기존 스마트뱅킹 악성앱 설치용 스미싱 범죄자들이 국내 유명 메신저의 특정 계정을 해킹해 모바일로 로그인되어 있는 상대방에게 안드로이드 악성앱(APK)을 유포시키는 실제 사례가 처름 발견됐다. 기존의 안드로이드 기반 악성앱이 문자메시지를 통해 다량 전파되고 있는 가운데 유명 모바일 메신저로 확대 시도되고 있다는 것이다.
 
잉카인터넷 대응팀 관계자는 “공격자는 국내 모 메신저의 특정 이용자 계정을 도용해서 PC기반에서 로그인했고 로그인되어 있던 모바일 상대방들에게 악성앱을 전파시켰다”며 “실제 네이트온 메신저는 컴퓨터용에서 로그인을 하면 상대방이 모바일로 연결되어 있는지 PC로 로그인되어 있는지 구분할 수 있기 때문에 맞춤형 공격이 가능한 상태”라고 밝혔다.
 
많은 인스턴트 메신저들이 PC와 스마트폰간의 서비스 연동이 이뤄지면서 이용자 계정이 해킹될 경우 모바일 이용자들에게 악성앱을 손쉽게 유포시킬 수 있다. 지난 1월 16일 모 메신저를 이용하고 있던 특정 계정이 해킹되어 마치 음악 다운 앱으로 둔갑한 악성앱이 유포된 정황이 포착됐다.

 
잉카인터넷 대응팀에 따르며, 공격자는 마치 이미 알고 있던 지인인 것 처럼 사칭해서 간단한 인사와 함께 음악을 다운로드할 수 있는 앱이니 설치하라고 유도하는 문구와 함께 "2014MUSIC.apk" 이름의 악성앱을 전파시켰다.
 
해당 앱은 국내 스마트뱅킹용 앱의 설치 유무에 따라 해당 금융사에 매칭되는 악성기능을 선별적으로 설치하는 기능을 가지고 있다.
 
이용자가 해당 악성앱을 받아 클릭하면 구글앱처럼 위장한 아이콘 화면과 위험성이 높은 권한을 다수 확인할 수 있다.
 
또한 기존 여러 악성앱들처럼 기기관리자 기능을 이용해 이용자가 악성앱을 쉽게 제거하지 못하도록 방해한다. 특히, “이건 백신 살해 서비스입니다”라는 내용을 포함하고 있는 것이 특징이다.
 
악성앱은 안드로이드 단말기에 "Google Vx"라는 이름으로 생성되며, 단말기에 따라 일시적으로 화면에 "Google Vx"라는 문구가 보여진다.
 
그리고 추가 실행될 때 다음과 같이 해당 앱이 마치 손상된 것처럼 가짜 문구를 보여주고, 이용자로 하여금 스스로 손상된 파일을 삭제하는 것처럼 보이도록 여러 메시지를 보여준다.
 
그러나 실제 악성앱은 삭제되지 않고 기기관리자 기능을 통해서 계속작동하고 있으며, 이용자의 모바일 개인정보 및 금융정보 탈취를 시도하게 된다.
 
해당 악성앱 내부에는 국내 스마트뱅킹 앱들의 주요 이미지를 사칭한 화면을 포함하고 있다.
 
최근들어 사회적인 분위기와 결합시킨 교묘한 내용의 스미싱이 창궐하고 있다. 문자메시지에 인터넷 주소나 IP주소 등이 포함된 경우 절대로 클릭하지 않는 보안습관이 요구된다.
 
특히, 금융정보 내용과 연말정산, 경찰청 사칭, 택배 및 우편물 내용으로 현혹하는 스미싱이 급증하고 있으니 절대로 속지 않도록 주의해야 한다.
 
잉카인터넷 문종현 팀장은 “안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징해 위장하는 경우, 추가 악성앱을 몰래 다운로드해 설치하는 경우도 발견되고 있으므로, 전용 솔루션으로 전체검사를 수시로 수행해 보는 것이 좋다”고 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com