상세 컨텐츠

본문 제목

자동입력방지 기능까지 추가한 가짜 대법원 악성앱 주의

악성코드 분석 리포트

by 알약(Alyac) 2014. 5. 16. 13:11

본문

안녕하세요. 이스트소프트입니다. 


서울법원을 사칭한 스미싱 메시지


최근 스미싱이 급증한 가운데, 새로운 형태로 악성앱 다운로드를 유도하는 스미싱 사례가 발견되었습니다. 해당 스미싱 메시지는 ‘서울법원:사건 접수번호입니다 xxxx.xxxx.com’라는 문구로 사용자들에게 전송됩니다.


대법원으로 위장한 가짜 피싱 사이트


피싱 사이트에서 띄우는 자동입력방지를 위한 문자 입력 페이지


해당 스미싱 메시지를 받은 사용자가 메시지에 포함된 URL을 클릭하면 대법원을 위장한 피싱 사이트로 연결됩니다. 연결된 사이트에서 다운로드 버튼을 클릭하면, 자동입력방지를 위한 문자 입력 페이지가 나타납니다. 이 때, 올바르지 않은 정보를 입력하면 오류 메시지까지 띄우는 치밀함으로, 사용자에게 사이트에 대한 믿음을 심어줍니다. 또한 자동분석 시스템을 통한 자동샘플 수집을 막기 위한 조치이기도 합니다.


대법원을 가장한 악성앱이 설치 및 실행되는 화면


사용자가 자동입력방지 페이지에서 올바른 정보를 입력한 후 확인을 클릭하면 대법원을 가장한 앱(대국민서비스)이 다운로드 됩니다. 이 때 내려 받은 앱은 특별한 행위를 하지 않으나, 자신의 안에 또 다른 앱을 숨겨두고 있는 것이 특징입니다.


해당 앱을 설치한 후 실행시키면, ‘점검중입니다.잠시후 재시도해주세요’이라는 메시지와 함께 앱이 종료됩니다. 


대법원을 사칭한 앱이 갖고 있던 '가짜 모바일 백신'이 설치되는 과정


그 후 일정 시간이 지나면 사용자 스마트폰에 모바일 백신의 새로운 버전이 출시되었다는 메시지가 출력됩니다. 해당 메시지 창에서 확인을 누르면 업데이트 창이 뜹니다. 그리고 대법원을 가장한 앱이 이미 갖고 있던 ‘모바일 백신을 위장한 악성앱’이 설치됩니다.


2개의 모바일 백신 설치 확인 화면, 용량이 적은 것이 악성앱


해당 악성앱은 아이콘 및 사용자 UI가 매우 정교하여, 일반 사용자들이 악성앱 여부를 쉽게 알아차리기 어렵습니다. 그러나 환경설정에서 설치되어 있는 앱을 확인해 보면 2개의 모바일 백신이 설치된 것을 확인할 수 있습니다.


해당 악성앱이 설치되면 진짜 뱅킹앱을 가짜 뱅킹앱으로 대체하여, 사용자의 금융정보를 탈취합니다. 


이번 이슈는 특히 교묘하게 구성된 ‘자동방지입력창’이나, 다른 앱을 통하여 악성앱을 설치를 유도하는 등 스미싱 수법이 점점 교묘해지는 것으로 확인돼 사용자들의 강도 높은 주의가 요구됩니다.


현재 알약 안드로이드에서는 해당 악성앱애 대하여 Trojan.Android.KRBanker 로 탐지하고 있습니다. 



관련글 더보기

댓글 영역

  • 프로필 사진
    2014.05.16 13:55
    무슨 백신인지 알겠닼ㅋㅋㅋ 조심해야겠네여.. 근데 메시지 맞춤법이 좀 이상하긴 함. 돼였습니다...
  • 프로필 사진
    2014.05.25 21:41
    비밀댓글입니다
    • 프로필 사진
      2014.05.26 09:09 신고
      안녕하세요. 알약입니다. 해당 apk 파일을 단순 클릭 후 다운로드만 받으셨다면 일단 안심하셔도 됩니다. 그러나 만약 파일 설치 후 실행을 시키셨다면 문제가 될 수 있는데요. ㅠㅠ 먼저 알약 안드로이드와 같은 모바일 백신 설치 후 검사하기를 진행 부탁 드립니다. 알약 안드로이드가 설치되어 있으시다면 꼭 최신 DB로 업데이트 후에 검사를 진행해주셔야 합니다. 이 밖에 궁금한 사항이 있으시거나 도움이 필요하신 사항이 있으시다면 댓글에 추가해주시길 부탁 드립니다!
  • 프로필 사진
    2014.06.12 22:57
    다운받고 실행시켰으면 어떻게 하나요?
    • 프로필 사진
      2014.06.13 08:34 신고
      apk파일 다운로드 후 실행하여 설치하셨나요? ㅠㅠ 그럴 경우 알약 안드로이드와 같은 모바일 백신을 설치하여 검사해주시길 부탁 드립니다. 모바일 백신이 이미 설치되어 있다면 최신 DB로 업데이트 후에 검사를 진행해주시기 바랍니다. 감사합니다.
  • 프로필 사진
    2014.06.17 17:28
    저런 수법 안통하는게 있죠 < 일반 피쳐폰 >

    일반 피쳐폰은 스미싱 문자 날라와도 접속자체가 불가능 해서 안통하죠 .
    밧대리 빨리 안달죠 .. 한번 충전 해놓으면 오래 가죠 .
    해외 여행 갈때 피쳐폰 들고 가면 도난 당할일은 없죠 .
    스마트폰 처럼 악성코드 감염 되지도 않고
    잊어 먹어도 개인정보 유츌 걱정도 없죠 .
    스마트폰 사용자는 악성앱 때문에 골치거리 썩고 있을때 피쳐폰 사용자는 평온한날이 지속적이죠 .

  • 프로필 사진
    2014.12.04 21:45
    비밀댓글입니다
    • 프로필 사진
      2014.12.05 10:44 신고
      알약 안드로이드를 최신 DB로 업데이트하신 후 검사를 진행하셔도 동일 증상이 반복되시나요? 관련하여 말씀하신 내용만으로는 자세한 증상 파악이 어렵습니다. ㅠㅠ 사용하시는 통신사에 문의하시거나, 스마트폰 점검 서비스를 사용하시는 것을 권해 드립니다. 감사합니다.