2024-03-29 09:25 (금)
공인인증서 탈취와 악성 금융앱 설치...스미싱 기승
상태바
공인인증서 탈취와 악성 금융앱 설치...스미싱 기승
  • 길민권
  • 승인 2014.10.21 03:36
이 기사를 공유합니다

‘확인바랍니다.me2.do’ 스미싱 문자 이용…악성앱 감염 주의
최근 스미싱 문자를 이용한 안드로이드 악성앱 유포에 me2.do 단축 URL 주소가 활발하게 사용되고 있다. 특히 파일 다운로드 이전 단계에서 통신사, 휴대폰 번호, 주민등록번호를 추가적으로 수집하는 형태가 지속적으로 발견돼 이용자들의 각별한 주의가 요구된다.
 
보안블로그 운영자 ‘울지않는 벌새’는 “최근 유포 사례는 택배 반송 처리, 민사소송 접수 등과 관련된 문구가 포함된 "○○○ 확인바랍니다.me2.do/FRpaox**" 패턴으로 수신되는 스미싱 문자를 분석해 봤다”며 “스미싱 문자에 포함된 me2.do 단축 URL 주소를 클릭할 경우 “GET IT ON Google play", "AVAILABLE ON THE App Store" 바로가기 버튼이 존재하는 특정 웹 사이트로 연결이 이루어진다”고 설명했다.  
 
울지않는 벌새의 분석 내용에 따르면, 바로가기 버튼에서는 안드로이드, 아이폰으로 분류되어 있지만 실제 아이폰 환경을 표적으로 한 악성앱은 존재하지 않고 양쪽 모두 모 웹 사이트로 연결이 이루어진다.
 
연결된 페이지에서는 가입 통신사, 휴대폰 번호, 주민번호를 입력한 후 ‘서류접수확인’ 버튼을 클릭하도록 유도한다.
 
해당 양식에 개인정보를 입력한 후 확인 버튼을 클릭할 경우 공격자 서버에 정보가 전송되어 수집이 이루어지고 있으며 이후 자동으로 특정 웹 서버로 연결이 이루어진다.
 
연결된 웹 서버에서는 자동으로 APK 악성앱 설치 파일이 다운로드 되며, 사용자가 다운로드된 파일을 실행할 경우 악성앱 설치가 진행된다.

 
설치되는 "Android." 악성앱은 연락처 및 SMS 문자 메시지 정보 확인, 바로가기 아이콘 설치/삭제, 실행 중인 애플리케이션 검색, 백그라운드 프로세스 종료, 시스템 경고창 생성 등 다양한 동작을 수행할 수 있는 권한을 가지고 있다.
 
설치가 이루어진 후 바탕 화면에는 "Android." 바로가기 아이콘이 생성되며 사용자가 악성앱을 실행할 경우 바로가기 아이콘은 자동 삭제 처리되어 백그라운드 방식으로 지속적으로 동작한다.
 
"Android." 악성앱 실행시 "Naver Android App." 이름으로 화면 잠금 기능을 제어하기 위해 기기 관리자 활성화를 요구하고 있다.
 
악성앱이 정상적으로 설치가 이루어진 상태에서는 홍콩에 위치한 "113.10.137.8" C&C 서버와 통신해 연락처 정보를 비롯한 "/mnt/sdcard/NPKI" 폴더에 저장된 공인인증서 파일이 자동으로 외부로 유출될 수 있다.
 
또한 감염된 스마트폰에 설치된 애플리케이션을 검색해 모바일 뱅킹에 사용되는 특정 금융앱이 설치되어 있는 경우 "새로운 업데이트가 있습니다", "최신버전으로 보안강화 하시기 바랍니다", "새로운 업데이트가 있습니다. 보다 더 안전한 스마트뱅킹을 사용하기 위하여 최신버전을 다운받으시기 바랍니다."와 같은 메시지 창이 생성되어 추가적인 악성앱 다운로드를 유도할 수도 있다.
 
해당 악성앱의 경우에는 NH 스마트뱅킹(nh.smart), 신한S뱅크-신한은행 스마트폰뱅킹(com.shinhan.sbanking), 하나N Bank-하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank), 우리은행 원터치개인뱅킹(com.webcash.wooribank) 4종의 금융앱을 체크해 다음과 같은 추가적인 악성앱 다운로드가 이루어질 수 있다.
•KR_NHBank.apk (SHA-1 : 7333df0095e4ed1a84dee9edce3740f0e1b74336) - AhnLab V3 모바일 : Android-Malicious/SMSstealer
•KR_SHBank.apk (SHA-1 : e964cb9064baae153d9c8bcd2ffa463cdd4db9a3) - AhnLab V3 모바일 : Android-Malicious/SMSstealer
•KR_HNBank.apk (SHA-1 : 974be9c941121b34fab3d89b78f27445aa2334fa) - AhnLab V3 모바일 : Android-Malicious/Bankun
•KR_WRBank.apk (SHA-1 : 9860d33cb8a59612c7059192680626f4b9bb1715) - AhnLab V3 모바일 : Android-Malicious/SMSstealer
 
울지않는 벌새는 그 중에서 테스트에서는 우리은행 모바일 뱅킹앱이 설치된 경우를 가정해 상세히 설명했다.

 
추가로 다운로드된 가짜 우리은행 악성앱 "원터치개인"을 설치시 하드웨어 제어 기능 및 시스템 경고 표시 권한이 포함되어 있다.
 
가짜 우리은행 악성앱이 설치된 경우 정상적인 우리은행 금융앱(원터치개인)과 비교를 위해 함께 설치된 모습을 살펴보면 애플리케이션 이름은 동일하지만 바로가기 아이콘 모양은 다를 수 있는 것을 알 수 있다. 하지만 단순히 애플리케이션 이름과 아이콘 모양으로는 악성 여부를 판단하기는 불가능하다.
 
가짜 우리은행 악성앱을 실행할 경우 실제 동작하지 않는 안랩 V3 Mobile Plus 2.0 보안앱이 실행되는 것처럼 화면을 구성해 사용자 눈을 속이고 있다.
 
다음 화면에서는 공지 사항을 생성해 "금융감독당국 정책에 의거 전 금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스 전면시행을 아래와 같이 안내하오니,사전에 연락처 정비 및 서비스 가입을 부탁드립니다.연락처 정비 및 서비스를 미가입한 경우 본인확인절차 강화대상금융거래가 중단될 수 있습니다."라는 문구를 통해 개인 정보 및 금융 정보를 양식에 따라 작성하도록 유도한다.
 
다음 단계에서는 공인인증서 추가를 통해 제시되는 양식에 따라 계좌 정보 및 비밀번호, 보안 카드 전체를 입력하도록 제작된 악성앱을 통해 정보를 수집하여 금융 피해를 유발할 수 있다.
 
울지않는 벌새는 “스미싱 문자를 통해 설치된 악성앱을 1차적으로 삭제해 추가적인 악성앱 다운로드를 예방해야 한다. 또 모바일 뱅킹을 위해 사용하는 금융앱이 악성앱으로 변경되었을 수 있기 때문에 함께 제거를 해야 한다”고 강조했다.
 
또 “안드로이드 스마트폰 사용자를 대상으로 한 스미싱 문자를 이용한 악성앱 유포는 지속적이고 다양한 문구로 이루어지기 때문에 문자를 통해 APK 파일 다운로드 및 설치를 유도하는 경우에는 무조건 의심해야 한다”고 덧붙였다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★