스미싱 문자에 링크를 포함하지 않아 사용자 의심 피해
전화로 웹사이트 주소 알려주며 악성 앱 설치 유도...설치하면 휴대폰 정보 탈취
[보안뉴스 원병철 기자] 최근 해외 쇼핑몰에서 결제가 됐다는 내용의 스미싱 문자가 지속적으로 발견돼 주의가 요구된다. 특히, 이 문자들은 별도의 URL 링크가 없어 피해자들이 직접 전화하도록 유도하는 것이 특징이다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 이런 문자가 유사한 형태로 무차별적으로 발송되고 있다고 우려했다.
[이미지=utoimage]
평소라면 그냥 무시하고 넘어갈 수도 있지만, 최근 비슷한 금액에 물품을 산 사람이거나 쇼핑을 했던 사람이라면 혹시나 하는 마음에 확인 차 전화를 걸 수 있다. 공격자는 이점을 악용하고 있으며 [WEB 발신], [국외발신], [국제발신] 등으로 시작하면서 대부분 비슷하지만 살짝 다른 내용으로 발송하고 있다.
해당 문자를 받고 나서 전화를 직접 걸어보면 웹사이트 주소를 직접 음성으로 알려준다. 웹사이트는 실제 존재하는 쇼핑몰처럼 위장했기 때문에 사용자는 눈치 채기 어렵다. 특히, 실시간 배송 조회 버튼을 눌렀을 때 구글 플레이스토어로 위장한 페이지가 나타나는데 정상 등록된 앱처럼 표시해 앱 설치를 유도한다.
▲최근 유포된 스미싱 문자[자료=ESRC]
다양한 위장 쇼핑몰과 앱이 있지만 실행했을 때 보이는 화면은 크게 3가지로 분류된다.
1. 비회원 간편 실시간 배송 조회 버튼이 우측 하단에 존재
2. 실시간 비회원 간편 조회 버튼을 가운데 배치
3. 액세서리 품목들을 보여주며 구매할 수 있는 쇼핑몰처럼 표시
▲실제처럼 위장한 앱 플레이스토어[자료=ESRC]
특히, 비회원 실시간 조회를 어필하고 있는데, 이는 문자 내용에 포함된 화면을 보여줘야 하므로 어느 부분을 클릭해도 조회 부분으로 넘어가게 된다.
▲비회원 조회 결과[자료=ESRC]
조회 버튼을 클릭하면 간단하게 인증번호 또는 인적사항을 적게 하고 완료 후에는 고정된 제품을 표시하고 있다. 다음으로 취소 요청 시 완료됐다는 문구를 화면에 표시하고 절차를 마무리하는데 악성 앱은 여전히 설치되어 있으며 보이스피싱에 활용되고 있다.
보이스피싱에 활용되어 피해를 주는 악성 앱 ‘Trojan.Android.Banker’
설치되는 악성 앱의 주요 행위는 다음과 같다. △문자 전송 △문자 탈취 △연락처 탈취 △위치정보 탈취 △설치된 앱 리스트 탈취 △앱 삭제 △녹음 △전화 가로채기 △페이크 전화 △각종 명령제어(C&C, C2) 서버 명령 수행.
분류를 크게 3가지로 나누었지만 웹 페이지 구성만 다르고 내부 동작은 유사하다. 가장 먼저 분석을 어렵게 하기 위해 DEX 드롭 과정을 진행하며, 추가로 드롭된 DEX 파일을 로드하는 형식으로 사용하고 있다.
▲DEX 드롭[자료=ESRC]
실질적인 기능을 하는 DEX를 살펴보면 미리 만들어둔 쇼핑몰 사이트를 로딩해 화면에 표시한다. 주문 취소를 진행하고 있을 때 백그라운드 작업을 통해 악의적인 행위를 할 수 있다. 예를 들면, 문자 관련 기능들을 살펴보면 특정 번호로 문자를 전송할 수 있으며, 실시간으로 전달받는 문자들을 서버로 전송해 탈취할 수 있다. 실시간 문자 내역 이외에 그동안 주고받았던 문자 내용들을 탈취하는 기능도 포함되어 있으며, 연락처 목록도 비슷한 방법으로 탈취해 서버로 전송한다.
▲전화 가로채기 기능[자료=ESRC]
특히, 보이스피싱에 필요한 전화 가로채기 기능도 포함되어 있다. 페이크 전화로 사용자를 속이기 위해 실제 번호와 대응되는 음성(안내 멘트) 파일을 재생한다. 음성 파일은 내부 리소스에 포함되어 있으며 대략 90가지의 음성 파일을 가지고 있다.
명령제어 서버는 하드코딩 형식으로 작성됐다. 명령제어 서버 주소는 고정되어 있으므로 웹사이트가 닫히면 명령을 받을 수 없다. 이를 보완하기 위해 공격자는 Reddit 페이지를 활용했고, 특정 계정을 통해서 값을 가져와 명령제어 서버 주소로 사용하고 있다.
▲추가 명령제어(C2) 서버 주소[자료=ESRC]
특히, Reddit 페이지에 특정 문자열을 표시해두고 있는데, 이는 AES로 암호화한 문자열이며, ‘rb!nBwXv4C%Gr^84’키와 ‘1234567812345678’ IV 값을 통해 복호화해 명령제어 주소를 얻을 수 있다.
▲피해자들의 배송 취소 요청 자료[자료=ESRC]
위의 표는 배송 취소 요청 리스트로, 날짜를 봤을 때 현재까지도 꾸준하게 요청이 들어오는 것을 확인할 수 있다. 해당 페이지에 취소 요청은 앱을 설치한 후 진행한 것으로 파악되며, 이미 기기가 감염됐을 가능성이 있다. 따라서 처음부터 의심을 가지고 앱을 설치하지 않는 것이 중요하다.
지금까지 확인된 위장 쇼핑몰의 이름은 아래와 같으며, 실제 쇼핑몰을 위장할 수도 있으므로 사용자들의 각별한 주의가 필요하다.
GOLF MALL, 타오반점, LT MALL, LK쇼핑, PAY쇼핑, 타임쇼핑, 이지유에스, 아이포터, BEST직구, OK MALL, 대성물류, LF몰, 이지몰, 세계 직구, PAY SHOP, 샵투월드, LUXY몰, GL몰, YOOX, 이베이, JK몰, X몰, 다다몰, hello쇼핑, 현대물류, 바이스트몰, 재팬스타일, 월드물류, 페이팔, IQ, DK몰, 몰테일
ESRC는 악성 앱을 예방하기 위해서는 ①출처가 불분명한 앱은 설치하지 않으며 ②구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치하고 ③SMS나 메일 등으로 보내는 앱은 설치하지 않아야 한다고 조언했다. 또한, 악성 앱에 감염됐을 경우에는 ④악성 앱을 다운로드만 했을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사를 수행하고 ⑤악성 앱을 설치했을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제를 진행해야 한다고 지적했다. 아울러 백신 앱이 악성 앱을 탐지하지 못했을 경우 ⑥백신 앱의 신고하기 기능을 사용해 신고하고 ⑦수동으로 악성 앱을 삭제할 것을 당부했다.
[원병철 기자(boanone@boannews.com)]
전화로 웹사이트 주소 알려주며 악성 앱 설치 유도...설치하면 휴대폰 정보 탈취
[보안뉴스 원병철 기자] 최근 해외 쇼핑몰에서 결제가 됐다는 내용의 스미싱 문자가 지속적으로 발견돼 주의가 요구된다. 특히, 이 문자들은 별도의 URL 링크가 없어 피해자들이 직접 전화하도록 유도하는 것이 특징이다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 이런 문자가 유사한 형태로 무차별적으로 발송되고 있다고 우려했다.
[이미지=utoimage]
평소라면 그냥 무시하고 넘어갈 수도 있지만, 최근 비슷한 금액에 물품을 산 사람이거나 쇼핑을 했던 사람이라면 혹시나 하는 마음에 확인 차 전화를 걸 수 있다. 공격자는 이점을 악용하고 있으며 [WEB 발신], [국외발신], [국제발신] 등으로 시작하면서 대부분 비슷하지만 살짝 다른 내용으로 발송하고 있다.
해당 문자를 받고 나서 전화를 직접 걸어보면 웹사이트 주소를 직접 음성으로 알려준다. 웹사이트는 실제 존재하는 쇼핑몰처럼 위장했기 때문에 사용자는 눈치 채기 어렵다. 특히, 실시간 배송 조회 버튼을 눌렀을 때 구글 플레이스토어로 위장한 페이지가 나타나는데 정상 등록된 앱처럼 표시해 앱 설치를 유도한다.
▲최근 유포된 스미싱 문자[자료=ESRC]
다양한 위장 쇼핑몰과 앱이 있지만 실행했을 때 보이는 화면은 크게 3가지로 분류된다.
1. 비회원 간편 실시간 배송 조회 버튼이 우측 하단에 존재
2. 실시간 비회원 간편 조회 버튼을 가운데 배치
3. 액세서리 품목들을 보여주며 구매할 수 있는 쇼핑몰처럼 표시
▲실제처럼 위장한 앱 플레이스토어[자료=ESRC]
특히, 비회원 실시간 조회를 어필하고 있는데, 이는 문자 내용에 포함된 화면을 보여줘야 하므로 어느 부분을 클릭해도 조회 부분으로 넘어가게 된다.
▲비회원 조회 결과[자료=ESRC]
조회 버튼을 클릭하면 간단하게 인증번호 또는 인적사항을 적게 하고 완료 후에는 고정된 제품을 표시하고 있다. 다음으로 취소 요청 시 완료됐다는 문구를 화면에 표시하고 절차를 마무리하는데 악성 앱은 여전히 설치되어 있으며 보이스피싱에 활용되고 있다.
보이스피싱에 활용되어 피해를 주는 악성 앱 ‘Trojan.Android.Banker’
설치되는 악성 앱의 주요 행위는 다음과 같다. △문자 전송 △문자 탈취 △연락처 탈취 △위치정보 탈취 △설치된 앱 리스트 탈취 △앱 삭제 △녹음 △전화 가로채기 △페이크 전화 △각종 명령제어(C&C, C2) 서버 명령 수행.
분류를 크게 3가지로 나누었지만 웹 페이지 구성만 다르고 내부 동작은 유사하다. 가장 먼저 분석을 어렵게 하기 위해 DEX 드롭 과정을 진행하며, 추가로 드롭된 DEX 파일을 로드하는 형식으로 사용하고 있다.
▲DEX 드롭[자료=ESRC]
실질적인 기능을 하는 DEX를 살펴보면 미리 만들어둔 쇼핑몰 사이트를 로딩해 화면에 표시한다. 주문 취소를 진행하고 있을 때 백그라운드 작업을 통해 악의적인 행위를 할 수 있다. 예를 들면, 문자 관련 기능들을 살펴보면 특정 번호로 문자를 전송할 수 있으며, 실시간으로 전달받는 문자들을 서버로 전송해 탈취할 수 있다. 실시간 문자 내역 이외에 그동안 주고받았던 문자 내용들을 탈취하는 기능도 포함되어 있으며, 연락처 목록도 비슷한 방법으로 탈취해 서버로 전송한다.
▲전화 가로채기 기능[자료=ESRC]
특히, 보이스피싱에 필요한 전화 가로채기 기능도 포함되어 있다. 페이크 전화로 사용자를 속이기 위해 실제 번호와 대응되는 음성(안내 멘트) 파일을 재생한다. 음성 파일은 내부 리소스에 포함되어 있으며 대략 90가지의 음성 파일을 가지고 있다.
명령제어 서버는 하드코딩 형식으로 작성됐다. 명령제어 서버 주소는 고정되어 있으므로 웹사이트가 닫히면 명령을 받을 수 없다. 이를 보완하기 위해 공격자는 Reddit 페이지를 활용했고, 특정 계정을 통해서 값을 가져와 명령제어 서버 주소로 사용하고 있다.
▲추가 명령제어(C2) 서버 주소[자료=ESRC]
특히, Reddit 페이지에 특정 문자열을 표시해두고 있는데, 이는 AES로 암호화한 문자열이며, ‘rb!nBwXv4C%Gr^84’키와 ‘1234567812345678’ IV 값을 통해 복호화해 명령제어 주소를 얻을 수 있다.
▲피해자들의 배송 취소 요청 자료[자료=ESRC]
위의 표는 배송 취소 요청 리스트로, 날짜를 봤을 때 현재까지도 꾸준하게 요청이 들어오는 것을 확인할 수 있다. 해당 페이지에 취소 요청은 앱을 설치한 후 진행한 것으로 파악되며, 이미 기기가 감염됐을 가능성이 있다. 따라서 처음부터 의심을 가지고 앱을 설치하지 않는 것이 중요하다.
지금까지 확인된 위장 쇼핑몰의 이름은 아래와 같으며, 실제 쇼핑몰을 위장할 수도 있으므로 사용자들의 각별한 주의가 필요하다.
GOLF MALL, 타오반점, LT MALL, LK쇼핑, PAY쇼핑, 타임쇼핑, 이지유에스, 아이포터, BEST직구, OK MALL, 대성물류, LF몰, 이지몰, 세계 직구, PAY SHOP, 샵투월드, LUXY몰, GL몰, YOOX, 이베이, JK몰, X몰, 다다몰, hello쇼핑, 현대물류, 바이스트몰, 재팬스타일, 월드물류, 페이팔, IQ, DK몰, 몰테일
ESRC는 악성 앱을 예방하기 위해서는 ①출처가 불분명한 앱은 설치하지 않으며 ②구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치하고 ③SMS나 메일 등으로 보내는 앱은 설치하지 않아야 한다고 조언했다. 또한, 악성 앱에 감염됐을 경우에는 ④악성 앱을 다운로드만 했을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사를 수행하고 ⑤악성 앱을 설치했을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제를 진행해야 한다고 지적했다. 아울러 백신 앱이 악성 앱을 탐지하지 못했을 경우 ⑥백신 앱의 신고하기 기능을 사용해 신고하고 ⑦수동으로 악성 앱을 삭제할 것을 당부했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
