사용자 문자메시지 탈취해 소액결제·개인정보 유출 등 피해

[보안뉴스 김태형] 일본의 성인사이트 앱으로 위장해 사용자를 현혹시켜 단축 URL을 통해 악성파일을 설치하도록 만든 후, 스마트폰에 수신되는 문자메시지를 유출시켜 소액결제 사기나 개인정보 유출 등의 피해를 입히는 스미싱이 발견됐다. 

잉카인터넷 대응팀은 “마치 일본 음란 사이트용 안드로이드 앱을 사칭한 악성앱을 발견했다. 이 악성앱은 스미싱 기법이 사용하는 단축 URL 서비스를 포함하고 있으며 문자메시지(SMS)로 전파된 정황이 포착됐다”고 밝혔다.

이미 변종도 발견된 상태이기 때문에 앞으로 유사한 형태의 악성앱 전파가 증가할 수 있다는 점에 주목하고 있으며, 모바일 보안위협과 관련해 이상 징후를 예의주시하고 있다.

잉카인터넷 대응팀에 따르면, 스마트폰 이용자가 음란하고 자극적인 문구에 현혹되어 무심코 문자메시지에 포함된 단축 URL 등에 접근해 APK 파일을 설치할 경우, 스마트폰에 수신되는 문자메시지 등이 외부로 실시간 유출되어 스마트폰 소액결제사기 등의 금전적인 피해를 입을 가능성이 있다. 또한, 예기치 못하게 개인정보가 외부로 노출되어 사생활 침해 등의 피해로 이어질 수 있어 이용자들의 각별한 관심과 주의가 필요하다.

잉카인터넷 문종현 팀장은 “특히, 기존처럼 모바일 쿠폰이나 문화상품권, 결혼식/돌잔치 초대내용이나 모바일 청첩장이 아닌 원색적인 내용의 성인용 앱으로 위장하고 있다는 점을 명심하고 이용자 스스로 의심스러운 문자메시지에 쉽게 현혹되지 않도록 하는 보안습관이 중요하다”며, “잉카인터넷 대응팀이 개발한 스미싱 원천 차단솔루션인 ‘뭐야 이 문자’ 등을 설치하면 유사한 형태의 모든 악성 문자메시지를 탐지하고 사전 차단할 수 있는 효과를 기대할 수 있다”고 설명했다.

이번에 새롭게 발견된 악성앱은 문자메시지를 통해서 전파된 것이 일부 확인된 상태이며, 겉으로 보기에는 마치 일본의 특정 성인사이트에서 제작한 무료 앱처럼 보여지지만 실제로는 안드로이드 스마트폰 이용자의 문자메시지를 몰래 훔쳐가는 악의적인 기능을 수행하고 있는 것으로 분석됐다.

설치된 앱을 설치(감염)하고 실행할 경우 단순히 일본 성인사이트로 연결하여 웹 사이트 화면을 보여주는 역할만 수행하게 된다. nProtect Mobile for Android 제품에서는 ‘Trojan/Android.KRSpyBot’라는 진단명으로 알려진 변종에 대해서 탐지 및 치료가 가능하다.

잉카인터넷 측은 “이러한 사기와 범행에 노출되지 않기 위해서는 음란한 광고성 문구에 현혹되지 말아야 하며, 안드로이드 악성앱에 감염되지 않도록 공식적인 앱 마켓 외에서는 안드로이드 앱을 가급적 설치하지 않도록 하는 보안습관이 중요하다”고 강조했다.

이와 더불어 ‘nProtect Mobile for Android’ 제품과 스미싱 원천 차단 솔루션인 ‘뭐야 이 문자’ 등을 사전에 설치해 두면 악성앱과 스미싱을 예방하는데 도움을 받을 수 있다고 덧붙였다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>