2018년 가장 핫했던 스미싱 "Trojan.Android.SmsSpy"

안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.

2018년 한해 동안 스미싱을 통한 악성앱들이 꾸준이 유포되었습니다. 이에 이스트시큐리티에서는 한 해 동안 수집한 스미싱들의 수집 통계를 내보았습니다. 

다음 차트는 2018년 한해 동안 ESRC에서 수집한 스미싱 통계로, 차트를 보시면 월별로 증감이 있지만 꾸준하게 증가 추세를 그리며 유포되고 있다는 것을 알 수 있습니다.

그림 1. 2018년 스미싱 월별 통계

특이한 부분은 여름휴가가 집중되는 달에 최고조를 이루고 있다는 점입니다. 즉, 공격자들이 피해자들의 생활패턴이나 이벤트에 맞추어 공격을 진행하고 있다는 것을 유추 할 수 있습니다. 

그리고 다음 차트는 수집된 스미싱 악성앱들을 탐지명 별로 분류한 통계 내용입니다.

그림 2. 2018년 스미싱 탐지명별 통계

차트를 살펴 보시면 2018년 한해 동안 유포된 스미싱 악성앱 중 “Trojan.Android.SmsSpy”가 전체의 절반에 가까운 수치로 유포되고 있음을 알 수 있습니다. 이런 통계 결과로 미루어 “Trojan.Android.SmsSpy”가 다른 스미싱 악성앱보다 공격자들이 선호하는 공격 패턴 이라는 것을 유추 할 수 있습니다.

Trojan.Android.KRBanker 

금융권 앱으로 위장하여 피해자에게 대출 등에 관련된 정보를 안내하는 내용으로 통화를 유도하여 피해자에게 금전적인 손실을 야기시키는 모바일 악성코드

Trojan.Android.Zitmo 

악성앱의 탐지나 분석이 어렵도록 패킹되어 유포되며 피해자의 사진, 연락처, SMS, 통화녹취등의 정보를 탈취하여 수집하고 피해자의 연락처에 존재하는 연락처로 추가 악성 문자 등을 발송하여 악성앱을 유포하는 모바일 악성코드. C2의 제어에 따라 추가 apk를 설치하기도 한다.

Trojan.Android.SmsSpy 

택배, 청첩장 등의 문자를 위장하여 유포되며, 피해자가 악성앱 설치 시 공격자의 의도에 따라 공격자 이외의 SMS/전화를 차단한다. 이후 피해자에게 연락하여 협박 등의 수단을 통하여 금전적 손실을 야기하는 모바일 악성코드

이에 ESRC에서는 2018년 가장 많이 유포되었으며, 2019년도에도 가장 많이 유포될 것으로 보이는 Trojan.Android.SmsSpy 악성코드를 분석해 보고, 대응 방안을 알아보도록 하겠습니다. 

다음 그림은 “Trojan.Android.SmsSpy” 악성앱이 주로 사용하는 icon 이미지 중 하나 입니다.

그림 3. 스미싱 악성앱 ICON

하지만 아이러니 하게도 “Trojan.Android.SmsSpy” 악성앱의 icon을 피해자가 보기는 어렵습니다. 스미싱 악성앱 분석하거나 내려 받은 스미싱 악성앱을 파일 브라우저를 통해 보는 경우 그리고 설치 후 잠깐 동안 볼 수 있을 뿐 입니다. 이유는 악성앱이 생존을 위해 설치가 완료된 후 자신의 icon을 숨기기 때문입니다.

만약 사용자가 스미싱 문자에 포함되어 있는 악성링크를 클릭하면, 해당 링크를 통해 정상앱을 위장한 악성앱이 내려오게 됩니다. 

그림 4. 파일 브라우저에서 보이는 스미싱 악성앱

악성앱은 정상앱의 아이콘을 위장하고 있기 때문에, 사용자는 악성앱을 정상적인 앱으로 인지하여 다음과 같은 순서로 설치를 진행하게 됩니다. 

  

그림 5. 스미싱 악성앱 설치 진행 화면

악성앱을 설치 시 실제 정상 앱과 같은 화면을 노출시켜 사용자들의 의심을 최소화 합니다. 그 후 기기관리자를 활성화를 유도하며 설치 완료 후 열기를 하게 되면 우측 화면과 같이 아무런 내용이 없는 블랭크 화면이 노출 됩니다. 

이는 마치 앱에 장애가 있는 것처럼 보여 피해자는 화면을 닫은 후 설치된 앱의 icon을 찾아 재실행 또는 제거 시도를 하게 되지만 이미 icon은 숨겨져 있어 찾을 수 없습니다. 피해자는 앱이 잘못 설치 된 것으로 착각하며 마무리 하게 됩니다

다음의 그림은 icon을 삭제하는 코드 내용입니다.

그림 6. ICON을 숨기는 코드

설치가 완료된 스미싱 악성앱은 위 그림의 코드를 실행하여 ICON을 숨기게 됩니다.

이후 스미싱 악성앱은 공격 기능을 수행하는 코드를 실행 하게 됩니다.

다음 그림은  C2의 IP 정보가 하드 코딩 되어 있는 내용입니다.

그림 7. C2 IP 정보

다음 그림은 피해자 정보(폰 번호, 통신회사)를 공격자의 C2로 보내어 서버에 등록하는 코드 입니다.

그림 8. 피해자 정보를 C2에 등록하는 코드

다음 그림은 공격자의 공격 기능 설정 정보를 저장하는 코드입니다. 공격 기능은 SMS와 전화를 차단하는 기능으로 구성 되어 있습니다.

그림 9. 공격 기능 설정 저장 코드

다음 그림은 C2와 통신하는 코드로 사용자 식별 정보를 보낸 후 공격 기능 설정 정보를 받아오는 역할을 하고 있습니다.

그림 10. C2와의 통신 코드

다음 그림은 공격 기능 설정 정보에 따라 SMS를 차단하는 코드와 피재자가 받는 SMS중 특정 문자열이 있는 것을 처리하는 코드입니다. 피해자가 “xinxian!~”으로 시작하는 SMS를 받을 경우 피해자 정보를 C2로 보내고 문자를 차단합니다.

그림 11. 공격 기능 설정에 따르는 SMS 차단 코드

다음 그림은 공격 기능 설정 정보에 따라 전화를 차단하는 코드입니다.

그림 12. 공격 기능 설정에 따르는 전화 차단 코드

이번에 분석한 스미싱 악성앱은 새로울 것은 없습니다. 그러나 통계를 살펴보면 알 수 있듯이 꾸준히 유포되고 있으며 피해자를 만들어 내고 있습니다.

따라서 지속적인 스미싱 공격과 같은 악성앱에 대응하기 위해 사용자의 보안의식 재고가 필요하며 알약M과 같은 신뢰 할 수 있는 백신의 사용이 필요합니다. 그리고 문자나 SNS의 링크 연결 시 그리고 앱 설치 시에도 주의가 필요합니다. 

그림 13. 알약M 실시간 탐지