상세 컨텐츠

본문 제목

인터넷 전문은행을 사칭하여 유포 중인 스미싱 주의!

악성코드 분석 리포트

by 알약4 2021. 8. 25. 15:40

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

최근 신용대출한도 축소와 일부 은행들의 주택담보대출 제한 소식들이 많이 들리며 혼란이 고조되고 있는 가운데, 최근 인터넷 전문은행을 사칭한 스미싱이 발견되어 사용자들의 각별한 주의가 필요합니다. 

 

내용
<***뱅크모바일상담신청서> 고객님 고유 보안코드로 발급된 모바일신청서입니다. hxxp://xx.xx.xx.xx/xxxxx/xxxx/***Bank.apk ① 해당 주소링크 클릭 ② 설치 및 열기7 ③ 기재 내용 작성 ④ "신청버튼" 클릭 완료

 

이번에 발견된 스미싱은, ***뱅크모바일상담신청서라는 내용과 함께 링크가 포함되어 있습니다. 사용자가 해당 링크를 클릭하면 모바일 브라우저가 실행되며 은행 앱 UI를 위장한 페이지가 뜹니다. 동시에 은행 앱을 위장한 악성 apk가 사용자 모바일에 다운로드 됩니다. 

 

 

[그림 1] 악성 앱 설치 화면

 

다운로드 된 apk는 다음과 같은 권한을 요구합니다. 

 

 

[그림 2] 악성 앱이 권한을 요구하는 화면

 

-기기 정보 탈취
-공격자 명령 수행
-파일 삭제
-파일 업로드 (sms 탈취, 연락처 탈취, 통화 기록 탈취, 문서 파일, 이미지 파일)
-위치 정보
-연락처 탈취
-연락처 삽입 또는 삭제
-sms 탈취
-sms 삭제
-통화기록 탈취
-앱 삭제
-사진 촬영
-수신 전화 차단
-발신 전화 포워드
-기본 전화앱 등록
-배터리 최적화 무시
-개인정보 탈취 (상담신청 시 입력하는 개인정보)

 

 

은행 앱이 설치되고, 사용자가 실행하면 기본전화등록과 배터리 최적화 중단을 요구합니다. 배터리 최적화 기능이 허용되었을 경우 시스템에서 자동으로 해당 앱의 동작을 중단할 수 있으며, 동작이 중단되면 더 이상 백그라운드에서 악성행위를 할 수 없게 됩니다. 그렇기 때문에 피해를 받은 사용자의 폰에서 오랫동안 남아있기 위하여 배터리 최적화 기능 중단을 요구합니다. 

 

 

[그림 3] 기본 전화 앱 변경 요청 화면
[그림 4] 배터리 사용량 최적화 중지 요청 화면

 

 

사용자가 앱에서 요구들을 모두 허용하면 다음과 같이 상담신청 화면이 나오며, 이름 및 주민등록번호가 포함된 개인정보를 요구합니다.

 

 

[그림 5] 대출 신청을 위장한 화면

 

 

사용자가 앱에서 요구하는 개인정보들을 입력 후 신청하기를 누르면, 입력한 정보들은 공격자의 서버로 전송되며 사용자에게는 접수완료 팝업을 띄워 신청이 완료된 것처럼 보이도록 위장합니다. 

 

 

[그림 6] 대출 신청 완료 화면

 

 

앱 하단에 있는 메뉴들을 누르면, 대출 승인사례와 진행절차를 볼 수 있도록 제작하여 사용자들의 의심을 피하고자 합니다.

 

 

[그림 7] 대출승인사례 및 진행절차 화면

 

 

금융회사는 먼저 대출과 관련된 문자를 보내지 않기 때문에, 사용자 여러분들은 반드시 이 점을 숙지하시고 의심 문자가 오면 바로 삭제하시기를 권고 드립니다. 

 

현재 알약M에서는 해당 악성앱에 대해 Trojan.Android.KRBanker로 탐지중에 있습니다. 

 

 

 

 

 

관련글 더보기

댓글 영역