분석 정보/모바일 분석 정보

국내 쇼핑몰을 사칭한 보이스피싱 앱

알 수 없는 사용자 2022. 2. 8. 14:54

지난 1월 말 국내 온라인 쇼핑몰을 사칭한 악성 앱이 등장하였다. 해당 앱은 보이스피싱 악성 앱으로 발신 전화를 가로채고, 수신 전화의 번호를 변경하여 사용자에게 표시하는 등의 악성 동작을 수행한다.

 

이와 같은 보이스피싱 악성 앱은 지난 2017년부터 유포되어, 악성 기능이 발전되는 등 지속적인 변화를 보여주는 것으로 알려진다. 금융보안원은 작년 3분기동안 유포된 보이스피싱 악성 앱을 특징에 따라 3가지로 분류하였다. 그 중 SecretVoice 6월부터 활발하게 유포되었으며, 최근 발견된 악성 앱 또한 이와 유사한 형태로 보여진다.

 

최근 발견된 SecretVoice는 하단 좌측 이미지와 같은 화면을 띄워 'pay 쇼핑'을 사칭한다.

 

[그림 1] (좌) 정상 사이트, (우) 사칭 사이트

 

앱을 실행하면, 아래의 코드에서 보이는 각종 보안 프로그램을 탐지하여 삭제한다.

 

[그림 2] 탐지되는 보안 프로그램 목록

 

보이스피싱 앱은 은행 및 정부기관 등 특정 번호에 대해 발신 전화를 가로채 공격자로 추정되는 번호로 통화를 연결한다. 해당 통화는 녹음되어 mp3파일로 저장되는데, 이 파일명은 전화번호를 기반으로 케이스를 나누어 각각의 파일명으로 저장한다. 아래의 코드와 같이 작년에 유포된 샘플들에 비해 케이스가 상세 해져 공격자가 더욱 치밀하게 사용자를 속일 수 있다.

 

[그림 3] 발신 전화번호 확인 코드

 

원격지 주소와 같은 일부 정보는 지속적으로 바뀌지만, 수신 전화에 대해 위장 번호로 변경하거나 수집한 데이터를 암호화 하는 등의 동작은 동일하다.

 

[그림 4] 원격지 주소 난독화 해제 코드

 

해당 악성 앱은 한국인을 대상으로 전화 기능을 악용하여 보이스 피싱 등의 동작을 수행하기에 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.