안녕하세요. ESRC(시큐리티 대응센터)입니다.
최근 전화상담을 통해 대출신청서 파일을 카카오톡 메신저로 전달하는 스미싱 공격이 등장하여 사용자들의 주의가 필요합니다.
사용자에게 전달된 메시지에는 “신청서.zip” 압축파일을 다운로드 및 설치를 유도하고 앱 설치에 필요한 “출처를 알 수 없는 앱 허용” 옵션까지 설명하고 있습니다.
“신청서.zip” 파일 내부는 실제 대출신청서가 아니라 “신청서.apk” 안드로이드 파일이 압축되어 있습니다.
사용자가 압축 파일 내의 앱을 실행하면 실제 저축은행 앱처럼 구성되어 있어 사용자는 정상적인 앱으로 믿고 대출 신청을 진행하게 되지만, 실제 앱은 사용자의 정보를 탈취하는 기능을 가지고 있습니다.
해당 악성 앱의 주요 기능은 아래와 같습니다.
- 기기 정보 탈취
- 공격자 명령 수행
- 파일 삭제
- 파일 업로드 (SMS 탈취, 연락처 탈취, 통화 기록 탈취, 문서 파일, 이미지 파일)
- 위치 정보
- 연락처 탈취
- 연락처 삽입 또는 삭제
- SMS 탈취 / 삭제
- 통화기록 탈취
- 앱 삭제
- 사진 촬영
- 수신 전화 차단
- 발신 전화 포워드
앱이 동작되고 공격자 서버에 접속되면 아래와 같은 명령들을 수행할 수 있습니다.
앱 내부의 데이터베이스 파일에는 각 기관 및 은행 그리고 제3금융 전화번호를 담고 있으며 이는 정상 기관의 전화를 강제로 끊고 해당 전화를 사칭하기 위한 데이터로 사용됩니다.
사용자가 [그림5]에 저장되어 있는 번호로 전화를 할 시 미리 연결되어 있는 금융권의 안내 멘트가 담긴 파일을 사용하여 정상 금융권 전화처럼 사용자를 속여 통화를 가로챌 수 있습니다.
또한 휴대폰 스토리지에 있는 파일 중 특정 확장자를 가진 파일을 검색하여 압축파일로 만들고 서버로 전송시켜 사용자의 주요 문서 및 사진 등 개인정보를 탈취합니다.
이와 같은 대출 스미싱 공격은 개인정보를 탈취당하는 것으로 끝나지 않으며, 탈취 한 개인정보를 통해 금전적인 피해까지 2차로 진행될 수 있으니 알약M과 같이 신뢰할 수 있는 백신앱을 설치하여 피해를 예방하시기 바랍니다.
현재 알약M에서는 해당 스미싱 악성 앱에 대해 Trojan.Android.KRBanker로 탐지 중입니다.
네이버 전자세금계산서를 위장한 피싱 메일 주의! (0) | 2021.07.15 |
---|---|
이력서를 위장하여 유포중인 Makop 랜섬웨어 주의! (0) | 2021.07.13 |
Babuk 랜섬웨어 Builder 분석 (0) | 2021.07.12 |
'중요 업데이트'를 위장하여 유포중인 혹스(Hoax)메일 주의! (0) | 2021.07.12 |
Kaseya 랜섬웨어 사태 취약점 MS 보안 패치 위장 공격 메일 주의! (0) | 2021.07.07 |
댓글 영역