최근 금융권 대출제한과 관련해 대출을 받으려는 사용자들의 개인정보 탈취

[보안뉴스 원병철 기자] 최근 신용대출한도 축소와 일부 은행들의 주택담보대출 제한 소식들이 많이 들리며 혼란이 고조되고 있는 가운데, 최근 인터넷 전문은행을 사칭한 스미싱이 발견되어 사용자들의 각별한 주의가 필요하다.

<***뱅크모바일상담신청서> 고객님 고유 보안코드로 발급된 모바일신청서입니다. hxxp://xx.xx.xx.xx/xxxxx/xxxx/***Bank.apk ① 해당 주소링크 클릭 ② 설치 및 열기 ③ 기재 내용 작성 ④ ‘신청버튼’ 클릭 완료

이번에 발견된 스미싱은 ‘***뱅크모바일상담신청서’라는 내용과 함께 링크가 포함되어 있다. 사용자가 해당 링크를 클릭하면 모바일 브라우저가 실행되며 은행 앱 UI를 위장한 페이지가 뜬다. 동시에 은행 앱을 위장한 악성 apk가 사용자 모바일에 다운로드 된다.

다운로드 된 apk는 다음과 같은 권한을 요구한다.
- 기기 정보 탈취
- 공격자 명령 수행
-파일 삭제
- 파일 업로드(sms 탈취, 연락처 탈취, 통화 기록 탈취, 문서 파일, 이미지 파일)
- 위치 정보
- 연락처 탈취
- 연락처 삽입 또는 삭제
- sms 탈취
- sms 삭제
- 통화기록 탈취
- 앱 삭제
- 사진 촬영
- 수신 전화 차단
- 발신 전화 포워드
- 기본 전화앱 등록
- 배터리 최적화 무시
- 개인정보 탈취(상담신청 시 입력하는 개인정보)

은행 앱이 설치되고, 사용자가 실행하면 기본 전화등록과 배터리 최적화 중단을 요구한다. 배터리 최적화 기능이 허용됐을 경우 시스템에서 자동으로 해당 앱의 동작을 중단할 수 있으며, 동작이 중단되면 더 이상 백그라운드에서 악성행위를 할 수 없기 때문이다.


사용자가 앱에서 요구들을 모두 허용하면 상담신청 화면이 나오며, 이름 및 주민등록번호가 포함된 개인정보를 요구한다.

사용자가 앱에서 요구하는 개인정보들을 입력한 후 신청하기를 누르면, 입력한 정보들은 공격자의 서버로 전송되며, 사용자에게는 접수완료 팝업을 띄워 신청이 완료된 것처럼 보이도록 위장한다. 이어 앱 하단에 있는 메뉴들을 누르면, 대출 승인사례와 진행절차를 볼 수 있도록 해 사용자들의 의심을 피하고 있다.


이스트시큐리티 ESRC는 금융회사는 먼저 대출과 관련된 문자를 보내지 않기 때문에, 사용자들은 반드시 이 점을 숙지하고, 의심 문자가 오면 바로 삭제할 것을 권고했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>