‘소액 송금’으로 사용자의 클릭 유도 스미싱...안드로이드 기반 악성앱 ‘카카오픽(P)’ 설치
무심결에 악성 URL 클릭하면 단말기 정보·공인인증서 정보까지 모두 탈취 당해
이스트시큐리티 ‘알약M’으로 해당 악성 앱 탐지 가능

[보안뉴스 이소미 기자] 최근 ‘카카오픽(P)’, ‘송금’ 등의 키워드를 악용해 사용자가 URL을 클릭하도록 유도하는 스미싱이 유포되고 있어 사용자들의 각별한 주의가 요구된다. ‘5만원’의 소액 송금액과 기한·시간까지 제시하고 ‘친구에게 송금여부를 직접 확인해 보라’는 메시지를 담아 사용자로 하여금 별 의심없이 클릭하도록 유도했다.


해당 문자 메시지 내 링크를 클릭하면 ‘진짜가 다가온다, 카카오 P’라는 문구의 피싱 페이지로 이동되는데, 마치 실제 신규 서비스 런칭 페이지처럼 정교하게 제작됐다.

마치 ‘클릭참여’를 통해 지원되는 이벤트 형태로 발송됐으며, 참여 시 ‘10만원’을 즉시지급해 준다는 메시지로 사용자를 현혹시킨다.


만약 사용자가 피싱 페이지 하단에 ‘참여하러가기’ 버튼을 누르면 ‘카카오P 참여를 위해해 확인을 눌러주세요’라는 팝업이 뜬다. 여기서 확인을 누르면 apk가 다운로드 된다.

사용자가 내려받은 apk를 실행하면 휴대폰 바탕화면에 ‘카카오픽’ 이름의 악성 앱이 생성되며 실행 시 △전화 △SMS △주소록 △미디어파일 등과 같은 권한들을 요구한다.


사용자가 권한을 모두 허용하게 되면 apk가 설치되는데 설치가 완료되면 정상적인 ‘구글 페이지’를 띄워 휴대폰에서 자신의 아이콘을 숨김과 동시에 백그라운드에서 △android SDK version △Build의 Brand △model △IMEI △전화번호 등의 정보들을 수집해 공격자 서버로 전송한다.


이스트시큐리티 ESRC(시큐리티대응센터)가 분석한 결과에 따르면 이렇게 수집된 정보들은 공격자 서버로 전송되며, 통신 성공 시 추가 악성 동작을 수행한다. 분석 시점에는 해당 서버 접근이 차단된 상태였다고 전했다.

이후에 △SMS 내용 △주소록 △위치정보 △사진첩 △공인인증서와 같은 민감 정보들을 추가로 탈취해 공격자 서버로 전송되는 것이다. 이는 실질적으로 휴대폰이 통째로 갈취당하는 것과 같은 수준의 스미싱이다. 이렇게 탈취한 각종 정보들은 조합돼 2차 피해로 크게 번질 수 있어 각별한 주의가 요구된다.
 
이스트시큐리티 ESRC에서는 사용자가 출처 불분명한 문자메시지에 포함된 URL 클릭을 주의하고, 실수로 링크를 눌러 apk를 내려받았더라도 설치를 진행하지 않는다면 아무런 피해가 없으니 바로 삭제해 달라고 당부했다.
 
한편 해당 악성앱은 현재 ‘알약M’을 통해 ‘Spyware.Android.Agent’로 탐지되고 있다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>