[Trojan.Android.SmsSpy] 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.

 

최근 택배 키워드를 활용하는 스미싱 공격이 증가하고 있습니다. 이번 보고서에서 살펴볼 스미싱은 공격자들이 선호했던 택배회사가 다른 회사로 바뀌었을 뿐 내용은 대동소이합니다.

 

동일한 택배회사를 사칭하여 공격이 진행되는 택배 스미싱들은 문자의 내용은 다르지만 URL을 통해 유포되는 악성 앱들을 살펴보면 동일한 코드를 활용하고 있습니다. 즉 동일한 공격 조직이 문자의 내용을 달리하여 동일한 악성 앱을 유포하고 있는 것입니다.

 

악성 앱이 수행하는 주요 악성 행위는 개인 정보 탈취와 함께 피해자의 폰으로 스미싱을 유포합니다. 즉 피해자는 자신도 모르는 사이에 가해자가 되는 것입니다.

 

그리고 공격자가 탈취하는 개인 정보는 다시 2차 공격에 활용됩니다. 이는 결국 공격자들의 주요 목적인 금전 탈취로 이어지게 됩니다.

 

택배 키워드를 활용하는 스미싱 공격이 여전히 효과적인 이유는 온라인을 통한 상품 구매가 일상적인 데다 판매하는 곳이나 택배회사에서 소비자에게 문자를 통한 안내를 하는 현실과 맞물려 있을 것으로 추측할 수 있습니다.

 

[그림] 택배 스미싱 문자

택배 스미싱은 스미싱 공격의 초기부터 발견되기 시작하여 현재까지 꾸준하게 발견되고 있습니다. 이는 택배 스미싱이 공격자들에게 있어 효과적인 공격 수단 중의 하나라는 의미일 것입니다.

 

악성 앱이 개인 정보를 탈취하게 되면 탈취한 개인 정보를 활용하여 2차 공격을 가하게 되고 결국은 금전 탈취를 시도하게 됩니다.

 

공식 스토어 이외의 경로를 통한 앱 설치 시 앱 제작자와 앱에 대하여 충분히 알아본 후 설치를 하여야 하며 공식 스토어를 이용하더라도 신뢰할 수 있는 앱 제작자인지 확인이 필요합니다. 그리고 백신 애플리케이션을 설치하여 항상 최신 업데이트 버전으로 유지하는 것이 위협으로부터 자신을 지키는 첫걸음이라 할 수 있습니다.

 

앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용해야 합니다. 

 

다음은 악성 앱 공격의 예방 및 대응 방법입니다.

 

- 악성 앱 예방

1) 출처가 불분명한 앱은 설치하지 않는다.

2) 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다. (앱 제작자 체크)

3) SMS나 메일 등으로 보내는 앱은 설치하지 않는다.

 

- 악성 앱 감염 시 대응

1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.

2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.

3) 백신 앱이 악성 앱을 탐지하지 못했을 경우

4) 백신 앱의 신고하기 기능을 사용하여 신고.

5) 수동으로 악성 앱 삭제

 

현재 알약M에서는 해당 앱을 ‘Trojan.Android.SmsSpy’ 명으로 진단하고 있으며, 자세한 내용은 보안동향보고서에서 확인하실 수 있습니다.