택배 스미싱 Trojan.Android.SmsSpy 분석보고서

개요

코로나19로 인하여 생활의 많은 부분에서 변화가 생겼습니다. 대부분의 국민들은 코로나19 감염을 우려하여 사람이 밀집되는 지역이나 장소를 기피하게 되었으며 오프라인 쇼핑과 외식보다는 온라인 쇼핑과 배달(택배)을 이용하고 있습니다.

스미싱 공격 조직은 이 기회를 최대한 활용하기 위해서 택배 스미싱 공격을 활발하게 진행하고 있으며 탐지 회피를 위해 스미싱 택배 문구도 다변화하는 양상을 보이고 있습니다.

택배 스미싱은 비교적 널리 알려져 있어 쉽게 당하지 않을 것으로 생각하지만 의외로 피해를 입는 경우가 많습니다. 택배 스미싱 문구가 실제 택배 기사님들이나 회사에서 보내는 것으로 보이도록 작성되어 있으며 더러는 피해자의 이름이 명시되어 있는 경우도 있기 때문입니다. 그러나 택배 스미싱 문자를 주의 깊게 살펴보면 수상한 부분이 있습니다. 

이런 택배 스미싱을 문자부터 감염 상황과 설치 시 행위 등에 대해 알아보도록 하겠습니다.

분석

다음은 스미싱 악성 앱이 유포되는 일련의 과정을 도식화 한 것입니다.

[그림 1] 스미싱 악성 앱 유포 과정

위 그림은 스미싱 악성 앱의 유포 과정을 살펴보면 피해자가 수신한 문자로 시작된다는 것을 알 수 있습니다. 이어서 피해자가 문자 내의 URL 링크를 클릭하면 공격자의 웹 페이지에 방문합니다. 그리고 공격자의 웹 페이지에 전화번호를 입력하면 악성 앱이 내려옵니다. 피해자는 다운로드한 파일이 악성 앱이라는 것을 모르고 설치를 진행합니다. 

이러한 과정을 통해 악성 앱이 피해자 기기에 설치되는 것입니다. 

그럼, 스미싱 공격의 출발점인 스미싱 문자부터 알아보겠습니다. 

최근 스미싱 공격은 더욱 활발해졌으며 대다수의 스미싱 공격은 택배 회사를 사칭하는 택배 스미싱입니다. 

택배 스미싱은 다양한 택배 회사를 사칭하지만 본 분석 보고서에서는 많이 사칭되는 두 택배 회사의 스미싱 문자들의 일부를 살펴보겠습니다.

[CJ 대한통운 사칭]

"[Web발신][CJ*통운]OOO상품이배달되지못하였으니,주소를확인해주십시오."

"[Web발신]{C*J대*한}운송장번호[336**7]주소지미확인,반송처리주소확인:"

[한진 택배 사칭]

"[Web발신][한진택배]OOO님 배송 1박스 문 앞(으)로 배송완료했습니다.사진 "

"[한진택배]OOO3/24상품 배 송실패, 사진 정보 확인 해주세요."

문자를 살펴보면 다음과 같은 특징이 있음을 알 수 있습니다.

- "*" 등의 특수 문자를 글자 사이사이 넣는다.

- 문법에 맞지 않는 띄어쓰기를 사용한다.

- 불필요한 공백이 있다.

- 택배 위치 확인을 위해 필요한 운송장 번호가 없다.

- 단축 URL 등의 URL 링크가 포함되어 있다.

즉, 택배 스미싱 문자는 문법이나 단어 선택이 서툴러 내용이 조악합니다. 물론 최근의 택배 스미싱 문자들은 단어 선택이나 띄어쓰기 등을 신경 써서 제작하는 경우도 늘어나고 있어 정상 문자로 혼동할 수도 있습니다. 그러나 정상 택배 문자와의 결정적인 차이점은 대다수의 정상적인 택배 관련 문자들에는 URL이 존재하지 않습니다. URL이 포함되는 정상 택배 관련 문자는 다음 그림과 같이 상품에 대한 정보와 배송 일정, 운송장 번호 등이 포함되어 있습니다.

[그림 2] 택배 회사의 정상 문자

따라서 택배 관련 문자를 받았을 경우 주의를 기울여 살펴본다면 스미싱 문자인지 정상 문자인지를 쉽게 알 수 있습니다. 

다음은 택배 스미싱 문자 내에 존재하는 URL 링크를 눌렀을 경우 피해자가 마주하게 되는 화면입니다.

[그림 3] 택배 스미싱 문자 내의 URL로 연결되는 웹 페이지

연결된 웹 페이지를 살펴보면 사칭하는 택배 회사는 각각 다르지만 조회 페이지는 CJ 대한통운과 한진택배로 택배 회사의 명칭만 다를 뿐 대동소이합니다. 그리고 정상적인 택배 회사의 택배 조회 페이지는 다음과 같습니다.

[그림 4] 실제 택배 회사의 택배 조회 사이트

택배 스미싱 문자 내의 URL로 이동한 조회 페이지는 택배 조회를 위해 전화번호를 요구하고 있습니다. 그러나 택배 회사의 조회 페이지를 살펴보면 전화번호가 아닌 운송장 번호만을 요구하고 있다는 것을 알 수 있습니다.

이 단계에서 웹 페이지의 이상한 부분을 인지하고 웹 페이지를 닫는다면 피해를 입지 않을 수 있습니다. 그러나 스미싱이라는 것을 인지하지 못하고 전화번호를 입력한 후 조회 버튼을 누르면 악성 앱이 스마트폰으로 다운로드 됩니다. 

다음 그림은 각 택배 스미싱 악성 앱을 설치하는 화면입니다.

[그림 5] 악성 앱 설치 화면

이렇게 설치된 악성 앱은 피해자가 삭제하기 어렵도록 ICON을 숨기고 백그라운드에서 악성 행위를 수행합니다. 다음 그림은 악성 앱이 자신을 보호하기 위해 기기 관리자 권한을 요청하는 화면과 SMS를 제어할 수 있도록 디폴트 메시지 앱으로 등록하는 화면입니다.

 

  [그림 6] 기기 관리자 권한 요청과 디폴트 메시지 앱 등록 화면

악성 앱이 기기 관리자 권한을 가지게 되면, 백신 앱이 악성 앱을 제거하기 위해 악성 앱의 기기 관리자 권한을 해제하여야 합니다. 이는 악성 앱의 제거를 어렵게 합니다. 악성 앱이 디폴트 메시지 앱으로 등록을 하는 이유는 SMS 처리를 하기 위해서입니다. 디폴트 메시지 앱으로 등록될 경우 송/수신되는 SMS를 최초로 전달받아 처리할 수 있습니다. 따라서 수신 받은 SMS를 버리고 사용자에게 전달하지 않을 경우 사용자는 이를 알 길이 없습니다. 

설치가 완료된 악성 앱을 실행하면 다음 그림과 같이 아무런 내용이 없는 화면이 나타나거나 실행이 제대로 되지 않는 것처럼 홈 스크린 화면이 나타납니다.

[그림 7] 악성 앱 실행 화면

피해자가 악성 앱을 다시 실행하기 위해 ICON을 찾아도 찾을 수 없습니다. 악성 앱은 최초 실행 시 ICON을 숨기고 피해자의 기기 정보를 탈취하여 C2 서버에 등록한 후 백그라운드에서 악성 행위를 수행합니다. 다음 그림은 설정 메뉴에 있는 애플리케이션 정보에서 확인한 악성 앱의 정보입니다.

[그림 8] 설정에서 확인한 악성 앱 정보

ShopCJ의 경우 강제 중지와 삭제 버튼이 비활성화되어 있습니다. 이는 기기 관리자 권한을 획득했기 때문입니다. 악성 앱은 기기 관리자 권한을 획득하지 못하면 획득할 때까지 피해자에게 [그림 6]의 기기 관리자 권한 요청 화면을 지속적으로 노출시키며 스마트폰의 사용을 불편하게 만듭니다. 

다음은 악성 앱의 주요 악성 행위를 정리한 내용입니다.

- 기기 정보 탈취

- SMS 탈취

- 연락처 탈취

- 통화기록 탈취

- 설치 앱 기록 탈취

- 암호화폐 거래소 앱 설치 여부 체크

- SMS 수신 차단

- 수신 전화 차단

악성 앱의 주요 코드를 살펴보도록 하겠습니다. 다음 그림은 기기 정보를 탈취하는 코드의 일부입니다.

[그림 9] 기기 정보 탈취 코드

다음 그림은 SMS를 탈취하는 코드입니다.

[그림 10] SMS 탈취 코드의 일부

다음 그림은 연락처 탈취 코드입니다.

[그림 11] 연락처 탈취 코드의 일부

다음 그림은 통화 기록 탈취 코드입니다.

[그림 12] 통화 기록 탈취 코드의 일부

다음은 설치 앱 리스트를 탈취하는 코드입니다.

[그림 13] 설치 앱 리스트 탈취 코드의 일부

다음은 암호화폐 거래소 앱 설치 리스트를 탈취하는 코드입니다.

  [그림 14] 암호화폐 거래소 앱 설치 리스트 탈취 코드

다음은 하드 코딩된 암호화폐 거래소 앱들의 패키지 리스트입니다.

[그림 15] 암호화폐 거래소 앱 패키지 리스트

다음은 수신 SMS를 차단하는 코드입니다.

[그림 16] 수신 SMS 차단 코드의 일부

다음은 수신 전화를 차단하는 코드입니다.

[그림 17] 수신 전화 차단 코드의 일부

다음은 C2 서버로부터 전달받는 명령 코드 리스트입니다.

  

[그림 18] 공격 명령 코드

[그림 19] 공격 명령 처리 코드의 일부

결론

분석 내용과 같이, 택배 스미싱 문자의 가장 중요한 부분은 문자 내에 포함된 URL이다. 택배 회사나 기사님들이 보내는 문자의 대부분은 URL이 없습니다. 그리고 택배 회사나 기사님들은 고객의 전화번호를 요구하지 않습니다. 이미 알고 있기 때문입니다. 

택배 스미싱의 피해 예방은 매우 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 클릭했더라도 전화번호와 같은 개인정보를 입력하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하시는 것도 피해를 조기에 예방하는데 큰 도움이 됩니다. 

현재 알약M에서는 해당 악성코드 샘플에 대하여 Trojan.Android.SmsSpy으로 탐지 중이다.

스미싱 문자 예방

1) 출처가 불분명한 문자를 수신한 경우 문자 내의 링크 클릭 자제.

2) 링크를 클릭하기 전 정상 사이트의 도메인과 일치하는지 확인.

3) 휴대폰 번호, 아이디, 비밀번호 등의 정보는 신뢰된 사이트에서만 입력.

악성 앱 감염 시 대응

1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.

2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제. 

3) 백신 앱이 악성 앱을 탐지하지 못했을 경우 

   A. 백신 앱의 신고하기 기능을 사용하여 신고.

   B. 수동으로 악성 앱 삭제