기존 소액결제사기 악성앱 유포했던 조직이 제작...긴급 업데이트 완료

[보안뉴스 김태형] 잉카인터넷의 모바일 보안 솔루션 ‘nProtect Mobile’로 위장한 스미싱 악성앱이 발견되어 이용자들의 주의가 요구된다.

잉카인터넷 대응팀은 모바일 보안관제를 진행하던 중, 기존 소액결제사기용 스미싱 악성앱 변종이 ‘nProtect Mobile’ 제품으로 위장한 형태를 발견했다고 밝혔다.

잉카인터넷 측은 “악성앱 제작자가 자신이 만든 악성파일이 잉카인터넷 보안관제에 지속적으로 노출되고 관련 정보가 노출되자 아예 nProtect Mobile 제품처럼 사칭하기 시작한 것으로 추정된다”고 밝혔다.

또한 “이는 공격자가 새로운 변종을 제작해 유포하면 그 즉시 탐지되고 신속하게 업데이트되어 소액결제사기 피해가 최소화되고 있기 때문인 것으로 분석되며, 곧 공개할 스미싱 원천 차단솔루션에 대한 사전 반격으로도 예측된다”고 덧붙였다.

현재 해당 악성앱은 nProtect Mobile for Android 제품에 ‘Trojan/Android.KRSpammer.GT’ 탐지명으로 긴급 업데이트되었으며 현재 진단 및 치료가 가능하다.

또한 공격자에 대한 추적을 지속적으로 하고 있고 변종 유포에 대한 실시간 감시태세를 유지하고 있다. 또한 기습적인 악성앱 유포에 대한 이상징후를 예의주시하며 만반의 대응태세를 갖추고 있다.

nProtect Mobile for Android 제품으로 위장한 악성앱은 기존에 다양한 소액결제사기용 악성앱을 유포했던 조직에 의해서 제작되었으며 잉카인터넷 대응팀은 해당 조직들에 대한 추적을 유지하고 있다.

이 악성앱은 2013년 3월 10일 새벽 1시 30분경에 제작된 것으로 분석되었으며 현재 대부분의 모바일 보안제품에서 탐지하지 못하고 있다. 만에 하나 실제 nProtect Mobile 제품으로 착각하여 이용자 피해가 발생하지 않도록 하기 위해서 nProtect Mobile for Android 제품에는 긴급 업데이트가 완료되었으며 현재 이 시간 정상적으로 탐지 및 삭제가 가능한 상태이다.

잉카인터넷의 nProtect Mobile for Android 제품은 구글 플레이 공식마켓이나 대응팀 공식블로그를 통해서 정식 설치가 가능하므로, 문자메시지나 별도의 웹 사이트에서는 설치를 하지 않도록 해야 한다.

nProtect Mobile 제품으로 사칭한 악성앱은 설치가 시도될 때는 다음과 같이 과도하게 민감한 권한을 요구하게 된다.

설치가 완료되면 스마트폰 바탕화면에 다음과 같이 아이콘이 생성되는데 가짜의 경우 ‘nProtect Mobile’ 이름으로 생성되지만, 실제 정상적인 이름은 ‘nProtect’ 이다. 또한, 아이콘 뒷 배경에 약간의 검정 화면이 포함된 것도 다른 점이다.

이 악성앱도 기존과 마찬가지로 스마트폰에 감염되면 소액결제사기용 승인문자 가로채기 기능을 수행하며, 많은 경우 최대 30만원의 피해를 입을 수 있으므로, 각별한 주의가 필요하다.

가짜 nProtect Mobile 아이콘을 실행하면, 화질이 매우 떨어지는 nProtect Mobile 업데이트 이미지 화면을 사용자에게 보여준다. 하지만 모두 조작된 내용이다.

이처럼 스미싱 악성앱은 지속적으로 변종이 발견되고 있으며 이용자들은 nProtect Mobile for Android 제품을 이용해서 진단 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단 요청하는 것도 좋은 예방법이다.

잉카인터넷측은 “안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다”면서 “다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다”고 설명했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>