[Trojan.Android.Banker] 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.

 

보이스 피싱 공격에 사용되는 모바일 악성코드는 나날이 모습을 바꿔가며 사용자의 폰에 설치되고 있습니다. 쇼핑몰 상품 구매 스미싱과 카드 결제 내역 스미싱 문자가 많이 발견되었지만, 최근 ‘관세청’을 사칭하여 유포 중인 스미싱 문자가 있어 주의가 요구됩니다.

 

이번 스미싱 문자들은 보통 국외 발신이며 세금 액수와 전화번호가 포함되어 있습니다. 사용자를 속이기 위해 관련 피싱 사이트와 앱을 만들어 두었고, 전화 시 피싱 사이트 안내와 앱 설치를 유도합니다. 안내에 따라 단계를 진행하면 최종적으로 구매된 수입 물품이나 구매 상품 등의 이미지를 보여주며 취소 요청을 받아 처리되었다고 설명합니다. 이후 설치된 악성 앱은 백그라운드에서 다양한 정보를 탈취하며 추후 다른 보이스 피싱에 이용될 수 있습니다.

 

[그림] 피싱 사이트

공격자는 정부 기관부터 금융 기관, 물류 회사까지 사칭하고 있으며 여러 가지의 피싱 사이트를 구축해둔 상태입니다. 실제 사이트 이미지를 그대로 가져와 사칭하였기 때문에 구분이 어려움으로 알려지지 않은 사이트나 의심스러운 링크 접속을 조심해야 합니다. 또한, 스미싱 문자 내용에 기재된 전화번호로 전화하지 않고 검색을 통한 전화번호 확인 및 주의가 필요합니다.

 

다음은 악성 앱 공격의 예방 및 대응 방법입니다.

 

악성 앱 예방

1) 출처가 불분명한 앱은 설치하지 않는다.

2) 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다. (앱 제작자 체크)

3) SMS나 메일 등으로 보내는 앱은 설치하지 않는다.

 

악성 앱 감염 시 대응

1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.

2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.

3) 백신 앱이 악성 앱을 탐지하지 못했을 경우

4) 백신 앱의 신고하기 기능을 사용하여 신고.

5) 수동으로 악성 앱 삭제

 

현재 알약M에서는 해당 앱을 ‘Trojan.Android.Banker’ 탐지 명으로 진단하고 있으며, 자세한 내용은 보안동향보고서에서 확인하실 수 있습니다.