[보안뉴스 권 준] 안드로이드 기반 스마트폰 이용자를 겨냥한 새로운 내용의 스미싱이 발견됐다. 이번에 확인된 유형은 국내에서 실제 서비스 중인 특정 영화감상 웹사이트의 화면을 무단 도용한 것으로 알려졌다.

잉카인터넷 대응팀에 따르면 문자메시지(SMS) 내용에는 마치 10주년 기념 이벤트처럼 이용자의 심리를 교묘하게 파고들었고, 무료로 영화를 감상할 수 있는 인터넷 바로가기 주소처럼 위장한 후 이용자를 현혹시킨 것으로 드러났다. 

그런 다음에 문자메시지에 포함된 인터넷 주소(URL)를 클릭하도록 유도한 후, 만약 인터넷 주소에 접근할 경우 실제 이벤트처럼 보이도록 정교하게 조작된 가짜 웹사이트로 연결시켜 신뢰도를 높였다.

특히, 실제 서비스 중인 특정 웹사이트의 화면을 그대로 보여주면서 악의적인 안드로이드 악성 앱(APK) 파일을 자동적으로 다운로드 시키고, 이용자가 직접 악성 앱을 설치하도록 유도하고 있는 것이다. 

즉, 국내에서 서비스 중인 ‘씨네폭스’ 사이트의 내용처럼 사칭하여 전파된 경우로 유포된 스미싱 문구는 다음과 같다.

‘씨네폭스-10주년기념이벤트 국내최대편수 합법 인테넷영화관 굿다운로드, 스마트폰으로 실시간 무료영화감상 바로가기>> http://2.****nxon.com/’ 

이렇듯 국내에 전파되는 스미싱 문자의 경우 오타나 표현이 부자연스러운 경우가 많은데, 이번에도 인터넷을 인테넷 등으로 잘못 표기했고, 도메인의 경우도 실제 ‘씨네폭스’ 사이트가 아닌 다른 도메인이 이용된 것으로 알려졌다.

해당 문자메시지를 수신한 불특정다수의 이용자 중에 내용 확인을 위해서 인터넷주소로 접근할 경우 다음과 같은 웹 사이트로 연결되고, 수초 후에 korea_k-pop-2.apk 이름의 악성 APK 파일이 다운로드된다.

다운로드된 악성앱(APK)을 이용자가 한번 더 클릭하면 설치가 진행되며, 문자메시지 감시와 인터넷 기능권한 등을 요구하는 화면이 나타난다. 이 권한은 많은 안드로이드 악성 앱들이 스마트폰 이용자의 정보를 탈취하기 위해서 보편적으로 사용하는 악성기능으로 악성 앱 제작자들이 손쉽게 이런 기능에 접근하지 못하도록 개발 관계사들의 적극적인 차단 노력도 절실하다는 게 잉카인터넷 대응팀 측의 설명이다.

설치된 악성 앱이 실행되면 ‘씨네폭스’ 이벤트 내용과는 전혀 무관한 백혈형 관련 문구와 입력화면을 보여주고, [확인] 버튼을 클릭하면 바로 사라진 후 악의적인 기능이 유지되는 것으로 분석됐다.

이와 관련 잉카인터넷 대응팀 문종현 팀장은 “이용자들은 호기심 유발이나 ‘무료’라는 내용에 쉽게 현혹되지 않아야 한다”며, “악성 앱에 감염될 경우 문자메시지, 주소록, 사진, 메모, 공인인증서, 통화내역 등이 손쉽게 해커에게 탈취될 수 있고, 녹음기능을 통한 도청 등의 사생활 침해와 추가적인 악성앱 다운로드 설치 등의 피해를 입을 수 있다는 사실을 명심해야 한다”고 강조했다.

특히, 지난해 하반기부터 유행한 한국 맞춤형 스미싱 범죄 초기에는 모바일 소액결제 승인문자를 몰래 가로채기 하는 금전 사기가 기승을 부렸으나, 최근에는 스마트 뱅킹용 악성 앱을 추가 설치하여 금융정보를 탈취한 후, 전자금융사기에 활용하고 있어 피해금액이 갈수록 커질 것으로 보인다.

이에 문 팀장은 “최근 안드로이드 기반 악성 앱은 설치 아이콘을 숨기는 경우나 정상 앱처럼 리패키징하여 위장한 후, 추가 악성 앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있어 nProtect Mobile for Android 등의 모바일 백신 제품으로 전체검사를 수시로 수행해 보는 것이 좋다”고 덧붙였다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>