한국인터넷진흥원을 사칭한 스미싱 주의!

 

스마트 폰 사용자들을 타깃으로 금전적 이득을 목적으로 개인정보를 포함한 인터넷 뱅킹 정보를 탈취하려는 악성 앱이 다수 발견되고 있어 사용자의 주의가 필요하다.

 

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 이번에 발견된 스미싱은 [그림 1]과 같이 한국인터넷 진흥원을 사칭하고 있으며, [개인정보방침]이라는 내용으로 앱의 설치를 권하는 메시지를 보내고 있다.

 

   

 

 

 

 

 

 

[그림 1] 한국인터넷진흥원을 사칭한 스미싱

 

메시지에 포함된 단축 URL을 클릭하면 앱(APK)을 다운로드 받게 되어 있다.

 

다운받은 악성 앱의 설치과정에서 아래와 같은 권한정보를 확인할 수 있다.

 

[그림 2] 악성 앱 권한정보

 

설치 후 아이콘과 앱 이름은 아래와 같이 나타난다.

하지만 앱을 실행하게 되면 아이콘이 사라지며, 기기관리자 권한을 획득하려고 시도한다.

 

[그림 3] 악성 앱 실행 전(좌) / 실행 후(우)

기기관리자 획득을 시도하는 화면은 아래와 같으며, 스마트폰에 따라 "휴대폰 관리자", "디바이스 관리자"로 나타날 수 있다.

 

[그림 4] 휴대폰 관리자 활성화 화면

 

휴대폰 관리자를 활성화하게 되면, 사용자가 앱을 삭제하는 것이 번거로우며, 아이콘이 이미 삭제되었기 때문에 앱이 삭제된 것으로 착각할 수도 있다.

 

설치된 악성 앱을 제거하기 위해서는 아래와 같은 방법으로 조치하면 된다.

['환경설정'->'보안'->'디바이스 관리자']를 실행한 후 'sample_device_admin' 항목에 대한 체크를 해제한다.

 

[그림 5]악성 앱 제거 방법

 

악성 앱의 기능에 대하여 살펴보면, 스마트폰의 전화번호와 주소록(전화번호, 메일주소) 정보를 탈취한다.

 

[그림 6] 주소록 정보를 탈취하는 소스 코드

 

 

 

 

 

 

실제 주소록정보가 전송되는 과정은 아래와 같다.

 

 

[그림 7] 메일계정을 이용한 사용자 정보 탈취(네트워크 패킷)

 

악성 앱 제작자는 메일로 전송된 정보를 아래와 같이 확인하고 있다.

 

[그림 8] 악성 앱 제작자의 메일계정

스마트 폰 사용자는 문자내용에 포함된 링크가 존재할 경우접속에 주의해야 하며, 사전에 V3 모바일 백신과 같은 믿을 수 있는 모바일 백신 제품을 사용하여 감염되지 않도록 주의하는 것이 중요하다.

 

또한 ['환경설정'->'보안'->'알 수 없는 소스']항목에서 "허용하지 않음"으로 설정하면, 공식마켓 이외의 앱은 설치가 제한되므로 더욱 안전한 환경에서 스마트폰을 사용할 수 있다.

 

[그림 9] '환경설정'->'보안'->'알 수 없는 소스'

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

 

<V3 제품군의 진단명>

 

Android-Trojan/Langya (2013.09.23.01)