대출 신청서를 사칭한 신종 스미싱 공격 방식 주의!!

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 전화상담을 통해 대출신청서 파일을 카카오톡 메신저로 전달하는 스미싱 공격이 등장하여 사용자들의 주의가 필요합니다.

사용자에게 전달된 메시지에는 “신청서.zip” 압축파일을 다운로드 및 설치를 유도하고 앱 설치에 필요한 “출처를 알 수 없는 앱 허용” 옵션까지 설명하고 있습니다.

 

 

[그림1] 카카오톡으로 전달 된 허위 대출신청서 파일 전달 화면

 

 

“신청서.zip” 파일 내부는 실제 대출신청서가 아니라 “신청서.apk” 안드로이드 파일이 압축되어 있습니다.

 

 

[그림2] 카카오톡으로 전달 된 신청서 압축파일 내부 화면

 

 

사용자가 압축 파일 내의 앱을 실행하면 실제 저축은행 앱처럼 구성되어 있어 사용자는 정상적인 앱으로 믿고 대출 신청을 진행하게 되지만, 실제 앱은 사용자의 정보를 탈취하는 기능을 가지고 있습니다.

 

 

[그림3] 악성 앱 실행 화면

 

 

해당 악성 앱의 주요 기능은 아래와 같습니다.

- 기기 정보 탈취
- 공격자 명령 수행
- 파일 삭제
- 파일 업로드 (SMS 탈취, 연락처 탈취, 통화 기록 탈취, 문서 파일, 이미지 파일)
- 위치 정보
- 연락처 탈취
- 연락처 삽입 또는 삭제
- SMS 탈취 / 삭제
- 통화기록 탈취
- 앱 삭제
- 사진 촬영
- 수신 전화 차단
- 발신 전화 포워드

 

 

앱이 동작되고 공격자 서버에 접속되면 아래와 같은 명령들을 수행할 수 있습니다.

 

 

[그림4] 공격자 명령 수행 코드 화면

 

 

앱 내부의 데이터베이스 파일에는 각 기관 및 은행 그리고 제3금융 전화번호를 담고 있으며 이는 정상 기관의 전화를 강제로 끊고 해당 전화를 사칭하기 위한 데이터로 사용됩니다.

 

 

[그림5] 기관 및 대출 관련 번호 데이터베이스 파일 내부 화면

 

사용자가 [그림5]에 저장되어 있는 번호로 전화를 할 시 미리 연결되어 있는 금융권의 안내 멘트가 담긴 파일을 사용하여 정상 금융권 전화처럼 사용자를 속여 통화를 가로챌 수 있습니다.

 

 

[그림6] 탈취 파일의 확장자 리스트 코드 화면

 

 

또한 휴대폰 스토리지에 있는 파일 중 특정 확장자를 가진 파일을 검색하여 압축파일로 만들고 서버로 전송시켜 사용자의 주요 문서 및 사진 등 개인정보를 탈취합니다.

 

 

[그림7] 기관 및 금융권 안내 멘트 리스트 화면

 

 

이와 같은 대출 스미싱 공격은 개인정보를 탈취당하는 것으로 끝나지 않으며, 탈취 한 개인정보를 통해 금전적인 피해까지 2차로 진행될 수 있으니 알약M과 같이 신뢰할 수 있는 백신앱을 설치하여 피해를 예방하시기 바랍니다.

현재 알약M에서는 해당 스미싱 악성 앱에 대해 Trojan.Android.KRBanker로 탐지 중입니다.

 

[그림8] 알약M 탐지화면