상세 컨텐츠

본문 제목

국내 생명보험사를 사칭한 악성 앱 주의!

악성코드 분석 리포트

by 알약4 2021. 11. 10. 15:08

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

보험사를 사칭한 악성앱이 발견되어 사용자들의 주의가 필요합니다. 해당 악성앱은 스미싱 문자를 통해 유포됩니다. 

 

광고)라이프플래닛

000고객님
안녕하세요. *** 플래닛입니다.
고객님께서 납부하신  84개월 형 저축보험이 만기가 되어 연락드립니다.
곧 미수령된 금액은 철회되므로 보험공사  연락 하셔서  확인하시길 바랍니다. 
-(84개월형)저축보험만기날짜 : 2021년 7월8일
-상담시간 : 오전 8:30시 ~ 오후 5시 (공휴일제외)
-상담번호 : 02-3444-****
※자세한 내용은 상담원으로 통해 문의 바랍니다.
※현재 신청자가 많으니 상담이 지연되는점 양해바랍니다.
무료거부080****622

 

사용자가 상담번호로 전화를 걸면, 상담사는 악성 앱 다운로드를 유도합니다.

만일 사용자가 상담사가 안내하는 대로 악성 앱을 설치하면 다음과 같은 과도한 권한을 요구하며, 해당 권한을 획득 한 이후로는 사용자 휴대폰을 모두 볼 수 있으며 보이스피싱도 가능합니다. 

 

 

[그림 1] 생명보험사를 위장한 악성앱 메인화면

 

- 마이크 정보 탈취
- GPS 정보 탈취
- 전화 탈취
- 주소록 탈취
- 통화 목록 탈취
- SMS 정보 탈취
- 통화기록 탈취
- 저장용량 접근권한 (파일 저장, 삭제 등 가능)

 

 

사용자가 생년월일과 성별 정보를 입력 후 보험료 확인을 누르면 개인정보처리 동의를 이유로 이름, 주민등록번호, 통신사 정보 입력을 유도합니다.

 

 

[그림 2] 개인정보 확인 페이지

 

 

이때 앱 내부에서 주민등록번호의 패턴을 검사하기 때문에, 만일 사용자가 주민등록 패턴에 맞지 않은 임의의 7자리 숫자를 입력하면 주민등록번호를 제대로 입력하라는 창이 뜹니다. 

 

 

[그림 3] 주민등록번호 패턴 검사 코드

 

 

실제 보험사에서 조회나 가입 등을 진행할 때 주민등록번호를 포함한 개인정보를 요구하기 때문에, 이러한 악성앱에서 정보를 요구할 때 이상한 점을 느끼지 못하고 입력하는 경우가 다수입니다.

 

만일 사용자가 앱에서 요구하는 정보들을 모두 입력 후 가입상품 확인하러 가기를 누르면 입력한 정보들을 공격자의 서버로 전송됨과 동시에 수령신청 페이지로 이동하여 수령가능금액 32,192,000원이 보여지게 됩니다. 이때 보여지는 화면은 입력된 정보와는 상관없이 동일하게 보여집니다. 

 

 

[그림 4] 가입상품 및 수령실패 페이지

 

하지만 사용자가 수령신청하기를 누르면 이미 수령했다는 메세지와 함께 수령실패가 뜨며, 하단에 전화상담 버튼을 배치하여 사용자들의 콜백을 유도합니다. 

 

전화상담 번호는 실제 국민건강보험공단 번호로 적혀 있지만, 만일 사용자가 해당 번호로 전화를 한다면 공격자들이 전화를 넘겨받게 됩니다. 사용자가 설치한 악성 앱에는 전화 탈취 기능이 있어 공격자가 중간에서 사용자의 전화를 가로챌 수 있기 때문입니다. 

 

실제로 해당 악성 앱 내부에는 금융기관 안내멘트 녹음파일이 다수 포함되어 있었으며, C2 서버로부터 명령을 받아 가짜전화와 같은 기능들을 수행하는 것을 확인하였습니다. 

 

사용자 여러분들께서는 반드리 구글플레이를 통하여 앱 설치를 해주시기 바라며, 알약M과 같은 모바일 백신을 사용하시기를 권고 드립니다. 

 

현재 알약M에서는 해당 악성앱에 대해  Trojan.Android.Banker로 탐지중에 있습니다. 

 

 

 

 

 

 

 

 

 

관련글 더보기

댓글 영역