상세 컨텐츠

본문 제목

검찰 사칭 보이스피싱 주의!

악성코드 분석 리포트

by 알약1 2023. 2. 1. 11:32

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

 

음성 전화로 개인정보나 재정 정보를 악용하여 재산상의 손해를 입히는 보이스피싱 범죄가 최근 교묘해지고 있어 주의가 요구됩니다.

 

기존에 금융 기관 사칭부터 대부 업체 사칭, 가족과 지인 사칭까지 수법이 점점 발전하고 있습니다. 오래전부터 꾸준했던 검찰 보이스피싱은 불법 자금과 계좌가 연관되어 있다는 이야기로 피해자를 속여왔습니다. 최근에는 피싱 사이트를 직접 만들고 운영하며 속이는 방법이 더욱 발전되었습니다.

 

 

피싱 사이트

 

 

[그림 1] 피싱 사이트

 

 

피싱 사이트는 PC 버전 이외에 모바일 버전도 지원하고 있습니다.

 

 

[그림 2] 모바일 화면

 

 

공격자는 전화로 사건 조회를 유도하는데, 먼저 로그인이 필요합니다. ‘공인인증서아이디방법은 비밀번호를 입력할 수 없게 만들어 두었고 비회원 인증 방법만 가능합니다. 다만 아무거나 입력해도 넘어가지 않고 실제 주민등록번호 알고리즘을 활용해 체크합니다.

 

 

[그림 3] 모바일 화면

 

 

정상적인 주민등록번호를 입력했을 때 해당 정보를 그대로 이미지에 포함하여 실제 구속영장인 것처럼 속이고 있습니다. 위조 구속영장, 위조 재직 증명서 등 검찰 관련 서류에 익숙하지 않은 피해자는 이를 진짜 서류라고 믿고 피해를 보게 되는 상황이며 성매매 특별법 및 자금 세탁, 불법 명의도용 사건으로 표시하여 불안감을 증가시킵니다.

 

 

[그림 4] 모바일 화면

 

 

마지막으로 지급 정지된 계좌와 불법 자금 거래내역을 보여주며 입증을 위한 확인 절차를 진행합니다. 이때 돈을 직접적으로 요구하거나 추가 앱 설치를 유도할 수 있습니다.

 

 

 

앱 정보 및 실행 화면

 

 

[그림 5] 앱 목록

 

 

앱 목록을 살펴보면 같은 아이콘에 다양한 이름인 것을 확인할 수 있으며 아래의 표와 같습니다.

 

 

키워드 애플리케이션 이름
진술서 “모바일진술서”, “스마트 진술서”, “온라인 진술서”, “조사자진술서”, “Smart진술서”, “SPO 진술서”, “Mobile 진술서”
기타 “SPO모바일조서”, “증거보전신청서”

 

 

[그림 6] 앱 실행 화면

 

 

앱 이름은 다양하지만, 앱 실행화면은 거의 같으며 생년월일과 주민등록번호 입력 차이가 있습니다. 주민등록번호를 요구하는 앱은 피싱 사이트처럼 주민등록번호 알고리즘을 활용하여 체크하기 때문에 아무 숫자나 입력해도 다음 단계로 넘어가지 않습니다.

 

정상적인 정보를 입력하면 제출 완료 메시지가 나타나고 이외에 다른 화면은 표시되지 않습니다.

 

 

본 분석 글에서는 보이스피싱에 사용되는 악성 앱 "Trojan.Android.Banker"를 살펴보도록 하겠습니다.

 

 

코드 분석 - 초기 단계

 

 

[그림 7] dex 드롭

 

 

분석을 어렵게 하고 방해하기 위한 목적으로 DEX 파일을 드롭하여 사용합니다.

 

 

[그림 8] 초기 구성

 

 

현재 검찰 앱은 기능이 없는 껍데기로써 실질적인 악성 행위는 하지 않습니다. 따라서 리소스 폴더에 있는 악성 앱을 추가로 설치하고 웹 페이지 소스를 띄워 화면에 표시합니다.

 

 

[그림 9] 추가 앱 설치

 

 

추가로 설치하는 앱은 기능이 동일하지만 다양한 아이콘과 이름을 사용합니다.

 

 

[그림 10] 웹 화면 소스

 

 

미리 웹 화면을 구성해 놓았고 주민등록번호를 검증합니다. 다만 서버로 정보를 전송하는 것이 아닌 제출 완료의 여부만 메시지 박스로 표시하고 있습니다.

 

 

[그림 11] 앱 삭제

 

 

설치된 앱을 확인하여 후후, 후스콜, WhyCall, DU Caller와 같은 앱이 있다면 확인 창을 띄워 삭제를 유도합니다.

 

 

 

코드 분석 - 기능 설명

 

  • 통화
    • 통화 강제 착, 발신 및 기록
    • 통화 강제 종료
    • 기존 통화 기록 탈취
    • 기존 통화 기록 삭제
  • 문자
    • 전송
    • 기존 내역 탈취
    • 실시간 문자 확인
  • 음성 녹음 및 탈취
  • 연락처 목록 탈취
  • 갤러리 탈취
  • C2 서버 교체
  • C2 명령 수행

 

 

[그림 12] 문자 탈취

 

 

실제 악성 행위를 하는 추가 앱은 다양한 기능들을 수행할 수 있습니다. 먼저 주고받은 문자 내역을 DB 형식으로 저장하여 탈취합니다. 또한, 삭제하고 싶은 패키지 명을 가져와 삭제하는 기능을 포함하고 있습니다.

 

 

[그림 13] 연락처 탈취

 

 

연락처 목록을 탈취할 수 있으며, 아이콘을 숨기거나 오디오 소리를 무음으로 변경할 수 있습니다.

 

 

[그림 14] 녹음

 

 

스마트폰 녹음 기능을 통해 주변 환경의 소리를 담아 파일로 저장하여 탈취할 수 있습니다.

 

 

[그림 15] 이미지 탈취

 

 

이미지가 있는 폴더를 확인하여 목록을 가져오고 이미지 파일을 서버로 전송합니다.

 

 

[그림 16] 전화 기록

 

 

공격자는 강제로 전화를 걸거나 수신을 할 수 있는데 제어와 동시에 들어오고 나가는 전화 기록을 확인할 수 있습니다.

 

 

[그림 17] 기관 번호

 

 

공격자는 사용자를 속이기 위해 기관별로 음성 안내 멘트를 수집해 두었고 기관 전화를 표시하며 그에 따른 음성 파일을 재생하여 사칭합니다.

 

 

[그림 18] C2

 

각종 정보를 탈취하고 명령을 주고받는 C2 서버의 주소는 변경될 수 있으므로 reddit 페이지를 통해 관리하고 있습니다. 직접적으로 주소를 표시하지 않고 AES 복호화 작업을 통해 교체합니다.

 

 

결론

 

 

[그림 19] 배포 페이지

 

 

공격자는 검찰 피싱 페이지 이외에도 구글 플레이스토어로 위장하여 다른 앱을 배포 중입니다. 피싱과 스미싱, 보이스피싱을 예방할 수 있는 앱을 그대로 사칭하여 피해자를 속이고 있습니다. 자세히 확인해 보면 구버전의 플레이스토어로써 현재의 버전과 다름을 확인할 수 있으며 앱은 정식 플레이스토어에 검색을 통해 설치하는 것을 권장해 드립니다.

 

 

다음은 악성 앱 공격의 예방 및 대응 방법입니다.

 

    -   악성 앱 예방

        1)    출처가 불분명한 앱은 설치하지 않는다.

        2)    구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다.

        3)    SMS나 메일 등으로 보내는 앱은 설치하지 않는다.

 

    -   악성 앱 감염 시 대응

        1)    악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.

        2)    악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.

        3)    백신 앱이 악성 앱을 탐지하지 못했을 경우

               A.      백신 앱의 신고하기 기능을 사용하여 신고.

               B.       수동으로 악성  삭제

 

 

[그림 25] 탐지 화면

 

 

현재 알약 M에서는 해당 앱을 "Trojan.Android.Banker" 탐지 명으로 진단하고 있습니다.

 

 

관련글 더보기

댓글 영역