스미싱 통해 유포되는 스파이앱 발견... 사용자 주의!

스미싱 통해 유포되는 스파이앱 발견... 사용자 주의!

이스트소프트가 스미싱 공격을 통해 스파이앱이 유포되고 있어 스마트폰 사용자들의 각별한 주의를 당부한다고 밝혔습니다.

지난 10월 29일부터 ‘민방위 소집훈련대상자입니다 일필이 확인’이라는 문구의 스미싱 메시지가 유포되고 있으며, 스미싱 메시지에 포함된 URL에 접속하면 스파이앱이 스마트폰에 설치됩니다. 해당 스파이앱은 사용자 스마트폰의 모든 정보와 저장된 주요파일을 수집하는 동시에 스마트폰의 카메라, GPS, 마이크 기능을 제어합니다.

▲ 스파이앱이 사용자 권한을 요구하는 화면

○ 스미싱 통해 유포되는 스파이앱 발견, 사용자 정보 탈취 및 스마트폰 H/W 기능 통제해

○ 스마트폰 내에 있는 정보를 수집하여 C&C 서버로 전달... 스마트폰 사용자 주의 당부

특히, 이번에 발견된 스파이앱은 기존 스파이앱과 달리 국내 대표 메신저앱 카카오톡 DB파일을 수집하여 C&C 서버로 전달합니다. 그러나 루팅된 스마트폰에서만 카카오톡 DB파일을 수집 가능한 것으로 확인하였습니다.

▲ 루팅된 스마트폰에서 카카오톡 DB파일에 접근하는 코드

이스트소프트는 해당 내용을 다음카카오 측에 공유하는 한편 KISA(한국인터넷진흥원)를 통해 스파이앱과 통신하는 C&C 서버의 차단을 요청했습니다.

※ 추가적인 내용

이스트소프트는 해당 공격을 분석한 결과 스미싱을 통해 9월 16일부터 총 6개의 변종 스파이앱이 유포되어 왔던 것으로 확인되었다고 31일 자정께 밝혔습니다.

이번에 발견된 스파이앱과 변종앱은 모두 동일한 제작자 또는 동일 그룹에서 제작된 것으로 파악하고 있습니다. 업체 측 관계자에 따르면 30일 15시경 해당 공격에 대한 내용을 기관과 민간 업체에 공유 하였고, 2차 분석 결과 루팅된 스마트폰에 저장되어 있는 카카오톡 DB파일에 접근하여 암호화된 대화내용 등을 복호화한 후 C&C서버로 전송하는 기능이 있는 것을 추가적으로 확인했습니다.

▲ 루팅된 스마트폰에서 카카오톡DB파일 복호화 시도

현재 알약 안드로이드는 해당 스파이앱을 ‘Trojan.Android.SMSAgent’로 탐지하고 있으며, 추가 변종에 대한 지속적인 모니터링을 진행하고 있습니다.