• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

맥모닝 알람 리패키징 형식 악성앱 주의... 이용자 피해 우려 2013.03.09

소액결제 사기형 스미싱 진화...정상앱 리패키징한 악성앱 발견!


[보안뉴스 김태형] 맥도날드 맥모닝 알람 앱을 리패키징해 악성앱 기능을 추가하는 방식을 사용한 소액결제사기 스미싱 악성앱이 국내 처음 발견되어 사용자들의 주의가 필요하다.


최근 잉카인터넷 대응팀은 안드로이드 소액결제사기 위협 동향을 예의주시 하던 중, 최근까지 국내에서 확인된 소액결제사기 유형과는 전혀 다른 새로운 스미싱 악성앱을 처음 발견했다고 밝혔다.


이전에는 범죄자들이 직접 악성앱을 제작해 마치 정상적인 앱처럼 보이도록 위장수법을 사용했고 악성앱을 실행시 가짜 오류메시지나 접속불가 내용을 보여주어 마치 일시적인 서비스 장애문제로 보이게 하는 단순 속임수 방법을 동원했다.


그러나 이번에 발견된 유형은 실제 2013년 2월 18일 국내에 정식 출시된 ‘맥도날드 맥모닝 알람 앱’을 리패키징했기 때문에 실제 정상앱 기능이 문제없이 작동되고 이용자는 자신이 악성앱에 노출되었다는 것 자체를 인지하기 어렵다는 것이 특징.


이처럼 정상앱을 리패키징해 악성앱 기능을 추가하는 방식은 이미 해외에서는 널리 악용되었지만 한국 맞춤형 스미싱에서 발견된 경우는 이번이 처음이다.


잉카인터넷 대응티은 “이번을 계기로 정상앱을 리패키징한 악성앱이 국내에서도 증가될 우려가 커진만큼 이용자들의 철저한 주의가 필요하다”고 강조했다. “특히 정상앱을 변조하는 경우 스미싱 수법 뿐만 아니라, △인터넷 웹 커뮤니티를 통한 다양한 유통이 가능해지기 때문에 신속한 탐지와 차단이 어렵고 잠재적 위협요소로 이어질 수 있다”고 덧붙였다.


이처럼 모바일 범죄자들은 언제든지 유출된 개인정보(이름, 휴대폰번호, 주민번호)와 명의를 도용해 악성앱과 결합시킨 새로운 범행을 저지를 수 있다는 점에서 만반의 대비태세가 필요하다.


이번 소액결제사기용 악성앱은 맥모닝 알람앱으로 위장하고 있으며, 정상앱의 기능을 그대로 보여주기 때문에 이용자는 쉽게 현혹되며, 자신이 악성앱에 감염된 사실도 모른채 소액결제사기 피해(최대 30만원)를 입을 수 있다.

“문자메시지(SMS)를 통한 다단계 스미싱 사기가 기하급수적으로 늘어나면서 금전적인 피해도 비례적으로 증가하는 추세이기 때문에 자칫 호기심과 스미싱 문자에 현혹되어 심각한 피해를 입을 수 있다는 점을 명심해야 한다”고 잉카인터넷 대응팀은 강조했다.

이번 악성앱은 아래와 같이 마치 맥도날드에서 무료커피 쿠폰을 주는 모바일 알람앱으로 위장해 사용자를 유혹하며, 단축URL 서비스를 통해 소액결제사기용 악성앱(KRSpammer) 설치를 유도하게 된다.

      


스미싱 문자메시지에 포함되어 있는 인터넷 주소를 클릭할 경우 아래와 같이 ‘my.apk’ 파일이 다운로드된다.


      


맥모닝으로 위장한 악성파일은 겉으로 보기에는 정상앱과 거의 똑같기 때문에 육안상으로 악성여부를 구분하기는 어렵다. 다만, 악성앱이 파일용량에서 사이즈가 다소 크다는 것을 비교해 볼 수는 있다.


       


다운로드 완료된 파일을 사용자가 클릭하여 설치를 시작하면 아래와 같은 설치권한을 보게 된다.


        


[설치]버튼을 누르고 설치가 완료되면 스마트폰 바탕화면에 ‘맥모닝알람’ 이라는 이름과 아이콘이 생성된다. 악성앱은 정상앱 기능을 모두 도용해서 사용하였기 때문에 앱의 모든 기능은 정상적으로 작동되며, 저작권 위반에 해당되기도 한다.


사용자가 해당 앱을 실행하면 아래와 같이 정상적인 맥모닝 알람 프로그램이 실행되고 사용자는 정상앱 설치로 인식하게 되지만 악성앱은 은밀하게 악의적인 소액결제사기 행위를 수행하게 된다.


    


대부분의 스미싱 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 앱이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다는 점을 기억해 두는 것이 좋다.

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고 있다.

악성앱이 설치되었을 경우에는 신속하게 삭제조치하거나 아이콘을 숨기는 경우도 존재하여 육안으로 파악하기 어려운 경우도 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수행해 보는 것도 좋다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr/) 홈페이지 또는 국민신문고(http://www.epeople.go.kr/) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다. 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>