분석 정보/모바일 분석 정보

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장 (Update #05)

TACHYON & ISARC 2013. 1. 16. 13:59
1. 안드로이드 악성앱을 이용한 스마트 뱅킹 피싱 현실화


국내 시중은행의 스마트 뱅킹용 안드로이드 앱으로 위장한 피싱용 악성 앱이 구글 플레이 공식 마켓에 등장하였다. 이번에 보고된 안드로이드 악성앱은 국민은행, 우리은행, 새마을금고, 기업은행, 농협의 스마트 뱅킹 프로그램으로 사칭하였고, 실행 시 "안전을 위한(OTP)무료가입이벤트!" 라는 가짜 메시지 창을 보여준다. 그 이후에 실제 금융사이트 도메인과 유사하게 모방한 가짜 피싱 사이트로 접속을 유도하여, 개인 금융정보를 입력하도록 유혹한다. 기존 PC환경에서 이뤄졌던 금융보안 위협이 모바일 환경으로 번져가고 있다는 것을 알 수 있다. 특히, 이번에 발견된 악성앱의 경우 국내 모바일 은행, 증권, 쇼핑 등의 앱 사용시 온라인모드에서 연동실행되며, 단독으로는 작동되지 않는 "V3 Mobile Plus 2.0" 보안 제품처럼 교묘히 위장한 형태가 함께 발견되었다.

"Lead Team" 이라는 동일한 등록자에 의해서 유포된 것이 주목된다. 제작자는 이미 국내 금융거래시 진행되는 보안절차를 사전에 대략 파악하였던 것으로 추정되며, 이용자들이 직접 해당 보안앱을 찾아 설치할 수 있다는 심리를 역이용했던 것으로 보인다.


"ZHANG MENG", "WALERIAKOWALCZYK" 이라는 등록자에 의해서 피싱용 가짜 앱이 공식마켓에서 추가 발견되었다. (2013년 01월 16일 추가발견)

 

 


"Kyle Desjardins" 이라는 등록자에 의해서 피싱용 가짜 앱이 공식마켓에서 추가 발견되었다. (2013년 01월 17일 추가발견)


0123456789




2. 스마트 뱅킹 위장 악성 앱 정보

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

해당 악성 앱들은 구글 플레이(Google play) 공식 마켓에서 여러가지 형태가 배포되었으며, 설치된 화면은 다음과 같다. 구글 공식 마켓에서도 안드로이드 기반의 악성 앱이 얼마든지 배포될 수 있다는 점을 유념하고, 제작사나 배포자에 대한 다양한 정보를 꼼꼼히 살펴보고 설치하는 보안의식과 습관이 필요하다.

 


각각의 설치 아이콘은 금융 전용앱과 금융연동 보안 앱(V3+)으로 교묘하게 위장하고 있지만 모두가 악성 안드로이드 앱이다. 

"V3 Mobile Plus" 제품으로 위장한 V3+ 아이콘을 실행하게 되면 "해킹 방지시스템이 작동되였습니다.!" 라는 허위내용의 알림 메시지를 보여주고, [확인]버튼을 누르게 되면 바로 종료된다. 그 이후 사용자의 동의없이 감염된 스마트폰의 전화번호를 해외에 위치한 특정서버로 유출시킨다.

악성 앱의 배경화면으로 사용된 이미지는 실제 구글 플레이 마켓에 등록되어 있는 V3 Mobile Plus 2.0 캡처화면을 악용하였다.
https://play.google.com/store/apps/details?id=com.ahnlab.v3mobileplus


금융 전용앱으로 위장된 아이콘을 실행하면 다음과 같이 각각 알림 메시지 창을 띄우고, "안전을 위한(OTP)무료가입이벤트!" 라는 동일한 내용을 보여준다.

 





대표적으로 국민은행 스마트뱅킹 앱으로 위장된 내용을 좀더 구체적으로 살표보면 아래와 같고, 뒷 배경으로 사용되는 화면은 단순 JPG 이미지 형태로 악성파일 내부에 리소스로 존재한다.

 
먼저 알림 내용의 [확인] 버튼을 클릭하게 되면 다음과 같이 국민은행 도메인처럼 조작된 피싱 사이트로 연결을 시도한다.
 


인터넷 사이트 주소를 자세히 보면 kbstar.com 뒤로 -1-2-3-4-5-6-7-8-9-0.com 이라는 또 다른 피싱 주소가 포함된 것을 볼 수 있다. 다시 사이트로 접속이 되면 전용브라우저를 사용하여야만 이용이 가능한 서비스라는 내용으로 사용자의 확인을 요청한다.


[확인] 버튼을 한번 더 클릭하면 다음과 같이 "OTP신청후 이용바랍니다." 라는 메시지를 보여주면서 사용자의 개인정보 입력을 본격적으로 유도하게 된다.


[확인]버튼을 클릭하게 되면 다시 한번 다음과 같은 메시지를 보여주면서 국민은행 고객센터처럼 조작된 피싱사이트 화면을 보여주게 된다.

http://kbstar.com-1-2-3-4-5-6-7-8-9-0.com
-------------------------------------------------------
전용 브라우저를 사용하여야만 이용이 가능한 서비스입니다.
[확인]을 선택하시면 전용 브라우저가 실행(설치)됩니다.


이어서 [확인]버튼을 계속 클릭하게 되면 다음과 같이 개인정보를 입력하도록 요구하는 피싱화면이 보여지게 된다.


웹 사이트의 소스코드를 확인해 보면, 브라우저의 접속 조건에 따라서 모바일용으로 선택적으로 보여지게 된다.


실제 해당 피싱 사이트는 스마트 폰 이용자를 노린 모바일 형태 뿐만 아니라 컴퓨터용 피싱 화면도 함께 사용하고 있다. 해당 사이트로 정상적으로 접속이 이루어지면, 다음과 같이 "전자금융사기 예방서비스 (OTP)무료 가입이벤트!" 라는 내용을 보여주면서 사용자를 현혹시킨다.


OTP 무료 가입 이벤트 화면부분을 클릭하게 되면 "OTP신청후 이용바랍니다." 라는 내용을 보여주고, 이후에 다시 국민은행 고객센터처럼 조작된 페이지를 열어, 성명과 주민번호 등을 입력하도록 유도한다. 그런 다음 계속해서 일회용 비밀번호 생성기(OTP) 신청 사이트처럼 조작한 화면을 통해서 개인정보 입력 탈취를 시도한다.


모든 금융정보가 입력된 후 [확인]버튼을 누르게 되면 피싱사이트는 정상적인 국민은행 사이트로 연결페이지를 변경하여 사용자로 하여금 정상적인 절차가 마무리 된 것처럼 보여준다.

3. 마무리

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.FakeV3.A
- Trojan/Android.KRBanker.A
- Trojan/Android.KRBanker.B
- Trojan/Android.KRBanker.C 외 변종 다수 존재

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.