○○저축은행 사칭해 대출관련 개인정보 탈취... 기존 다른 금융사 사칭 앱과도 유사해
[보안뉴스 원병철 기자] 최근 각종 금융사를 사칭한 대출과 관련된 피싱 문자가 많이 유포되고 있으며, 이를 통해 금융사 앱을 사칭한 악성앱을 설치하도록 하는 공격이 기승을 부리고 있어 사용자의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티 대응센터)는 만약 사용자가 이러한 피싱 문자를 수신 후 실제 금융사로 오인해 연락할 경우, 범죄자들은 카카오톡과 같은 경로를 통해 사용자로 하여금 금융 앱을 위장한 악성 apk를 내려 받도록 유도한다고 경고했다.
만약 사용자가 악성 apk를 설치하면 다음과 같이 다양한 권한을 요구한다. 사용자가 다음 버튼을 클릭하면 악성 apk가 사용자 모바일에 설치된다. 설치 된 후에는 추가로 배터리사용량 최적화 안함 및 접근성 허용을 요구한다. 배터리 최적화 기능이 허용되었을 경우 시스템에서 자동으로 해당 앱의 동작을 중단할 수 있으며, 동작이 중단되면 더 이상 백그라운드에서 악성행위를 할 수 없게 되기 때문이다.
메인화면은 실제 금융 앱처럼 제작되어 있다. 또한 “서류나 방문 없이 모바일로”, “신용대출을 간편하게”, “신용등급 영향 없이 입금확인” 등 사용자들을 현혹할만한 문구들을 작성해 놓았다.
악성 앱의 메뉴는 실제 금융 앱처럼 보이기 위해서 대출승인사례와 상담사 소개 등의 메뉴가 포함되어 있다. 사용자가 상담신청을 클릭하면 사용자의 이름 및 연락처, 생년월일을 포함한 다양한 개인정보들의 작성을 요구한다. 이렇게 작성한 정보들은 공격자의 서버로 전송된다.
자세히 보면 악성 앱은 ○○저축은행을 위장하고 있지만, 대출 승인사례에 보면 현*캐피*, 롯*캐피탈, 기타금융 등으로 작성되어 있다. 이를 통해 동일한 악성 앱이 이름만 바꾸어 또 다른 금융사 악성 앱으로 유포되고 있을 가능성도 배제할 수 없다. 실제로 ESRC에서는 다른 금융사를 사칭한 악성 앱에 관련된 분석을 한 적이 있으며, 해당 앱과 매우 유사한 것을 확인할 수 있었다.
공격자들은 이러한 방식으로 수집한 개인정보들을 기반으로 보이스피싱을 통하여 피해자에게 금전적 손해를 끼치려 시도할 것으로 추정된다. 악성 APK는 사용자를 속여 개인정보를 유출할 뿐만 아니라 사용자의 모바일에서 다양한 악성행위를 한다.
△기기 정보 탈취 △공격자 명령 수행 △파일 삭제 △파일 업로드 △위치 정보 △연락처 탈취 △연락처 삽입 또는 삭제 △SMS 탈취 △SMS 삭제 △통화기록 탈취 △앱 삭제 △사진 촬영 △수신 전화 차단 △발신 전화 포워드
즉, 악성 APK를 설치하는 행위만으로도 사용자 모바일 내 정보들이 탈취된다.
공격자 정보는 다음과 같다.
C2 서버 정보
45.80.114.250:80
45.80.114.250:7777
hxxp://11.10.125.26/
웹 신청하기 정보
hxxp://5.180.97.162/sh2/ok.php?id=14
ESRC는 “금융사는 고객들에게 먼저 대출과 관련된 연락을 하지 않으며, 카카오톡과 같은 메신저를 통해 APK를 내려주는 일은 더더욱 없는 점을 반드시 숙지하고 있어야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 최근 각종 금융사를 사칭한 대출과 관련된 피싱 문자가 많이 유포되고 있으며, 이를 통해 금융사 앱을 사칭한 악성앱을 설치하도록 하는 공격이 기승을 부리고 있어 사용자의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티 대응센터)는 만약 사용자가 이러한 피싱 문자를 수신 후 실제 금융사로 오인해 연락할 경우, 범죄자들은 카카오톡과 같은 경로를 통해 사용자로 하여금 금융 앱을 위장한 악성 apk를 내려 받도록 유도한다고 경고했다.
▲악성 APK 설치된 후 추가 설정을 요구하는 화면[자료=ESRC]
만약 사용자가 악성 apk를 설치하면 다음과 같이 다양한 권한을 요구한다. 사용자가 다음 버튼을 클릭하면 악성 apk가 사용자 모바일에 설치된다. 설치 된 후에는 추가로 배터리사용량 최적화 안함 및 접근성 허용을 요구한다. 배터리 최적화 기능이 허용되었을 경우 시스템에서 자동으로 해당 앱의 동작을 중단할 수 있으며, 동작이 중단되면 더 이상 백그라운드에서 악성행위를 할 수 없게 되기 때문이다.
▲악성 APK 메인 화면[자료=ESRC]
악성 앱의 메뉴는 실제 금융 앱처럼 보이기 위해서 대출승인사례와 상담사 소개 등의 메뉴가 포함되어 있다. 사용자가 상담신청을 클릭하면 사용자의 이름 및 연락처, 생년월일을 포함한 다양한 개인정보들의 작성을 요구한다. 이렇게 작성한 정보들은 공격자의 서버로 전송된다.
자세히 보면 악성 앱은 ○○저축은행을 위장하고 있지만, 대출 승인사례에 보면 현*캐피*, 롯*캐피탈, 기타금융 등으로 작성되어 있다. 이를 통해 동일한 악성 앱이 이름만 바꾸어 또 다른 금융사 악성 앱으로 유포되고 있을 가능성도 배제할 수 없다. 실제로 ESRC에서는 다른 금융사를 사칭한 악성 앱에 관련된 분석을 한 적이 있으며, 해당 앱과 매우 유사한 것을 확인할 수 있었다.
공격자들은 이러한 방식으로 수집한 개인정보들을 기반으로 보이스피싱을 통하여 피해자에게 금전적 손해를 끼치려 시도할 것으로 추정된다. 악성 APK는 사용자를 속여 개인정보를 유출할 뿐만 아니라 사용자의 모바일에서 다양한 악성행위를 한다.
△기기 정보 탈취 △공격자 명령 수행 △파일 삭제 △파일 업로드 △위치 정보 △연락처 탈취 △연락처 삽입 또는 삭제 △SMS 탈취 △SMS 삭제 △통화기록 탈취 △앱 삭제 △사진 촬영 △수신 전화 차단 △발신 전화 포워드
즉, 악성 APK를 설치하는 행위만으로도 사용자 모바일 내 정보들이 탈취된다.
▲악성 APK 하단 메뉴 상세 화면[자료=ESRC]
공격자 정보는 다음과 같다.
C2 서버 정보
45.80.114.250:80
45.80.114.250:7777
hxxp://11.10.125.26/
웹 신청하기 정보
hxxp://5.180.97.162/sh2/ok.php?id=14
ESRC는 “금융사는 고객들에게 먼저 대출과 관련된 연락을 하지 않으며, 카카오톡과 같은 메신저를 통해 APK를 내려주는 일은 더더욱 없는 점을 반드시 숙지하고 있어야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>