국내 온라인 뱅킹 사용자 대상...개인정보 및 은행 인증서 탈취 시도
“사회공학기법 적극 활용해 안드로이드 보안 조치 우회”

[보안뉴스 조재호 기자] 가짜 청첩장에 금융정보를 탈취하는 악성코드가 심겨 유포되고 있다. 모바일 기기의 금융 정보를 빼앗길 수 있는데다 탐지도 어려워 주의가 필요하다.

카스퍼스키는 가짜 결혼식 청첩장을 이용해 ‘숨니봇’(SoumniBot)’ 트로이목마를 유포하는 공격을 발견했다고 18일 밝혔다.

이 공격은 국내 안드로이드 사용자를 대상으로 지난해 8월 시작됐으며, 공격에 쓰인 약 400개의 도메인이 확인됐다.


[자료: 카스퍼스키]

공격자는 결혼식 스트리밍 영상을 볼 수 있는 디지털 청첩장으로 위장한 링크를 뿌려 사람들을 속였다. 링크를 클릭하면 멀웨어 다운로드를 유도하는 웹사이트로 연결된다.

악성 앱이 설치되면 모바일 기기에서 은행 디지털 인증서 등 금융정보를 빼앗기는 피해를 당할 수 있다. 연락처와 메시지, 사진, 동영상도 해커 손에 넘어간다. 15초마다 수집한 데이터를 공격자 서버로 전송하며, 승인 없이 문자메시지를 전송해 피해를 입힐 수도 있다. 앱 아이콘은 자동 삭제돼 사용자의 눈을 피한다.

이 악성코드엔 탐지를 피하기 위해 매니페스트 변조와 압축 방법 조작 등 정교한 기법이 쓰였다고 카스퍼스키는 밝혔다. 또 공간 문자열을 매우 길게 만들어 분석 도구가 제대로 분석하지 못하게 했다.

드미트리 칼리닌 카스퍼스키 위협 연구소 멀웨어 분석가는 “이 가짜 청첩장 공격은 사회공학 기법을 매우 효과적으로 활용했다”라며 “숨니봇은 앱의 구성요소와 기능을 정의해 OS에 알리는 안드로이드 매니페스트 처리의 약점을 악용해 잠재적 보안 조치를 우회한 예시”라고 말했다.

피해 방지를 위해 OS와 앱을 최신 상태로 유지하고, 앱을 설치할 때엔 공식 스토어를 활용하라고 카스퍼스키는 권장했다. 예상치 못한 청첩장 등을 통한 앱 다운로드 요청도 신중하게 검토해야 한다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>