분석 정보/모바일 분석 정보

카드 정보 탈취하는 은행 사칭 앱

TACHYON & ISARC 2022. 11. 3. 17:53

최근 은행으로 위장하여 정보 탈취를 시도하는 앱이 다량 발견되었다. 그 중 CITI은행을 사칭한 앱은 정상 앱과 유사한 UI로 사용자를 속여, 각종 개인 정보와 카드 정보를 입력하도록 한다. 그리고 원격지와 통신하여 입력한 정보를 탈취한다. 
악성 앱을 실행하면 다음과 같은 화면이 나타난다. 입력 칸에 10자리의 전화번호를 입력하면 해당 정보를 원격지에 전송한다. 정상적으로 원격지와 통신이 되면, 악성 동작이 시작된다. 

 

[그림 1] 앱 실행화면

 

분석 시점에는 원격지와 통신이 되지않지만, 통신이 된다면 좌측 하단의 화면을 띄운다. Apply Now 버튼을 누르면 사용자의 정보를 입력하는 화면이 나타난다. 해당 화면에서 정보를 입력하고 Proceed 버튼을 누르면 해당 정보는 원격지로 전송된다. 인도의 식별번호인 Aadhar number와 PAN number정보를 탈취하는 것으로 보아, 인도 대상의 공격으로 추정된다.

 

[그림 2] 개인 정보 탈취 화면 (재구성)

 

위의 정보를 원격지에 전송하고 정상적으로 응답을 받으면, 아래의 화면과 같이 카드 정보 탈취 동작이 이루어진다.

 

[그림 3] 카드 정보 탈취 화면

 

해당 앱은 정상 은행 앱으로 위장하여, 사용자의 개인 정보와 카드 정보를 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.