2024-11-23 09:55 (토)
최근 악성앱, 보안앱 우회하려 CAPTCHA까지 사용
상태바
최근 악성앱, 보안앱 우회하려 CAPTCHA까지 사용
  • 길민권
  • 승인 2014.06.06 07:27
이 기사를 공유합니다

서울지방경찰청 피싱 사이트로 접속 유도해 악성앱 다운로드 유도…주의
지난해 5월경부터 스미싱(Smishing) 문자를 이용한 악성앱 다운로드를 감시하는 보안앱을 우회할 목적으로 등장한 자동 입력 방지 문자(CAPTCHA)가 포함된 유포 사례가 발견되고 있다.
 
보안블로그 ‘울지않는 벌새’는 최근 블로그에 “이번에 확인된 유포 사례는 스미싱 문자를 통해 서울지방경찰청 웹 사이트처럼 제작된 피싱(Phishing) 사이트로 접속을 유도해 악성앱 다운로드를 유도한 사례”라며 이 과정에서 자동 입력 방지 문자가 포함된 부분을 상세히 설명하고 있다.
 
<ㅇㅇㅇ님[서울경찰]사이버수사 인터넷악플
명예훼손,협박죄로(진정서)확인 h**p://bit.do/****>

 
확인된 스미싱 문자에서는 사이버수사대에서 인터넷 악플 관련 신고에 따른 진정서 확인을 위한 단축 URL 주소처럼 위장한 사이버경찰청 웹 사이트처럼 구성된 피싱 사이트다. "불친절/인권침해 제보" 페이지에서 서류 접수를 확인하는 버튼을 통해 악성앱을 다운로드하도록 구성되어 있는 것이다.  
 
해당 웹 사이트 홍콩에 위치한 "korsmpanzte.wicp.net(210.209.117.67)" 도메인으로 연결되고 있었다.

 
다운로드 과정에서는 4자리로 구성된 "자동 입력 방지 문자"를 확인해 입력시에만 다운로드가 이루어지도록 제작되어 있다.
 
구현된 코드는 일반적으로 기계적인 로그인을 예방할 목적으로 추가되는 인증 방식으로 유명한 캡차(CAPTCHA) 코드 구현에 사용되고 있으며, 스미싱 감시 보안앱을 우회할 목적으로 포함되어 있는 것이다.
 
악성앱이 다운로드 돼 실행하면 "서울지방경찰청"이라는 이름으로 설치를 시도한다. 권한을 확인해보면 연락처 접근, SMS 메시지 수신/발송, 오디오 설정 변경, 실행 중인 애플리케이션 검색, 바로가기 설치/제거, 부팅시 자동 실행 등 다양한 기능이 포함되어 있다.

 
서울지방경찰청 악성앱 설치가 완료된 상태에서는 "서울지방경찰청" 바로가기 아이콘이 생성되며 사용자가 아이콘을 클릭할 경우 바로가기 아이콘은 삭제 처리되어 자신을 숨긴다.
 
이 과정에서 "서울지방경찰청" 악성앱은 기기 관리자 활성화 권한을 요구하며 사용자가 활성화할 경우 백그라운드 방식으로 동작하며 애플리케이션에서 삭제를 쉽게 할 수 없도록 한다.
 
정상적으로 실행된 환경에서는 CoreService 서비스 이름으로 등록된 "서울지방경찰청" 이름으로 안드로이드 스마트폰 실행시 자동 실행된다.
 
실행된 악성앱은 "korsmopafdfw.wicp.net" C&C 서버와 통신을 시도한다.
 
감염된 환경에서 "새로운 업데이트가 있습니다. 최신버전으로 보안강화 하시기 바랍니다.", "새로운 업데이트가 있습니다. 보다 더 안전한 스마트뱅킹을 사용하기 위하여 최신버전을 다운받으시기 바랍니다."와 같은 경고 메시지창을 생성한다.
 
이를 통해 스마트폰에 정상적인 농협, 신한은행, 하나은행, 우리은행 등의 뱅킹앱이 존재할 경우 다운로드된 악성앱(KR_NHBank.apk, KR_SHBank.apk, KR_HNBank.apk, KR_WRBank.apk)을 다운로드해 바꿔치기를 수행한다.  
 
이렇게 변경된 금융앱을 통해 모바일뱅킹을 이용할 경우에는 과도한 금융 정보를 요구해 탈취된 정보를 바탕으로 금전적 피해를 유발할 수 있다.
 
울지않는 벌새는 “가짜 뱅킹앱을 다운로드할 수 있는 "서울지방경찰청" 악성앱을 삭제하기 위해서는 기본적으로 기기관리자 권한으로 동작하므로 제거가 이루어지지 않는다”며 “먼저 기기 관리자 메뉴에서 "서울지방경찰청" 악성앱을 비활성화한 후 애플리케이션에서 해당 앱을 찾아 제거를 해야 한다. 이후 모바일 백신을 통해 추가적으로 정밀 검사를 받길 권장한다”고 당부했다.
 
또한 “감염된 스마트폰에 모바일뱅킹 앱이 설치된 경우에는 모두 삭제를 한 후 기존의 공인인증서와 보안 카드는 폐기해 재발급을 받는 것이 가장 안전하다”며 “모바일뱅킹을 표적으로 한 악성앱은 기존에 설치된 정상적인 금융앱을 삭제하고 가짜앱으로 교체해 사용자의 눈을 속이고 있다. 기본적으로 스미싱 문자를 통해 앱을 다운로드할 때 자동 입력 방지 문자(CAPTCHA)를 입력하도록 하는 경우는 악성앱이라고 판단하시는 것이 방법이다”라고 조언했다.
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★