상세 컨텐츠

본문 제목

금융사를 위장하여 개인정보를 탈취하는 악성 앱 주의!

악성코드 분석 리포트

by 알약4 2021. 10. 13. 12:58

본문

 


안녕하세요. ESRC(시큐리티 대응센터)입니다.
최근 각종 금융사를 사칭한 대출과 관련된 피싱 문자가 많이 유포되고 있습니다. 만약 사용자가 이러한 피싱 문자를 수신 후 실제 금융사로 오인하여 연락을 할 경우, 범죄자들은 카카오톡과 같은 경로를 통해 사용자로 하여금 금융 앱을 위장한 악성 apk를 내려받도록 유도합니다. 

만약 사용자가 악성 apk를 설치하면 다음과 같이 다양한 권한을 요구합니다.

 

 

[그림 1] 악성 apk 설치 시 권한 요구 화면 

 

 

사용자가 다음 버튼을 클릭하면 악성 apk가 사용자 모바일에 설치됩니다. 

 

 

[그림 2] 악성 APK 설치된 후 추가 설정을 요구하는 화면

 

 

설치 된 후에는 추가로 배터리사용량 최적화 안함 및 접근성 허용을 요구합니다. 배터리 최적화 기능이 허용되었을 경우 시스템에서 자동으로 해당 앱의 동작을 중단할 수 있으며, 동작이 중단되면 더 이상 백그라운드에서 악성행위를 할 수 없게 되기 떄문입니다. 

 

메인화면은 실제 금융앱처럼 제작되어 있습니다. 또한 "서류나 방문없이 모바일로", "신용대출을 간편하게", "신용등급 영향없이 입금확인" 등 사용자들을 현혹할만한 문구들을 작성해 놓았습니다.

 

 

[그림 3] 악성 APK 메인 화면

 

 

악성앱의 메뉴는 실제 금융앱처럼 보여지기 위해서 대출승인사례와 상담사 소개 등의 메뉴가 포함되어 있습니다.

 

 

[그림 4] 악성 APK 하단 메뉴 상세 화면

 

 

사용자가 상담신청을 클릭하면 사용자의 이름 및 연락처, 생년월일을 포함한 다양한 개인정보들의 작성을 요구합니다. 이렇게 작성한 정보들은 공격자의 서버로 전송되게 됩니다.

 

자세히 보면 악성앱은 신한저축은행을 위장하고 있지만, 대출 승인사례에 보면 현*캐피*, 롯*캐피탈, 기타금융 등으로 작성되어 있습니다. 이를 통해 동일한 악성 앱이 이름만 바꾸어 또 다른 금융사 악성앱으로 유포되고 있을 가능성도 배제할 수는 없습니다.

실제로 ESRC에서는 다른 금융사를 사칭한 악성앱에 관련된 포스팅을 작성한 적이 있으며, 해당 앱과 매우 유사한 것을 알 수 있습니다. 

인터넷 전문은행을 사칭하여 유포 중인 스미싱 주의!

 

[그림 5] 악성 APK 상담신청 페이지 화면

 

 

공격자들은 이러한 방식으로 수집한 개인정보들을 기반으로 보이스피싱을 통하여 피해자에게 금전적 손해를 끼치려 시도할 것으로 추정됩니다. 

 

악성 APK는 사용자를 속여 개인정보를 유출할 뿐만 아니라 사용자의 모바일에서 다음과 같은 악성행위를 합니다. 

 

 

-기기 정보 탈취
-공격자 명령 수행
-파일 삭제
-파일 업로드
-위치 정보
-연락처 탈취
-연락처 삽입 또는 삭제
-sms 탈취
-sms 삭제
-통화기록 탈취
-앱 삭제
-사진 촬영
-수신 전화 차단
-발신 전화 포워드

 

 

즉 악성 APK를 설치하는 행위 만으로도 사용자 모바일 내 정보들이 탈취됩니다.

 

공격자 정보는 다음과 같습니다. 

 

C2 서버 정보
45.80.114.250:80
45.80.114.250:7777
hxxp://11.10.125.26/

웹 신청하기 정보
hxxp://5.180.97.162/sh2/ok.php?id=14

 

 

금융사에서는 고객들에게 먼저 대출과 관련된 연락을 하지 않으며, 카카오톡과 같은 메신저를 통해 APK를 내려주는 일은 더더욱 없는 점 반드시 숙지하고 계셔야 합니다.

 

현재 알약M에서는 해당 악성앱에 대하여 Trojan.Android.Agent로 탐지중에 있습니다.

 

 

[그림 6] 알약 M 악성 APK 탐지 화면

 

관련글 더보기

댓글 영역