1. 소액결제사기형 스미싱, 스마트뱅킹 피싱과 결합
이 때문에 기존에 자신이 사용하던 정상앱이 악성앱으로 교체되었다는 것을 이용자 스스로가 바로 인지하기는 매우 어렵다. 악성앱은 정상적인 금융앱을 이용자 몰래 삭제하기 위해서 안드로이드 단말기의 루트권한을 획득하며, 기존 한국형 스미싱의 공격 성공율이 낮아짐에 따라 스마트 뱅킹 이용자로 공격범위를 점차 확대하고 있는 것으로 예상된다.
2. 스마트 뱅킹 보안의 지각변동
국내외 안드로이드 운영체제 기반의 모바일 보안위협이 갈수록 심각해지고 있다. 한국 맞춤형 소액결제사기는 2012년부터 최근까지 꾸준하게 이어지고 있어 사회적인 문제로 대두되고 있는 상황이다. 이와 더불어 외산용 안드로이드 악성앱은 이미 오래전에 20만개를 훌쩍 넘어가고 있는 실정이다.
스미싱 문자 형태로 국내에 전파된 이번 악성앱은 기존 안드로이드 기반 스마트폰 이용자를 대상으로 한 소액결제사기 범죄가 가능한 문자메시지 탈취기능은 기본적으로 탑재함과 동시에 스마트폰 단말기에 한국내 시중은행의 스마트 뱅킹용 앱이 설치되어 있는 조건이 성립할 경우 금융 서비스에 필요한 개인정보를 입력하도록 요구하는 피싱용 악성앱으로 교묘하게 바꿔치기 하는 수법이 추가되었다. 기존 컴퓨터 기반에서 유행하고 있는 전자금융사기인 피싱과 파밍 형태가 점차 모바일 보안위협으로 확대 시도되고 있다는 것을 증명하는 사례이며, 초기 공격 모델과는 다르게 기법이 지능적으로 발전하고 있다는 점이 주목되는 부분이다.
악성앱은 다음과 같은 문자메시지 내용으로 불특정 스마트폰 이용자들에게 전파되었으며, 마치 뱅킹서비스와 관련된 서비스처럼 내용을 위장하고 있다. 또한, 보안점검을 보안정검으로 표기하는 등 오타가 포함되어 있기도 하다. (일부 주소 모자이크 처리)
● 휴대폰소액결제서비스 점검 완료 hxxp://xxxxxxxxxxx 안전한 뱅킹서비스 보안정검을 해주십시오
● 폰뱅킹 악성코드 백신 사칭 금융위원회에 업데이트 받고 이용하시기 바랍니다. hxxp://xxxxxxxxxxx
이용자가 문자메시지에 포함되어 있는 특정 웹 사이트에 접근하게 되면 "pvwmdkr.apk" 이름의 안드로이드 악성앱이 다운로드되고, 설치를 시도할 경우 다음과 같은 권한 부여 상황을 확인할 수 있는데, 이례적으로 어떠한 권한 요구도 없는 것이 특징이다.
아이콘은 마치 구글 플레이(Play) 스토어 앱으로 보이도록 위장하고 있지만, 악성앱의 경우에는 별도의 이름은 없이 아이콘만 추가로 설치된다. 아래 화면은 정상적인 구글 플레이 스토어 앱(좌측)과 구글 플레이 아이콘으로 위장한 악성앱(우측)이 동시에 설치되어 있는 화면이다.
악성 APK 파일 내부의 "assets" 폴더에는 "1.apk" ~ "8.apk" 이름으로 총 8개의 스마트 뱅킹앱으로 위장한 악성앱이 포함되어 있다.
각각의 악성앱은 국내 주요 금융권의 모바일 뱅킹앱처럼 위장되어 있고, 금융 서비스에 필요한 개인정보를 입력하도록 화면을 보여주게 된다. 그중 일부 위조된 스마트 뱅킹 화면은 다음과 같다. 악성앱은 감염된 스마트폰에 특정 금융앱이 설치된 경우 루트권한을 획득하여 강제로 삭제하고, 악성앱으로 교묘하게 설치를 하게 된다.
8개의 악성앱은 국내에서 서비스 중인 8개사의 스마트 뱅킹앱으로 위장되어 있고, 디자인만 일부 다르고 모두 동일하게 다음과 같은 금융정보를 입력하도록 유도한다. 보안카드 일련번호 입력을 받은 후에는 보안카드의 전체 번호를 입력하도록 추가 요구한다. 이를 통해서 유출된 정보는 추후 공인인증서 재발급 등을 통하여 개인금융 서비스를 악의적으로 접근할 수 있는 권한을 탈취할 수 있게 된다.
- 이름
- 주민등록번호
- 핸드폰 번호
- 이용자 ID
- 이용자 PW
- 계좌번호
- 계좌 비밀번호
- 자금이체 비밀번호 확인
- 보안카드 일련번호
- 보안카드 전체번호
금융정보가 입력되면 다음과 같이 특정 사이트로 유출을 시도하게 된다.
아래 화면은 보안카드의 전체번호를 입력하도록 요구하고, 입력된 데이터를 외부로 유출시도하는 코드이다.
아래 화면은 루트권한을 획득한 후 정상앱이 설치되어 있는 Data 폴더에 접근하여 사용자 몰래 정상앱을 강제로 삭제하는 기능이다. 이 때문에 이용자는 삭제과정을 볼 수 없고, 악성앱에 의해서 은밀히 정상앱이 악성앱으로 교체된다.
아래 화면은 스마트폰 전화번호부를 탈취시도하는 기능의 코드이다.
아래 화면은 문자메시지를 유출 시도하는 기능의 코드화면이다.
악성앱은 상기 기능외에도 MMS 탈취, SMS 발송, 스마트 뱅킹앱 재설치 여부 확인 등 다양한 기능을 수행하게 된다. 이에 따라 스마트폰 이용자의 개인정보 유출 및 스마트 뱅킹 피싱 등의 피해를 입을 수 있으므로 각별한 주의가 필요하다.
이에 잉카인터넷 대응팀에서는 보안전문기업으로서 차별화되고 전문화된 모바일 보안관제 및 오랜기간 축적된 보안기술을 바탕으로 모바일 백신프로그램과 모바일 스미싱 원천 차단솔루션을 개발하여 일반에 무료로 배포하는 등 사회적 기업으로서 그 역할을 충실히 이행하고 있으며, 10년 이상 글로벌 보안사업을 영위하고 있는 신뢰할 수 있는 보안기업으로서 모범적인 활동을 꾸준하게 이어갈 예정이다.
Trojan/Android.KRBanker 악성앱은 문자메시지(SMS)를 통한 스미싱이나 각종 메신저, 이메일 등으로 특정 사용자를 겨냥하여 표적공격화 되어 전파될 수 있으므로 특별한 주의와 전문적인 방어솔루션이 필요하다. 스미싱기법을 이용한 악성문자는 잉카인터넷 대응팀에서 2013년 05월 09일 출시한 스미싱 원천 차단솔루션 "뭐야 이 문자" 무료 앱을 통해서 유입시점에 완벽하게 사전탐지 및 제거를 할 수 있다.
3. 스미싱 예방법 및 대응책
스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.
안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
이 때문에 기존에 자신이 사용하던 정상앱이 악성앱으로 교체되었다는 것을 이용자 스스로가 바로 인지하기는 매우 어렵다. 악성앱은 정상적인 금융앱을 이용자 몰래 삭제하기 위해서 안드로이드 단말기의 루트권한을 획득하며, 기존 한국형 스미싱의 공격 성공율이 낮아짐에 따라 스마트 뱅킹 이용자로 공격범위를 점차 확대하고 있는 것으로 예상된다.
2. 스마트 뱅킹 보안의 지각변동
국내외 안드로이드 운영체제 기반의 모바일 보안위협이 갈수록 심각해지고 있다. 한국 맞춤형 소액결제사기는 2012년부터 최근까지 꾸준하게 이어지고 있어 사회적인 문제로 대두되고 있는 상황이다. 이와 더불어 외산용 안드로이드 악성앱은 이미 오래전에 20만개를 훌쩍 넘어가고 있는 실정이다.
[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/378
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
☞ http://erteam.nprotect.com/404
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
☞ http://erteam.nprotect.com/378
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/417
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
☞ http://erteam.nprotect.com/414
[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
☞ http://erteam.nprotect.com/400
[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
☞ http://erteam.nprotect.com/409
[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
☞ http://erteam.nprotect.com/404
[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
☞ http://erteam.nprotect.com/377
스미싱 문자 형태로 국내에 전파된 이번 악성앱은 기존 안드로이드 기반 스마트폰 이용자를 대상으로 한 소액결제사기 범죄가 가능한 문자메시지 탈취기능은 기본적으로 탑재함과 동시에 스마트폰 단말기에 한국내 시중은행의 스마트 뱅킹용 앱이 설치되어 있는 조건이 성립할 경우 금융 서비스에 필요한 개인정보를 입력하도록 요구하는 피싱용 악성앱으로 교묘하게 바꿔치기 하는 수법이 추가되었다. 기존 컴퓨터 기반에서 유행하고 있는 전자금융사기인 피싱과 파밍 형태가 점차 모바일 보안위협으로 확대 시도되고 있다는 것을 증명하는 사례이며, 초기 공격 모델과는 다르게 기법이 지능적으로 발전하고 있다는 점이 주목되는 부분이다.
악성앱은 다음과 같은 문자메시지 내용으로 불특정 스마트폰 이용자들에게 전파되었으며, 마치 뱅킹서비스와 관련된 서비스처럼 내용을 위장하고 있다. 또한, 보안점검을 보안정검으로 표기하는 등 오타가 포함되어 있기도 하다. (일부 주소 모자이크 처리)
● 휴대폰소액결제서비스 점검 완료 hxxp://xxxxxxxxxxx 안전한 뱅킹서비스 보안정검을 해주십시오
● 폰뱅킹 악성코드 백신 사칭 금융위원회에 업데이트 받고 이용하시기 바랍니다. hxxp://xxxxxxxxxxx
이용자가 문자메시지에 포함되어 있는 특정 웹 사이트에 접근하게 되면 "pvwmdkr.apk" 이름의 안드로이드 악성앱이 다운로드되고, 설치를 시도할 경우 다음과 같은 권한 부여 상황을 확인할 수 있는데, 이례적으로 어떠한 권한 요구도 없는 것이 특징이다.
아이콘은 마치 구글 플레이(Play) 스토어 앱으로 보이도록 위장하고 있지만, 악성앱의 경우에는 별도의 이름은 없이 아이콘만 추가로 설치된다. 아래 화면은 정상적인 구글 플레이 스토어 앱(좌측)과 구글 플레이 아이콘으로 위장한 악성앱(우측)이 동시에 설치되어 있는 화면이다.
악성 APK 파일 내부의 "assets" 폴더에는 "1.apk" ~ "8.apk" 이름으로 총 8개의 스마트 뱅킹앱으로 위장한 악성앱이 포함되어 있다.
각각의 악성앱은 국내 주요 금융권의 모바일 뱅킹앱처럼 위장되어 있고, 금융 서비스에 필요한 개인정보를 입력하도록 화면을 보여주게 된다. 그중 일부 위조된 스마트 뱅킹 화면은 다음과 같다. 악성앱은 감염된 스마트폰에 특정 금융앱이 설치된 경우 루트권한을 획득하여 강제로 삭제하고, 악성앱으로 교묘하게 설치를 하게 된다.
8개의 악성앱은 국내에서 서비스 중인 8개사의 스마트 뱅킹앱으로 위장되어 있고, 디자인만 일부 다르고 모두 동일하게 다음과 같은 금융정보를 입력하도록 유도한다. 보안카드 일련번호 입력을 받은 후에는 보안카드의 전체 번호를 입력하도록 추가 요구한다. 이를 통해서 유출된 정보는 추후 공인인증서 재발급 등을 통하여 개인금융 서비스를 악의적으로 접근할 수 있는 권한을 탈취할 수 있게 된다.
- 이름
- 주민등록번호
- 핸드폰 번호
- 이용자 ID
- 이용자 PW
- 계좌번호
- 계좌 비밀번호
- 자금이체 비밀번호 확인
- 보안카드 일련번호
- 보안카드 전체번호
금융정보가 입력되면 다음과 같이 특정 사이트로 유출을 시도하게 된다.
아래 화면은 보안카드의 전체번호를 입력하도록 요구하고, 입력된 데이터를 외부로 유출시도하는 코드이다.
아래 화면은 루트권한을 획득한 후 정상앱이 설치되어 있는 Data 폴더에 접근하여 사용자 몰래 정상앱을 강제로 삭제하는 기능이다. 이 때문에 이용자는 삭제과정을 볼 수 없고, 악성앱에 의해서 은밀히 정상앱이 악성앱으로 교체된다.
아래 화면은 스마트폰 전화번호부를 탈취시도하는 기능의 코드이다.
아래 화면은 문자메시지를 유출 시도하는 기능의 코드화면이다.
악성앱은 상기 기능외에도 MMS 탈취, SMS 발송, 스마트 뱅킹앱 재설치 여부 확인 등 다양한 기능을 수행하게 된다. 이에 따라 스마트폰 이용자의 개인정보 유출 및 스마트 뱅킹 피싱 등의 피해를 입을 수 있으므로 각별한 주의가 필요하다.
이에 잉카인터넷 대응팀에서는 보안전문기업으로서 차별화되고 전문화된 모바일 보안관제 및 오랜기간 축적된 보안기술을 바탕으로 모바일 백신프로그램과 모바일 스미싱 원천 차단솔루션을 개발하여 일반에 무료로 배포하는 등 사회적 기업으로서 그 역할을 충실히 이행하고 있으며, 10년 이상 글로벌 보안사업을 영위하고 있는 신뢰할 수 있는 보안기업으로서 모범적인 활동을 꾸준하게 이어갈 예정이다.
Trojan/Android.KRBanker 악성앱은 문자메시지(SMS)를 통한 스미싱이나 각종 메신저, 이메일 등으로 특정 사용자를 겨냥하여 표적공격화 되어 전파될 수 있으므로 특별한 주의와 전문적인 방어솔루션이 필요하다. 스미싱기법을 이용한 악성문자는 잉카인터넷 대응팀에서 2013년 05월 09일 출시한 스미싱 원천 차단솔루션 "뭐야 이 문자" 무료 앱을 통해서 유입시점에 완벽하게 사전탐지 및 제거를 할 수 있다.
◈ "뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
☞ https://play.google.com/store/apps/details?id=com.nprotect.antismishing
◈ "nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect
3. 스미싱 예방법 및 대응책
스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.
안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.
만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.
점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.
※ 스마트폰 보안 관리 수칙
01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.
04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.
05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.
07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명
- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견 (1) | 2013.05.27 |
---|---|
[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상 (1) | 2013.05.22 |
[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장 (1) | 2013.05.16 |
[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승 (0) | 2013.05.14 |
[주의]스미싱, 주민번호 등 개인정보 탈취 시도 (0) | 2013.05.10 |