스미싱 문자를 통해 경찰청에서 운영하는 가짜 신고민원포털 웹 사이트로 접속을 유도해 안드로이드 스마트폰을 대상으로 한 악성앱을 유포하는 사례가 추가로 확인돼 이용자들의 각별한 주의가 요구된다.

 
해당 내용을 포스팅한 보안블로그 ‘울지않는 벌새’는 “신고민원포털을 이용한 악성앱 유포의 대표적인 특징은 이전과 마찬가지로 자동 입력 방지 문자 기능(CAPTCHA)을 통해 스미싱 감시 보안앱의 탐지를 우회하고 있다는 것”이라고 설명했다.  
 
○○○님[사이버경찰청]사이버수사 인터넷 악플
명예훼손,협박죄로(진정성)확인> bit.do/*****
 
울지않는 벌새에 따르면, 대표적인 스미싱 문자는 사이버경찰청에서 인터넷 악플 관련 수사와 관련된 내용으로 구성되어 있으며, 제시된 단축 URL 주소를 통해 가짜 신고민원포털 웹 사이트로 연결된다.  

 
연결된 가짜 신고민원포털 사이트의 특징은 "*****.oicp.net" 도메인 주소로 등록되어 있으며, 이번에 확인된 사이트는 홍콩(Hong Kong)에 위치한 "210.209.116.226" 서버에 등록되어 있다.
 
또한 해당 사이트에서는 "서류 접수 확인" 버튼을 클릭해 악성앱 다운로드를 시도하고 있으며, "해제는 일주일이내 임의대로 삭제시 사용중지"라는 번역기로 작성한 것으로 보이는 문구가 포함되어 있다.
 
접속자가 "서류 접수 확인" 버튼을 클릭할 경우 랜덤(Random)한 자동 입력 방지 문자(CAPTCHA)가 제시되며, 실제로는 임의의 4자리 숫자만 입력해도 정상적으로 다운로드 되는 구조다.
 
다운로드된 사이버경찰청.apk 악성앱<SHA-1 : 6225b6cf3b223f0c91d1e707707c8b8f574101f2 - AhnLab V3 : Android-Malicious/Bankun, 알약(ALYac) : Trojan.Android.KRBanker (VT : 23/54)>은 드롭박스(Dropbox)에 등록되어 있다.
 
다운로드된 악성앱을 설치할 경우 "사이버경찰청" 앱으로 표시되며 연락처 및 SD카드 접근, SMS 문자 수신/발신, 전화 통화 제어, 바로가기 아이콘 생성/삭제, 실행 중인 애플리케이션 검색 등 다양한 권한을 요구하고 있다.
 
설치가 완료된 시점에서는 "사이버경찰청" 바로가기 아이콘이 생성되며 사용자가 설치된 악성앱을 실행할 경우 백그라운드 방식으로 동작하면서 바로가기 아이콘은 자동 삭제 처리한다.

 
"사이버경찰청" 악성앱 실행시에는 기기 관리자 권한을 활성화(android.permission.BIND_DEVICE_ADMIN)해 사용자가 애플리케이션 삭제를 방해하고 있다.
 
실행된 앱은 "사이버경찰청" 이름으로 등록되어 있으며 "com.cyber110.police110.CoreService" 서비스 이름으로 자동 실행된다.
 
감염된 스마트폰은 연락처에 등록된 정보를 기반으로 유사한 스미싱 문자를 발송해 주변 사람들이 악성앱에 감염되도록 유도할 수 있다.
 
또한 감염된 스마트폰에 설치된 모바일뱅킹 앱을 검색하여 정보를 특정 C&C 서버로 전송하도록 제작되어 있다.
 
만약 모바일뱅킹 앱이 설치된 스마트폰의 경우 강제로 삭제를 하며, "새로운 업데이트가 있습니다. 보다 더 안전한 스마트뱅킹을 사용하기위하여  최신버전을 다운받으시기 바랍니다."와 같은 메시지 창을 생성해 악성앱 다운로드를 유도할 수 있다.
 
이를 통해 홍콩에 위치한 "iii137300.eicp.net (113.10.137.144)" C&C 서버에서 가짜 모바일뱅킹 악성앱을 다운로드를 시도한다.  
 
이번 악성앱의 경우에는 농협, 신한은행, 하나은행, 우리은행을 표적으로 하고 있으며, 해당 모바일뱅킹이 설치되어 있는 경우 다음과 같은 악성앱을 추가로 다운로드할 수 있다.
 
◇농협: KR_NHBank.apk (SHA-1 : c168d50179ba4b9611cdae433c90fb36f9db7317) - AhnLab V3 : Android-Malicious/SMSstealer, 알약(ALYac) : Trojan.Android.KRBanker (VT : 26/54)
◇신한은행: KR_SHBank.apk (SHA-1 : c51a3d1f5135e799f748c9bdbf37f4bd8e0e083e) - avast! : Android:Agent-AXX [Trj], 알약(ALYac) : Trojan.Android.KRBanker (VT : 19/54)
◇하나은행: KR_HNBank.apk (SHA-1 : 2f4b9d6afb247dbf58202eac62801421b838981d) - AhnLab V3 : Android-Malicious/Bankun, 알약(ALYac) : Trojan.Android.KRBanker (VT : 25/54)
◇우리은행: KR_WRBank.apk (SHA-1 : 18511f4d892d723368ff93f55fda5f8eebf982ef) - Kaspersky : HEUR:Trojan-Banker.AndroidOS.Tebak.a, 알약(ALYac) : Trojan.Android.KRBanker (VT : 18/54)
 
울지않는 벌새는 이렇게 설치된 모바일뱅킹 악성앱은 홍콩에 위치한 "58.64.176.105" C&C 서버로 금융 정보와 공인인증서 파일을 전송할 수 있을 것으로 추정된다고 설명했다.
 
다시 사이버경찰청 악성앱으로 돌아와서 감염된 스마트폰은 20초 주기로 C&C 서버와 통신을 시도하며, 수신된 정보를 기반으로 SMS 문자 발송 및 추가 다운로드를 진행할 수 있다.
 
C&C 서버는 중국 사이버 범죄 조직이 운영하고 있으며, kbs.php 값으로 유추해보면 취약점(Exploit) 기반으로 PC를 감염시켜 인터넷뱅킹 정보를 탈취하는 조직이 모바일 환경으로 확장된 것을 알 수 있다.
 
울지않는 벌새는 “사이버경찰청 악성앱에 감염된 환경에서는 애플리케이션에서 삭제할 수 없도록 설정되어 있으므로, 기기 관리자 메뉴에서 사이버경찰청 항목을 비활성화한 후 삭제해야 한다”며 “또한 감염된 스마트폰에 모바일뱅킹앱이 설치되어 있던 경우에는 반드시 모바일 백신을 이용하여 정밀 검사를 하고 공인인증서 및 보안 카드는 모두 폐기하시고 재발급 받아야 한다”고 권고했다.  
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com