특정 택배 회사의 앱처럼 위장한 악성앱 설치

[보안뉴스 김태형] 최근 스미싱 문자메시지에 HTML 웹 페이지 주소를 그대로 포함시켜 이용자들에게 정상적인 문자로 오인하도록 조작하는 수법이 발견되어 이용자들의 주의가 필요하다.

잉카인터넷 대응팀은 18일 이와 같이 새로운 형태로 진화한 스미싱 문자 메시지 형태를 발견했다고 밝혔다.

잉카인터넷 측은 “휴대폰 소액결제사기, 가짜 모바일 스마트 뱅킹앱 설치, 개인정보 탈취 형태의 안드로이드 기반 악성앱들은 대체로 APK 앱 파일이 문자메시지(SMS)에 링크되어 있는 것이 일반적인 스미싱 기법이었다”면서 “간혹 조작된 특정 웹 사이트로 연결해 악성앱을 추가로 다운로드하는 경우가 있었으나 그런 경우도 기존처럼 단순 도메인 주소를 이용했었다. 그러나 이번에 발견된 방식은 HTML 웹 페이지 주소를 그대로 포함하고 있어 이용자들로 하여금 정상적인 문자로 오인하도록 조작했다”라고 설명했다.

이 스미싱용 문자 메시지는 그림과 같은 내용으로 전파되었고 기존과 다르게 HTML 내용으로 포함하고 있는 것이 특징이라는 것.    
    
해당 URL 주소로 접근할 경우 바로 안드로이드 기반 악성앱(APK)이 설치되는 것은 아니며, 실제 택배 사이트의 배송조회 사이트처럼 교묘하게 조작된 화면이 보여지게 된다. 그렇지만 해당 사이트의 내용은 모두 허위로 만들어진 것이며, 이용자로 하여금 최대한 신뢰할 수 있도록 위장한 수법이다.

조작된 화면에 사용자 이름, 주민등록번호, 휴대폰 번호 등을 입력한 후, 확인버튼을 누르게 되면 안드로이드 악성앱(cj1.apk) 파일이 다운로드된다. 기존의 스미싱은 대부분 특정 도메인 주소를 클릭하면 바로 악성앱이 다운로드 되었지만 이번의 경우는 이용자를 가짜 웹 사이트로 유인한 후, 이용자를 현혹하여 개인정보 입력 및 악성앱 설치를 유도하게 만드는 특징이 있다.

잉카인터넷 측은 “이런 경우 일부 스미싱 차단 프로그램이 정상적인 도메인으로 분류하여 사전탐지를 못할 수 있으나, 잉카인터넷의 ‘뭐야 이 문자’ 앱에서는 별도의 업데이트 없이 사전 탐지 및 차단이 가능한 상태다”라고 밝혔다.

다운로드된 ‘cj1.apk’ 파일을 이용자가 클릭하면 설치가 진행되며 특정 택배 회사의 앱처럼 위장한 악성앱 설치화면이 나오고 [설치] 버튼을 클릭하게 되면 추후 삭제를 어렵게 하기 위해서 기기 관리자 기능을 실행하도록 유도한다.

그리고 이번 악성앱은 기기 관리자 취소가 불가능하도록 조작되어 있어 반드시 실행해야만 설치가 가능하다. 악성앱에 감염될 경우 안드로이드 스마트폰 단말기 내에 포함되어 있는 개인정보가 유출될 수도 있고 소액결제사기 등에 노출될 가능성이 높다.
  
잉카인터넷 문종현 팀장은 “스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단 솔루션 등을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단 요청해 두는 것도 좋은 예방법”이라고 말했다.

한편, 잉카인터넷의 스미싱 차단 솔루션에는 ‘뭐야 이 문자’와 ‘nProtect Mobile for Android’ 등이 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>