포스팅 내용

악성코드 분석 리포트

저금리 대출 문자메시지로 시작되는 신종 카카오톡 스미싱 공격 등장!!



안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 저금리 대출 문자메시지를 발송한 후 전화상담을 통한 사용자에게만 카카오톡 메시지를 보내어 악성 앱을 다운로드 받게 하는 최신 스미싱 공격이 등장하였습니다.



 [그림 1] 최신 스미싱 공격에 사용 된 문자 메시지



사용자가 받은 문자메시지에는 기존에 발견되었던 스미싱 메시지와는 다르게 악성 앱을 다운로드 할 수 있는 링크는 존재하지 않습니다.


해당 문자메시지를 받은 후 일정 시간이 지나면 전화상담이 이루어지고 상담이 완료된 사용자에게만 카카오톡 메시지를 통해 스미싱 메시지를 전달하게 됩니다.



[그림 2] 카카오톡으로 전달 된 스미싱 메시지 화면



카카오톡으로 전달된 메시지에는 기존 은행에서 대출 신청 시 받는 메지시와 유사하게 꾸며져 있으며 대출 신청서 작성을 명목으로 사용자의 링크 클릭을 유도합니다.


사용자가 대출 신청을 위해 링크를 클릭할 경우 악성 앱을 다운로드할 수 있는 사이트로 이동하게 됩니다.


 

[그림 3] 악성앱 다운로드 사이트 화면



사용자가 접속된 사이트에서 한도조회, 간편 대출, 앱 다운로드를 클릭할 경우 악성 앱이 다운로드 됩니다.



[그림 4] 다운로드 된 악성앱 화면



다운로드 된 앱은 실제 은행 앱처럼 구성되어 있어 사용자는 정상적인 앱으로 믿고 대출 신청을 진행하게 되지만 실제 이는 사용자의 정보를 탈취하는 기능을 가지고 있습니다.



[그림 5] 악성앱 실행 화면 



해당 악성앱의 주요 기능은 아래와 같습니다.


- 기기정보 탈취

- SMS 탈취

- 연락처 탈취

- 통화기록 탈취

- 공격자 명령 수행

- 설치 앱 리스트 탈취

- 수신 전화 차단

- 발신 전화 포워드

- 위치 정보 탈취

- 도청 (마이크 녹음)

- 사진 촬영




현재 알약M에서는 해당 스미싱 악성 앱에 대해 Trojan.Android.KRBanker로 탐지 중입니다.



[그림 6] 알약M 탐지화면



티스토리 방명록 작성
name password homepage