상세 컨텐츠

본문 제목

국민건강 검진 통지 사칭 스미싱 주의!

악성코드 분석 리포트

by 알약(Alyac) 2020. 7. 8. 12:30

본문



안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


7월 6일부터 ‘국민 건강 검진 통지서입니다. 자세한 내용을 확인’이라는 내용의 스미싱이 급속도로 유포되고 있어 주의가 요구됩니다. 



[그림 1] 국민 건강 검진 통지서로 사칭한 스미싱 



‘국민 건강 검진’ 사칭 스미싱은 지난주부터 유포되었던 수사기관을 사칭한 ‘사이버수사대 사건 처리결과 통보’라는 내용의 스미싱과 함께 유포가 이뤄지고 있습니다.


이전 스미싱과 다른 부분은 개인정보를 입력받는 페이지로 이동시키는 형태가 아닌 클라우드 서비스를 활용하여 악성앱을 설치하도록 유도하는 부분입니다. 

서로 다른 스미싱 공격이었으나 동일한 클라우드 서비스를 활용하였고, 동일한 악성앱을 설치 시도한 것으로 미루어 봤을 때, 동일한 조직이 동시다발적으로 여러가지 소재를 활용한 스미싱 공격을 시도하고 있는 것으로 추측됩니다.



[그림 2] 특정 클라우드 서비스를 이용하여 악성앱을 다운로드



일단 사용자가 악성앱을 다운로드하고 설치하게 되면, 스마트폰 바탕화면에 구글 플레이 아이콘으로 위장한 악성앱이 보여지며, 백그라운드로 동작하면서 감염된 스마트폰에서 수신되는 SMS를 탈취하고 공격자에게 전달하게 됩니다.



[그림 3] 구글플레이 아이콘으로 위장한 악성앱이 설치된 화면



SMS 정보를 탈취하는 것 외에 다른 악성행위를 수행하지 않지만, 공격자가 수집한 SMS 정보를 토대로 또다른 2차 공격을 수행할 가능성이 있기 때문에 주의가 요구됩니다.


그 외에도 7월 7일부터 행정안전부를 사칭한 ‘2020 긴급재난지원금 신청’ 이라는 스미싱 역시 유포중입니다. 해당 스미싱에 포함되어 있는 URL을 클릭시 개인정보를 입력유도하는 페이지로 이동하게 되며, 해당 페이지에서 개인정보를 입력할 경우 사용자의 개인정보가 고스란히 공격자에게 넘어가게 됩니다.


스미싱 공격에 대한 예방법은 간단합니다.


출처를 알 수 없는 SMS의 링크를 클릭하여 특정페이지로 이동할 경우 개인정보 입력을 지양해야 하며, 공식 앱 마켓을 통해서만 앱 다운로드를 진행하셔야 스미싱 공격으로부터 안전할 수 있습니다. 


스미싱 공격은 주로 택배 메시지처럼 위장하여 이뤄지고 있으나 주기적으로 사회적 관심을 모으는 이슈를 소재를 번갈아 활용하고 있다는 점을 인지해주시면 좋을 것 같습니다. 


또한 알약M과 같은 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 한가지 방법입니다.


현재 알약M에서는 해당 스미싱 악성앱에 대해 Trojan.Android.CNC.GenericK로 대응중이며 변종 악성앱 출현에 대비하여 모니터링을 진행하고 있습니다.



관련글 더보기

댓글 영역