안드로이드와 iOS 사용자 모두를 타깃으로 하는 스미싱 공격 주의

안녕하세요. 

이스트시큐리티 ESRC입니다.

최근 안드로이드와 iOS 사용자 모두를 대상으로 하는 멀티플랫폼 타깃 스미싱 공격이 확인되어 사용자 여러분의 각별한 주의가 필요합니다.

가장 최근 확인된 유사한 형태의 공격으로는 2020년 1월 말에 유포된 '중요공지사항' 키워드가 포함된 스미싱 공격이 있었습니다. 

이 경우도 감염 대상의 브라우저 환경을 파악해서 URL 클릭 시 안드로이드 브라우저 사용자의 경우 이번과 동일한 악성 apk 앱을 다운로드하고 그 외의 환경에서는 특정 도박 사이트로 접속시킨 바 있습니다. 

※ 관련 글 보기

▶ "중요사항 공지" 등으로 위장한 한국인 대상 스미싱 주의 (2020.02.03)

만약 사용자가 스미싱 메시지를 통해 URL에 접속한 환경이 iOS인 것이 감지되면, 공격자는 apple 계정을 탈취하는 피싱 사이트로 사용자를 이동시킵니다. 

이 피싱 사이트는 마치 apple에서 제작한 공식 계정 관리 사이트 로그인 페이지처럼 제작되어 사용자들을 현혹합니다. 

[그림 1] Apple 계정 탈취 목적으로 제작된 피싱 사이트]

사용자가 해당 피싱 사이트를 애플이 제공하는 공식 사이트라고 착각하여 계정 정보를 입력하는 경우, 사용자의 iCloud 계정 정보가 고스란히 공격자에게 전달되며 이후 정보 유출 등의 2차 피해가 발생할 수 있습니다.

또한 안드로이드 환경에서는 해당 URL 클릭 시 크롬 브라우저 설치 파일로 위장한 chrome.apk 악성 앱이 다운로드되며 사용자가 이 악성 앱을 설치하면 크롬 앱 아이콘이 최초 생성되며, 이후 악성 앱 실행 시 해당 악성앱 아이콘이 다시 사라지고 노티피케이션 바에 흰색 동그라미 아이콘이 생성됩니다. 

이후 악성 앱은 백그라운드에서 작업을 수행하게 되며 사용자 입장에서는 정상적인 크롬 브라우저 앱이 업데이트되었다고 착각하게 됩니다.

[그림 2] chrome.apk 악성앱 설치 후 화면]

이후 해당 악성앱은 인스타그램을 통해 공격자의 계정에서 C&C 주소를 가져오며 공격자의 명령에 따라, 추가적인 악성 행위를 수행하게 됩니다.

수행하는 주요 악성행위는 다음과 같습니다.

1. 계정 정보 탈취

2. 통화 녹취

3. 앱 제거 및 설치 (뱅킹 앱)

4. SMS 탈취

5. 연락처 탈취

6. 인증서 탈취

7. 설치 앱 리스트 탈취

8. 기기 정보 탈취

9. 백신 실행 방해

이번에 발견된 멀티 플랫폼을 대상으로 하는 스미싱 공격은 최초 사례가 아닙니다. 위에서 이미 언급했듯이 1월에도 유사한 공격이 발견된 바 있습니다. 

다만, 자주 발견되지 않은 공격이기도 하고 무엇보다 안드로이드 사용자뿐만 아니라 iOS 사용자를 직접 타깃으로 하고 있기 때문에, iOS 운영 환경인 아이폰/아이패드 사용자의 주의가 필요합니다. 

특히 iOS 사용자들의 경우 스미싱 공격으로부터 안전하다는 인식이 매우 커서 문자를 통한 URL 클릭 시 안드로이드 사용자들과 비교하여 상대적으로 주의를 기울이지 않는 경우가 많이 확인됩니다. 

또한 iOS에서는 백신 앱 자체를 허용하지 않기 때문에 백신을 통한 방어가 어려운 부분도 존재하기 때문에 사파리 브라우저에서 제공하는 구글 세이프 브라우징에서 해당 URL의 접속을 차단하지 못하는 경우 위협에 노출되기 쉽습니다. (이번 스미싱 케이스의 경우 구글 세이프 브라우징에서 차단한 것으로 확인하였습니다.)

[그림 3] 사파리에서 구글 세이프 브라우징을 통해 해당 피싱URL을 차단하고 경고하는 화면]

안드로이드 사용자뿐만 아니라 iOS 사용자들도 SNS를 사용하거나 단축 URL이 포함된 문자 메시지를 받는 경우 클릭시 많은 주의가 필요합니다. 

출처를 알 수 없는 URL 클릭을 삼가하시고 공식 앱스토어를 통한 앱 업데이트가 아닌 다른 방식의 업데이트를 안내하는 케이스 및 계정 정보를 입력하라고 요구하는 사이트를 확인하는 경우에 대해 경계하시는 것이 안전합니다.

알약M에서는 해당 악성 앱에 대해 Trojan.Android.Downloader로 탐지하고 있으며 iOS 환경에서 접속되는 피싱사이트 URL에 대해서도 차단을 진행 중입니다.