"중요사항 공지" 등으로 위장한 한국인 대상 스미싱 주의

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.

작년 연말부터 유포되기 시작한 “중요사항 공지” 스미싱 공격이 최근까지도 활발하게 진행되고 있습니다. 그리고 ESRC의 추적 조사 결과에 따르면 최근 한국, 일본 등을 대상으로 공격 횟수가 증가하고 있음을 감지하였습니다. 

"중요 공지사항" 스미싱(이하 스미싱) 공격에 사용되는 악성 앱은 작년 하반기에는 택배회사를 사칭하는 스미싱 공격에 사용되었습니다. 스미싱 공격에 대하여 알아보도록 하겠습니다.

스미싱 분석

해당 스미싱은 다음 그림과 같은 문자로 공격을 시작됩니다.

[그림 1] 스미싱 문자

피해자가 스미싱 문자 내의 링크를 클릭하면 공격자의 유포 서버로 접속됩니다. 이때 공격자의 유포 서버는 피해자의 브라우저 환경을 파악하여 반응을 달리하게 됩니다.

[그림 2] 도박 사이트

피해자의 환경이 안드로이드가 아니라면 위 그림의 도박 사이트로 접속됩니다. 안드로이드라면 공격자의 악성 앱이 다운로드됩니다. 이때 다운로드 되는 악성 앱은 다운로드 될 때마다 사이즈가 조금씩 변경됩니다. 이는 백신사의 탐지를 회피하기 위해 코드는 동일하지만 apk 파일의 내용이 조금씩 변경된 악성 앱을 유포하는 것으로 판단됩니다.

 

다음 그림은 동일 유포지에서 여러 번 다운로드 받은 동일 악성 앱의 해쉬를 보여주고 있습니다.

[그림 3] 해쉬가 다른 동일 악성 앱들

다음 그림은 공격자의 유포 서버 웹페이지 코드입니다.

[그림 4] 유포 서버의 웹페이지 코드

 

환경이 안드로이드일 경우에만 악성 앱 다운로드를 수행하도록 되어있습니다.

 

다운로드된 악성 앱을 설치하면 다음 그림과 같이 두 개의 크롬 앱 아이콘이 생성됩니다. 그러나 둘 중 하나는 악성 앱이 생성한 아이콘입니다.

[그림 5] 악성 앱 설치 후 상태

이후 악성 앱 실행 시 악성 앱의 아이콘은 사라지고 노티피케이션 바(Notification bar, 알림창)에 흰색 아이콘이 생성됩니다. 이는 악성 앱이 백그라운드에서 작업을 수행하고 있다는 것을 알려줍니다. 이런 일련의 과정을 통해 피해자는 정상 크롬 앱이 업데이트된 것으로 착각할 수 있으며 단순 노티 아이콘이 생성된 것으로 알고 아무런 의심 없이 폰을 활용하게 됩니다.

 

이렇게 설치된 악성 앱은 생각보다 많은 악성 행위를 수행하게 됩니다.

 

다음 그림은 악성 앱의 아이콘을 숨기는 코드입니다.

[그림 6] 아이콘 숨김 코드

 

그리고 C2의 주소를 가져오는 작업을 수행합니다.

[그림 7] C2 주소를 가져오는 코드

 

C2의 주소는 SNS 서비스에 있는 공격자의 계정에서 가져오게 되며 다음 그림은 인스타그램을 통해 공격자의 C2 주소를 가져오는 코드입니다.

[그림 8] SNS에서 C2 주소를 가져오는 코드

 

다음 그림은 공격자의 명령에 따라 악성 앱이 수행하는 명령 코드입니다.

[그림 9] 공격자의 명령 수행 코드들

 

 

주요 악성 행위는 다음과 같습니다.

1.        계정 정보 탈취

2.        통화 녹취

3.        앱 제거 및 설치 (뱅킹 앱)

4.        SMS 탈취

5.        연락처 탈취

6.        인증서 탈취

7.        설치앱 리스트 탈취

8.        기기 정보 탈취

9.        백신 실행 방해 (v3)

 

다음 그림은 피해자의 계정을 탈취하는 코드입니다.

[그림 10] 피해자의 계정 탈취 코드

 

계정 탈취 시 피해자 기기에 설치되어 있는 앱들 중 공격자가 찾는 앱들의 리스트도 함께 수집합니다.

 

다음 그림은 공격자가 찾는 앱들의 패키지 리스트를 보여줍니다.

[그림 11] 공격자가 찾는 앱 리스트

 

여기서는 게임 앱과 게임에 사용되는 otp 앱을 찾습니다.

 

다음은 통화 시 녹취를 수행하는 코드입니다.

[그림 12] 통화 녹취 코드

다음 그림은 뱅킹 앱 감지 시 업데이트를 권유하는 코드입니다. 이 코드는 뱅킹 앱이 발견되면 업데이트 알림 팝업 창을 생성합니다.

 

[그림 13] 뱅킹앱 발견 시 업데이트 권유 및 앱 대체

 

 

다음 그림은 업데이트 알림 팝업 창에 사용되는 문구입니다.

[그림 14] 업데이트 알림 문구

 

팝업에는 확인, 취소 버튼이 있으나 피해자가 어떤 버튼을 클릭하던 악성 앱을 다운로드하고 뱅킹 앱을 제거합니다. 이후 다운로드한 앱을 설치합니다.

 

다음은 SMS를 탈취하는 코드입니다.

[그림 15] SMS 탈취 코드

 

다음은 연락처를 탈취하는 코드입니다.

[그림 16] 연락처 탈취 코드

 

다음은 인증서를 탈취하는 코드입니다.

[그림 17] 인증서 탈취 코드

 

다음은 피해자의 기기에 설치된 앱 리스트를 탈취하는 코드입니다.

[그림 18] 설치 앱 리스트 탈취 코드

 

다음은 피해자의 기기정보를 탈취하는 코드입니다.

[그림 19] 기기정보 탈취 코드

 

다음은 백신 실행을 방해하는 코드입니다.

[그림 20] 백신 실행 방해 코드

결론

향후 스미싱이나 소셜네트워크를 유포 방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측됩니다. 이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 상대적으로 유포가 쉬우며 관리 요소가 많지 않기 때문입니다. 

그리고 클라우드 서비스를 이용한 C2도 증가할 것으로 예측됩니다. 구축과 유지 관리가 쉽기 때문입니다. 따라서 모바일 사용자들은 SMS와 소셜네트워크 이용 시 앱을 다운로드하는 링크에 대해서는 각별한 주의를 기울여야 할 것입니다. 따라서, 출처가 불명확한 URL과 파일은 실행하지 않아야 하며 주변 기기의 비밀번호를 자주 변경하고 백신 애플리케이션을 설치하여 항상 최신 업데이트 버전으로 유지해야 하겠습니다.

현재 알약M에서는 해당 악성 앱을 “Trojan.Android.Downloader” 탐지명으로 진단하고 있습니다.