상세 컨텐츠
본문
최근 민생회복 소비쿠폰(민생회복지원금) 2차 지급을 앞두고 과거 국민지원금 스미싱 수법을 재활용한 스미싱이 유포 중인 것으로 확인되어 사용자분들의 각별한 주의가 필요합니다.
스미싱 문자에는 국민지원금 대상자에 해당되므로 온라인센터에서 신청하라는 문구와 함께 악성 링크가 포함되어 있습니다.
국민지원금 신청대상자에 해당되므로 온라인센터에서 신청하시기 바랍니다.
hxxps://gov.aszt.pw
사용자가 해당 링크를 클릭하게 되면 정부24 사이트를 위장한 피싱 페이지로 접속되며, [맞춤 혜택 조회하기]버튼 클릭시 apk 파일 다운로드 및 앱 설치를 유도합니다.
해당 악성 앱은 설치 과정에서 특별한 권한이 필요하지 않은 것처럼 안내하지만, 실제로는 앱 실행 시 사용자 기기 내 정보 수집과 외부 서버와의 통신을 위해 다양한 권한을 요구합니다.
|
권한
|
설명
|
|
android.permission.RECEIVE_SMS
|
SMS 수신
|
|
android.permission.SEND_SMS
|
SMS 발송
|
|
android.permission.READ_PHONE_NUMBERS
|
저장된 전화번호 정보 권한
|
|
android.permission.READ_PHONE_STATE
|
전화 상태 및 기기 정보 접근
|
|
android.permission.ACCESS_NETWORK_STATE
|
네트워크 상태 확인
|
|
android.permission.INTERNET
|
인터넷 접근
|
|
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
|
배터리 최적화 무시 (백그라운드에서 지속 실행을 위함)
|
|
com.ihxqz.hsjsxgmo.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION
|
앱별 동적 권한
|
[표 1] 악성 앱의 권한 정보
권한 설정 완료 후 백그라운드에서 실행되는데 이때 010,011,016,017,018,019 같은 국내 휴대폰 번호의 프리 픽스를 체크하며, +82 와 같이 한국국가 코드가 아닐 시 동작하지 않게 됩니다.
또한 에뮬레이터나 테스트 환경에서 사용되는 더미 번호와 핸드폰 번호의 자릿수도 검증하는 등 국내 사용자를 타깃으로 제작된 앱임을 확인할 수 있습니다.
국내 사용자로 확인되면 사용자 기기 정보를 수집하고, 수신된 SMS를 가로채어 공격자 서버로 전송합니다. 수집되는 기기 정보는 다음과 같습니다.
|
수집 정보
|
상세 내용
|
|
|
uuid
|
기기 고유 식별자
|
|
|
number
|
전화번호
|
|
|
operator
|
이동통신사 정보
|
|
|
Phone_type
|
기기모델명
|
|
|
Android_v
|
안드로이드 버전
|
|
|
empower
|
phone
|
전화 관련 권한
|
|
sms
|
SMS 관련 권한
|
|
|
contacts
|
연락처 권한
|
|
|
image
|
이미지 권한
|
|
|
network
|
네트워크 권한
|
|
|
accessibility
|
접근성 권한
|
|
|
msg
|
메시지 권한
|
|
|
baattery
|
베터리 권한
|
|
[표 2] 수집되는 정보
SMS 수신 가로채기는 AbortBroadcast 메서드를 사용하여 다른 앱에서 SMS를 받지 못하게 차단하며, 사용자 기기로 수신되는 SMS를 공격자 서버(C2)로 전송합니다.
공격자 서버(C2)로 전송 시 본문, 발신번호, 수신시각을 포함하여 ‘단말기 uuid + sms (json)’ 를
updateUserMsg 파라미터를 통해 전달합니다.
이러한 SMS 수신 가로채기 기능은 금융 앱 이용 시 인증번호 탈취 등으로 악용될 수 있어 매우 위험합니다.
공격자는 이를 통해 사용자의 금융 계정에 접근하거나, 2차 인증 절차를 우회하여 계좌 이체 및 결제와 같은 금전적 피해를 발생시킬 수 있습니다.
또한 악성 앱은 공격자 서버로부터 SMS 발송 명령을 받아 지정된 전화번호 목록을 대상으로 스미싱 문자를 전송하고 그 결과를 다시 공격자 서버로 보고합니다.
이 과정은 약 0.2초(200ms) 간격으로 반복되어, 짧은 시간 안에 대량의 스미싱 문자가 빠르게 확산되도록 제작되었습니다.
특히 이와 같은 SMS 대량 발송 기능은 수집된 문자와 연락처 정보를 악용해 추가적인 피싱/스미싱 공격에 활용될 수 있으므로 피해 규모가 개인을 넘어 가족이나 지인들까지 확산될 수 있습니다.
사용자 기기의 정보를 업데이트 하는 공격자 서버(C2)는 apk 파일 내부에 하드코딩 되어있습니다.
해당 C2 서버는 공격자가 발송하는 SMS를 통해 동적으로 업데이트가 가능합니다.
수신된 SMS 분몬에 “txt-” 문자열이 확인되면 해당 문자열 뒤에 붙은 Base64로 인코딩 된 문자열을 디코딩 하여 새로운 C2 서버로 사용합니다.
이러한 방식의 동적 C2 서버 주소 업데이트는 백신 앱의 탐지를 피해 지속성을 유지하기 위한 전략으로 추정됩니다.
이번 스미싱 공격은 사회적 관심이 집중되는 지원금 지급 시기를 노려, 과거 코로나19 당시 ‘국민지원금’을 사칭해 유포되던 스미싱을 재활용해 공격을 시도한 것으로 추정됩니다.
사용자 여러분께서는 정부나 카드사 등에서 민생지원금 신청 안내 시 링크를 포함한 문자를 발송하지 않는다는 점을 반드시 유념하시고 출처가 불분명한 문자에 포함된 의심스러운 링크는 절대 클릭하지 않도록 각별히 주의하시기 바랍니다.
또한 문자나 웹사이트를 통해 앱 설치를 요구하는 경우, 이는 악성 앱일 가능성이 높으므로 설치하지 말아야 하며, 앱 설치는 반드시 공식 스토어를 통해서만 설치하시기 바랍니다.
현재 알약M에서는 해당 악성 앱에 대해 Trojan.Android.SmsStealer 로 탐지하고 있습니다.
Ioc
1C0B7ADDB9AD9A23212A2A7C14A16953
'악성코드 분석 리포트' 카테고리의 다른 글
| 北 해킹 조직의 언론사 위장 스피어 피싱 공격 주의! (1) | 2025.08.07 |
|---|---|
| NPM 패키지를 악용한 피싱 공격 발견! (0) | 2025.07.23 |
| 생성형 AI 로 제작된 軍 인물 이미지, 악성코드 유포에 악용! (0) | 2025.07.18 |
| MS 다중 인증(MFA)을 사칭한 큐싱(Qshing) 공격 주의! (1) | 2025.07.14 |
| 한글 서브 도메인을 사용한 스미싱 유포 주의! (0) | 2025.06.17 |
댓글 영역