모바일 청첩장 문자메시지로 위장한 악성코드 유포가 확인돼 주의가 필요한 상황이다. 이 악성코드가 설치될 경우 개인정보 및 금융정보를 탈취당해 피해를 입을 수 있다.
 
이번 모바일 청첩장 스미싱을 발견하고 분석 보고서를 데일리시큐에 제보한 한국IT전문학교 이삭, 박명서, 김동현씨는 “이 악성코드 내에는 5개의 악성코드로 인해 여러 피해자의 정보에 맞춘 금융정보 탈취 악성코드를 설치하는 치밀함을 보인 악성코드다”라고 설명했다.

 
해당 URL을 클릭할 시, apk가 자동으로 다운로드 되며 악성코드에 감염되게 된다. 악성코드는 구글 플레이 스토어 아이콘으로 위장해 사용자들의 보안의식의 허점을 파고들고 있다.
 
악성코드가 설치되면, 구글 플레이 스토어와 동일한 아이콘이 생기고, 기기 관리자에 등록한 뒤 어플목록 중 금융관련 어플리케이션(KB스타뱅킹, 신한S뱅킹, NH뱅킹, 원터치개인)으로 위장한 악성코드를 다운하게 된다.
 
Apk는 KB스타뱅킹 어플리케이션으로 위장해 사용자의 개인정보를 유출하는 실질적으로 금융정보를 유출하는 악성어플리케이션이다. 이 어플을 통해 사용자가 입력한 값을 C&C서버로 유출하는 일을 하게 된다.
 
Haohe78.apk는 URL을 클릭했을 때 가장 먼저 다운로드되어 설치되는 어플리케이션이다. 또한 아이스크림 샌드위치 이하버전만 작동되게 설계가 되었다.
 
악성 어플리케이션 유포 목적은 사용자의 금융정보를 유출해 2차, 3차 피해를 노린 것이며 사용자의 이름, 휴대번호, 주민번호, 계좌번호, 계좌 비밀번호, 보안카드 번호수집 등이 유출된다.
 
이번 악성코드와 관련 보다 자세한 분석보고서는 데일리시큐 자료실에서 다운로드 될 수 있다.

<추가 수정 내용>
위 기사에 대해 NTMA연구소에서 악성코드 분석팀 연구원으로 근무하고 있는 김남준씨는 "기사 본문과 분석보고서 내에서 아이스크림 샌드위치 이하 버전에서만 작동하게 설계되었다는 부분이 있는데 이 부분은 AndroidManifest.xml 내에서 minSDKVersion=8이고, targetSDKVersion=15이여서 이 부분에서 아이스크림 샌드위치 이하에서만 작동되게 한 것으로 오해하여 분석보고서가 작성된 듯 하다. 실제로는 안드로이드 버전 8 이하에서는 작동이 되지 않고(대한민국에서 유통되는 휴대폰의 대부분은 이 버전 이상이다), targetSDKVersion은 이 애플리케이션이 아이스크림 샌드위치에 최적화되어 제작되었다는 뜻으로(SDK에서 지원하는 함수가 버전마다 약간씩 다르다) ICS이후 버전에서도 정상 작동한다. 따라서 오류 수정을 부탁한다"고 전해왔다. 

이에 제보자 김동현 씨는 "안드로이드 버젼 8 이상에서만 실행이되고 아이스크림샌드위치에 최적화 되어 설계가 된 것이다. 잘못된 분석으로 제보 드린점 죄송하게 생각하고 수정된 보고서를 다시 보낸다"고 밝혔다. 
 
데일리시큐 길민권 기자 mkgil@dailysecu.com