있어 이용자들의 각별한 주의가 요구된다”고 밝혔다.
 
더불어 “현재 스미싱 사기범죄는 휴대폰 소액결제사기형태가 주류를 이루고 있으며, 주로 안드로이드 운영체제 기반의 스마트폰 사용자가 표적이 되고 있다. 스미싱으로 발견되는 대부분의 악성파일은 APK라는 안드로이드 악성앱 파일을 설치하도록 유도하고 있다는 점을 명심해야 한다”며 “신뢰하기 어려운 문자메시지를 수신할 경우 내부에 포함된 인터넷 주소로의 접근을 자제하는 보안습관이 중요하다. 특히, 최근에는 윈도우용 악성파일을 사용하는 제작자가 안드로이드 악성앱도 동시에 사용하고 있는 정황이 포착되는 등 사이버 범죄자들이 다양한 멀티 플랫폼을 사용하고 있다는 것을 증명하고 있다”고 덧붙였다.
 
안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징해 위장하는 경우, 추가 악성앱을 몰래 다운로드해 설치하는 경우도 발견되고 있어 모바일 보안 제품으로 전체검사를 수시로 수행해 보는 것이 좋다고 한다.
 
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com