스팸동향

▲대출안내를 통해 악성앱 설치를 유도하는 문자[자료=ESRC]

시중 은행의 개인 신용대출의 경우 평균 4~6%의 금리를 가지고 있고 저금리 대출에 관심을 가지다 보면 대출 상품 안내 문자를 종종 볼 수 있다. 저금리를 미끼로 작성했기 때문에 문자를 받은 사용자들은 혹할 수밖에 없으며, 정부지원과 무료 거부, 평일 상담 시간 등등 실제로 기업에서 보낸 것처럼 위장해 사용자가 알아차리기 힘들다.

보이스 피싱의 시작은 해당 문자에 적힌 url이 있는지, 전화번호가 있는지에 따라 순서가 조금 다르지만 같은 맥락을 가지고 있다. url이 포함되어 있을 경우 모바일 신청서로 위장한 악성 앱을 다운로드하고 설치한다. 전화번호만 있을 경우 해당 번호로 연락하면 모바일 신청서를 보내준다며 문자를 전송한다.

앱 설치를 마치면 기기를 다양하게 제어할 수 있으므로 이 부분부터 이루어지는 것이고 이후 본격적인 보이스피싱을 시도한다. 신용 등급을 문제 삼으며 돈을 최대치로 받기 위해서는 신용 등급부터 높이라고 추가 대출을 먼저 요구한다. 이때 악성 앱이 설치되어 있어서 실제 금융회사나 기업에서 전화한 것처럼 조작하고 피해자는 이 사실을 인지하기 어렵다. 안내에 따라 대출을 받고 돈을 수거책에게 넘기면 피해자만 남게 된다.

▲악성앱 실행 화면[자료=ESRC]

이처럼 스미싱 문자를 통한 피해사례는 지속해서 증가하고 있으며 악성 앱을 만드는 제작자도 시나리오에 따라 앱의 형태를 변경하고 있다. 최근 앱들은 대출 관련 앱으로 위장하고 있으며, 보안 서비스 체크와 업데이트를 명목으로 추가 앱 설치를 유도한다.

▲추가 앱을 설치하면서 다양한 권한을 요구한다[자료=ESRC]

다양한 권한들을 요구하지만, 실제 보안 프로그램처럼 위장했기 때문에 무의식적으로 설치를 할 수 있다. 설치가 완료되면 신청서 페이지를 정상적으로 띄워 사용자를 속인다. 여러 가지 금융회사로 위장했으며, 다른 버전의 앱들도 존재한다. 무엇보다 어떤 버튼을 클릭하는지와 상관없이 보안 업데이트 문구, 보안 프로그램을 설치하도록 유도하는 과정은 동일하다.

보이스피싱에 활용되어 피해를 주는 악성 앱인 ‘Trojan.Android.Banker’는 △통화(통화 발신, 통화 착신, 통화 가로채기, 통화 강제 종료) △문자(읽기, 보내기, 가로채기) △연락처 삭제, 추가, 변경, 탈취 △녹음 파일로 저장 및 실시간 도청 △블루투스 상태 변경 △와이파이 상태 변경 △C2 명령 수행 △위치정보 탈취 △갤러리 이미지 탈취 △앱 삭제 등의 행위를 한다.

앱 분석을 위해 ESRC는 추가 앱을 설치함으로 구분을 짓기 위해 대출 신청을 접수 받는 △인트로(Intro)앱과 실질적인 기능을 담당하는 △보안 secu앱으로 구분했다.

▲기기 정보 전송[자료=ESRC]

먼저 인트로 앱을 살펴보면 클래스 수가 아주 적은 것을 확인할 수 있는데 특정 패커를 통해 보호하기 때문에 DEX를 추가로 드롭해 소스 코드를 보호한다. 인트로 앱에서 드롭 된 dex를 분석하면 기기 정보를 전송하는 것을 확인할 수 있다. 서버로 전송할 때 postVal에 인자 형태로 데이터를 첨부해 전송하는데, 해당 값은 ‘rb!nBwXv4C%Gr^84’ AES 키로 암호화되어 전송된다.

또한 Assets 폴더를 보면, ‘dCiajR.sz’, ‘tnrTHf.sz’ 등 2개의 파일이 존재한다. 해당 파일들은 zip 압축 파일로 패스워드가 설정되어 있으며 패스워드는 ‘slal18sha’으로 확인됐다. ‘tnrTHf.sz’는 대출 신청 접수 화면을 비롯한 웹 페이지 구성 소스들을 포함하며, ‘dCiajR.sz’는 추가로 설치되는 보안 secu앱을 포함한다.

인트로 앱은 실제 동작하는 것처럼 위장, 전반적인 화면 표시 및 추가 설치가 중점적인 APP이다. 기기 정보를 서버로 전송하는 것 이외에는 세팅을 중점으로 진행한다.

▲통화를 제어할 수 있다[자료=ESRC]

추가로 설치되는 보안 secu앱을 살펴보면 마찬가지로 dex 드롭을 진행해 소스코드를 보호하는 것을 확인할 수 있다. /log 폴더에 mp4 형식으로 녹음을 진행해 파일로 저장할 수 있으며, 문자를 읽어서 로그 형태로 서버에 전송할 수 있다. 삭제와 전송도 가능하다. 연락처 역시, 읽고 삭제할 수 있지만 새로 작성해 다른 번호를 위장할 수도 있다. 또한 블루투스 제어를 할 수 있으며, 와이파이와 LTE도 on/off 형식으로 제어할 수 있다. 걸려 오는 전화들을 확인하여 미리 등록된 번호일 경우 통화 종료시키는 기능도 있다. 이외에도 통화 관련하여 다양한 제어가 가능한데 종료 및 강제 발신, 착신 전환 등등 수행할 수 있다.

아울러 기기의 위치 정보를 불러와 파악할 수 있으며, 이미지 업로드 명령을 통해 갤러리에 있는 사진을 서버로 전송할 수 있는 기능도 포함되어 있다. 이외에도 각종 다양한 기능들을 수행할 수 있는데 문자, 연락처, 통화 관련된 정보들은 동일한 서버로 전송한다. 하드 코딩되어 있는 C2 주소는 연결이 안 되거나 변경될 수가 있으므로 C2를 유지하기 위해 별도의 사이트에서 불러오는 기능도 추가되었다. 추가 C2 주소는 레딧 페이지에서 구문분석 과정을 거치고 중간값을 가져온 후 AES를 통해 디코딩해 실제 여분의 C2를 받아오고 있다. 레딧뿐만 아니라 깃허브나 구글 블로그를 통해 가져오는 경우도 확인됐다.

▲다양한 악성 앱 목록[자료=ESRC]

ESRC는 “이들은 분석을 더욱 어렵게 하기 위해 추가 앱을 설치하고 데이터를 암호화하는 등 지속적인 업그레이드가 진행되고 있으며 시나리오 또한 더욱 정교해지고 있다”면서, “결국 최종 목표는 피해자들의 금전을 탈취하는 것이고, 이러한 스미싱 공격은 사용자의 예방과 노력이 무엇보다 중요하다”고 강조했다. 또한 “스미싱에 사용된 악성앱은 다양해서 이름과 아이콘만으로는 판단하기 어려우며, 때문에 구글 플레이 스토어 같은 공식 홈페이지에서 앱을 다운받는 것을 권장한다”면서, “링크 등을 통한 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며, 알약M과 같은 신뢰할 수 있는 백신을 사용해야 한다”고 조언했다.

[원병철 기자(boanone@boannews.com)]

<출처: 보안뉴스>https://www.boannews.com/media/view.asp?idx=105690&kind