본문 바로가기
악성코드 정보

☆돌☆잔☆치☆초☆대☆장☆ 보냈습니다.

by DH, L@@ 2014. 9. 17.

 

 요즘 스마트폰을 이용하는 사람은 어느곳에서나 쉽게 찾아 볼 수 있게 되었다. 스마트폰의 편리하고 다양한 기능이 많은 사람들을 스마트폰 유저로 만든 것이 아닐까? 이러한 스마트폰의 다양한 기능을 이용하다 보면, 폰에는 자연스럽게 많은 정보들이 쌓이게 된다. 편리하고 유용한 스마트폰이지만, 쌓이는 정보가 많을 수록 주의해야하는 점도 많아지게 되었다. 스마트폰의 정보를 탈취하는 대표적인 악성앱은 "스미싱"의 형태로 유포되는 "BANKUN" 이다. BANKUN 의 의미는 Bank Uninstall 의 줄임말이다. 의미 그대로 정상적인 은행앱의 삭제를 유도하고, 악성앱의 설치를 시도하는 악성코드 이다. 이러한 유형의 악성코드를 살펴보고, 감염되지 않도록 예방하는 방법에 대해 살펴보자.

 

 아래 그림은 안랩의 "안전한 문자"앱에서 최근 유행하는 스미싱의 유형을 알려주는 화면이다. 이러한 기능을 통해 유행하는 스미싱에 대하여 사전에 인지하고, 설치하지 않도록 주의하자.

[그림 1] 안랩 "안전한 문자" 스미싱 알림 기능

 

 돌잔치를 가장한 스미싱은 과거에도 유행 했었지만, 최근에 다시 유행하고 있다. 최근 트렌드 알림 "돌잔치 초대장"이 얼마나 많이 악용되고 있는지 확인해 보자.

 

[그림 2] 최근 트렌드중 "돌잔치 초대장"

 

 "돌잔치 초대장"으로 유포중인 악성앱중에 하나를 살펴보자. 문자메시지의 링크를 클릭하면, 아래와 같은 악성앱을 다운로드 받게된다. 패키지명은 com.sdwiurse 이고, 앱의 이름은 googl app stoy 이다.

 

[그림 3] 악성앱 권한(좌) / 설치 후 아이콘(우)

 

[그림 4] 악성 앱의 권한정보

 

 권한정보를 살펴보면 메시지, 주소록, 저장소, 전화통화 등에 접근이 가능하다. 이것은 해당 내용을 수집할 가능성이 있다고 짐작 할 수 있다.(물론 정상앱에서도 사용할 수 있는 권한이다.) 악성앱이 설치되면 스마트폰에 설치되어 있는 은행앱이 무엇인지 확인하여, 그 은행에 해당하는 금융정보 탈취를 시도한다.

 

[그림 5] 스마트폰에 설치된 앱 체크리스트

 

 악성 앱을 실행하면 아래와 같은 과정이 진행된다. 사용자를 속이기 위해 "공지사항"과 같은 내용을 사용하며, 가짜 이미지를 이용해 백신이 동작중인 것처럼 위장하기도 한다.

 

[그림 6] 악성 앱 설치 화면

 

이후 사용자의 금융정보를 탈취하기 위해 공인인증서와 개인정보를 수집한다.

아래는 스마트폰 기기정보와 사용자가 입력하는 정보를 탈취하는 코드중 일부이다.

[그림 7] 정보 수집 코드


 

사용자의 이름, 주민번호, 계좌번호, 비밀번호, 보안카드 번호와 같은 개인 정보의 입력을 유도하고 있다.

  

[그림 8] 금융정보 입력 창


 

위와 같은 정보탈취 뿐만 아니라 추가적인 악성 앱의 설치를 시도한다.

  

[그림 9] 추가 악성앱 설치 유도

 


악성 앱에 의하여 수집된 기기정보, 공인인증서, 금융정보는 메일서비스를 이용하여 특정 메일주소로 발송 한다.

[그림 10] 메일 서비스를 이용한 정보 탈취

 


탈취된 정보는 악성코드 제작자의 메일로 전송되며, 그 정보는 아래와 같다. 

[그림 11] 악성코드 제작자의 메일함

 


메일의 첨부파일에는 공인인증서와 금융정보가 압축되어 있다.

[그림 12] 금융정보 및 공인인증서

 

 [그림 8]에서 입력한 금융정보(이름, 계좌번호, 비밀번호, 패스워드, 보안카드 일련번호, 공인인증서 암호, 주민번호)는 아래와 같이 전송한다.

[그림 13] 사용자가 입력한 금융정보

 

 요즘은 PC 보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 앱은 공식 마켓에서 다운로드 받아 설치하는 것이 상대적으로 안전하다. 하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 가져야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL에 접근하여 앱을 설치 하지 않도록 주의해야 한다. 또한 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 보다 안전한 스마트폰 환경을 만들어야 한다.

 

 

V3 제품에서는 아래와 같이 진단이 가능하다

 

<V3 제품군의 진단명>

Android-Trojan/Bankun

 

댓글