소액결제 인증번호 유출... 인증번호 이용해 금전적 이익 취득

[보안뉴스 김태형] 최근 안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 ‘체스트(Android-Trojan/Chest)’로 인한 사용자의 피해가 끊이지 않고 있으며 변종이 끊임없이 유포되고 있다.

안랩 시큐리티대응센터(이하 ASEC)는 최근 유포되고 있는 악성 앱을 분석해 추가된 코드가 무엇인지 확인한 결과, “체스트 악성 앱은 사용자의 SMS 문자 메시지를 감시하고 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인해 소액결제 인증번호가 유출되고 그 인증번호를 이용해 금전적 이득을 취하고 있다”고 설명했다.

그동안 꾸준히 발견되고 있는 ‘체스트’ 악성 앱과 배포 방식은 동일하지만 소스 코드가 일부 추가/변경되어 유포되고 있는 것이다.

악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타깃을 관리하고 모니터링 하고 있다.

     ▲ 악성 앱 설치 유도 메시지 발송을 위한 타깃 리스트

타깃이 정해지면, 아래와 같은 문자메시지를 통해 스마트폰 사용자에게 악성 앱 설치를 유도 한다.

               ▲ 악성 앱 설치 유도 문자 메시지

단축 URL로 연결하여 앱을 설치하면 아래와 같은 유명한 커피 전문점 ‘**** 쿠폰’ 아이콘이 생성되며 서비스에 등록된다.

                 ▲ 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)

악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다. 악성 앱을 실행하면 시스템 과부화로 잠시 후 다시 이용할 것을 권고한다. 이는 소액결제 인증번호를 수집하기 위한 시간을 벌기 위해 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.

악성 앱이 실행되면 코드에 의해 스마트폰의 전화번호가 악성코드 제작자에게 전송된다. 감염된 스마트폰의 전화번호를 수집함으로써 소액결제를 위한 인증번호 발송 작업을 진행하게 된다. 위 코드가 실행되면 ‘mobile=전화번호’의 형태로 스마트폰의 전화번호가 전송된다.

이후 악성코드 제작자는 코드를 이용해 특정번호(송신자)를 포함하는 SMS를 감시하고 있다. 이처럼 미리 정의된 번호로 발송된 SMS는 코드를 이용해 스마트폰 전화번호와 함께 특정서버로 전송된다.

이러한 코드가 실행되면 ‘mobile=전화번호&revsms=SMS내용’의 형태로 전화번호와 문자메시지가 전송된다. 악성코드 제작자는 ‘대리운전’과 관련된 다량의 SMS 때문에 코드를 추가한 것으로 보인다.

이 코드는 SMS 감시하면서 ‘대리운전’ 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 ‘대리운전’ 메시지를 전달한다. 제작자는 더 이상 ‘앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요’는 받지 않을 것이다.

악성 앱에 감염된 사용자의 리스트를 관리하며 수집한 SMS 에서 ‘소액결제 인증번호’가 존재하는지 모니터링 하고 있다. 악성코드 제작자는 이러한 과정을 통해 금전적 이득을 취하고 있다.

     ▲ 감염자로부터 전송된 SMS 내역

ASEC는 “이러한 악성앱은 악성 앱에 감염되고 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하며 해당 악성코드는 ‘V3 Mobile’ 제품을 통해 진단 및 치료가 가능하다”고 당부했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>