자동입력방지 기능까지 추가한 가짜 대법원 악성앱 주의

안녕하세요. 이스트소프트입니다. 

서울법원을 사칭한 스미싱 메시지

최근 스미싱이 급증한 가운데, 새로운 형태로 악성앱 다운로드를 유도하는 스미싱 사례가 발견되었습니다. 해당 스미싱 메시지는 ‘서울법원:사건 접수번호입니다 xxxx.xxxx.com’라는 문구로 사용자들에게 전송됩니다.

대법원으로 위장한 가짜 피싱 사이트

피싱 사이트에서 띄우는 자동입력방지를 위한 문자 입력 페이지

해당 스미싱 메시지를 받은 사용자가 메시지에 포함된 URL을 클릭하면 대법원을 위장한 피싱 사이트로 연결됩니다. 연결된 사이트에서 다운로드 버튼을 클릭하면, 자동입력방지를 위한 문자 입력 페이지가 나타납니다. 이 때, 올바르지 않은 정보를 입력하면 오류 메시지까지 띄우는 치밀함으로, 사용자에게 사이트에 대한 믿음을 심어줍니다. 또한 자동분석 시스템을 통한 자동샘플 수집을 막기 위한 조치이기도 합니다.

대법원을 가장한 악성앱이 설치 및 실행되는 화면

사용자가 자동입력방지 페이지에서 올바른 정보를 입력한 후 확인을 클릭하면 대법원을 가장한 앱(대국민서비스)이 다운로드 됩니다. 이 때 내려 받은 앱은 특별한 행위를 하지 않으나, 자신의 안에 또 다른 앱을 숨겨두고 있는 것이 특징입니다.

해당 앱을 설치한 후 실행시키면, ‘점검중입니다.잠시후 재시도해주세요’이라는 메시지와 함께 앱이 종료됩니다. 

대법원을 사칭한 앱이 갖고 있던 '가짜 모바일 백신'이 설치되는 과정

그 후 일정 시간이 지나면 사용자 스마트폰에 모바일 백신의 새로운 버전이 출시되었다는 메시지가 출력됩니다. 해당 메시지 창에서 확인을 누르면 업데이트 창이 뜹니다. 그리고 대법원을 가장한 앱이 이미 갖고 있던 ‘모바일 백신을 위장한 악성앱’이 설치됩니다.

2개의 모바일 백신 설치 확인 화면, 용량이 적은 것이 악성앱

해당 악성앱은 아이콘 및 사용자 UI가 매우 정교하여, 일반 사용자들이 악성앱 여부를 쉽게 알아차리기 어렵습니다. 그러나 환경설정에서 설치되어 있는 앱을 확인해 보면 2개의 모바일 백신이 설치된 것을 확인할 수 있습니다.

해당 악성앱이 설치되면 진짜 뱅킹앱을 가짜 뱅킹앱으로 대체하여, 사용자의 금융정보를 탈취합니다. 

이번 이슈는 특히 교묘하게 구성된 ‘자동방지입력창’이나, 다른 앱을 통하여 악성앱을 설치를 유도하는 등 스미싱 수법이 점점 교묘해지는 것으로 확인돼 사용자들의 강도 높은 주의가 요구됩니다.

현재 알약 안드로이드에서는 해당 악성앱애 대하여 Trojan.Android.KRBanker 로 탐지하고 있습니다.