본문 바로가기
악성코드 정보

AhnLab V3를 사칭한 스미싱 주의!

by DH, L@@ 2013. 10. 30.


스마트 폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성 앱과 인터넷 뱅킹 정보를 포함한 개인정보를 탈취하려는 시도가 급격히 증가하고 있다.

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 이번에 발견된 스미싱은 [그림 1]과 같이 안랩을 사칭하고 있으며, 스미싱을 예방하기 위해 (가짜) V3 Mobile 앱을 설치하라는 내용이다.

 

자사에서는 불특정 다수에게 이러한 불안전한 메시지를 발송하지 않는다.

 

안랩 V3 모바일 제품은 스마트 폰 제조사를 통하여 제공하고 있다. 따라서 반드시 스마트 폰 제조사에서 제공하는 경로를 통하여 제품을 설치해야 한다.

 

 


          [그림 1] 안랩을 사칭한 스미싱

   

메시지에 포함된 앱(APK)을 설치하게 되면 아래와 같은 아이콘이 생성된다.

 

[그림 2] 악성 앱 아이콘

 


아이콘 모양은 V3 이지만 앱 이름은 "내가사께!"로 나타난다.

앱 제작 시 이름에 대한 수정을 미처 하지 못한 것으로 추정된다. (과거 동일 제작자에 의해 명명된 악성 앱 이름을 그대로 사용했다. / 이후 부연설명)

 

앱을 실행하면 아래와 같은 화면이 나타나며, 악성 행위가 동작하게 된다.

 

[그림 3] 악성 앱 실행 화면

 

[그림 2]와 같이 악성 앱이 실행되면, 사용자가 모르는 사이에 악성코드 내부에 저장된 2개의 번호로 앱의 설치완료 문자를 전송하며, SD Card의 .temp 디렉터리를 만들어 주소록, 통화기록, 문자 정보를 저장한다.

이렇게 저장된 정보는 미리 정의된 특정 서버로 전송하고, 그 결과를 문자로 알리게 설계되었다.

 

- 악성코드 내부에 저장된 2개의 전화번호로 앱의 설치를 알린다.

 

[그림 4] 악성 앱의 소스 코드 1

- 주소록, 통화내역, 문자내용 정보를 수집하는 코드 중 일부

 

[그림 5] 악성 앱의 소스 코드 2

 

 

- 수집된 정보를 전송하는 과정

 

[그림 6] 특정 서버로 정보를 전송하는 과정

 

 

 

- 사용자로부터 탈취한 정보는 c, d, f 파일명으로 특정 서버로 전송된다.

 

[그림 7] 특정 서버에 저장된 정보들(악성코드 제작자가 운영하는 서버)

 

악성 앱 제작자는 과거에도 동일한 기능을 가지고 있는 악성 앱을 제작했었다.

과거에 제작한 악성 앱의 아이콘은 아래와 같았다.

 

[그림 8] 동일 제작자의 악성 앱 아이콘

 

스마트폰 사용자는 문자내용에 포함된 링크가 존재할 경우 접속에 주의해야 하며, 사전에 V3 Mobile 백신과 같은 믿을 수 있는 제품을 사용하여 감염되지 않도록 사전에 주의하는 것이 무엇보다 중요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/FakeV3

Android-Spyware/BarSmish

'악성코드 정보' 카테고리의 다른 글

금융사 피싱 앱 주의(3)  (0) 2013.10.30
한국인터넷진흥원을 사칭한 스미싱 주의!  (0) 2013.10.30
금융사 피싱앱 주의(2)  (0) 2013.10.30
금융사 피싱앱 주의(1)  (0) 2013.10.30
Android HackTool  (0) 2013.10.30

댓글