택배 스미싱 주요 내용은 ‘배송 실패로 인한 확인 요청’…정교하게 제작돼 구분 어려워
문자에 포함된 URL 링크 클릭 금지, 실수로 내려받은 악성 앱 설치 안 하면 예방 가능

[보안뉴스 김영명 기자] 악성 인터넷 주소가 포함된 문자메시지를 보내 개인정보를 빼내는 ‘스미싱’ 수법에 활용되는 악성 애플리케이션이 갈수록 정교해지고 있다. 예전부터 택배사를 사칭한 내용은 지속적으로 발견됐는데 최근 크리스마스와 연말 파티로 인해 택배 주문량이 많이 증가하면서 택배 스미싱도 많이 발견되고 있다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲ESRC 최근 수집한 데이터 참고(좌) 및 배포 사이트(우)[자료=ESRC]

이스트시큐리티 시큐리티대응센터(이하 ‘ESRC’)에 따르면 택배 스미싱은 배송 실패가 주된 내용이며 악성 앱이 정교해질 뿐 기존에 문자들과 큰 차이는 없다. 단축 URL을 통한 악성 앱 유포도 같기 때문에 스미싱의 예방 방법은 생각보다 간단하다. 문자에 포함된 URL 링크를 클릭하지 않도록 하고, 실수로 내려받은 악성 앱이라도 설치하지 않으면 된다. 최근 유포된 문자에 포함된 링크를 누르면 피싱 사이트로 이동한다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲택배 앱 다운로드 사이트[자료=ESRC]

해당 앱 설치 요구 화면은 겉보기에는 정상적인 사이트 같지만, URL이 실제 사이트와는 다르다. 또한, 조회를 위해 핸드폰 번호를 입력하게 되는데 무분별한 다운로드를 방지하기 위해 미리 등록된 번호를 체크한다. 유포 사이트에 등록된 번호가 아니라면 입력 번호 오류를 표시하고, 세 번의 시도 후에는 CJ 대한통운 사이트로 이동시킨다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲앱 정보(좌) 및 추가 앱 설치 화면(우)[자료=ESRC]

공격자가 미리 정해놓은 번호를 입력했을 경우 앱 정보 페이지로 이동하며 앱 다운로드가 가능하다. 설치 후 조치 방법에 대해서도 자세하게 설명하고 있어 정상적인 페이지로 오인할 수 있다. 내려받은 앱의 경우 사용자를 속이기 위해 아이콘과 이름을 로젠택배로 사칭하고 있다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲앱 실행 화면[자료=ESRC]

앱을 실행하면 제일 먼저 추가 앱 설치를 유도하고 설치하지 않으면 다음 화면으로 넘어가지 않는다. 실질적인 악성 행위를 담당하기 때문에 정상적인 보안 앱의 이미지를 사칭해 설치를 유도한다.

앱을 실행하면 실제 로젠택배처럼 인트로 화면을 표시하고 이용약관 설명과 함께 약관 동의를 구하고 있다. 이는 실제 기능이 없는 보여주기식 화면이다. 다음으로 전화번호를 인증하는 화면이 정상 앱과 동일해 구분이 어렵다. 휴대전화 인증도 공격자가 미리 등록한 번호가 아니면 다음 화면으로 넘어가지 않게 설정됐다.

모든 인증 과정을 수행하면 네트워크 연결 상태가 좋지 않다는 문구와 함께 이미지를 띄우고 더는 동작하지 않는다. 이러한 스미싱 유형 가운데 보이스피싱에 사용되는 악성 앱 ‘Spyware.Android.Agent’의 경우 앱을 실행하게 되면 제일 먼저 3가지의 함수가 실행되는데 initView, initData, initListener 순서대로 동작한다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲initView, initData, initListener(좌부터)[자료=ESRC]

미리 만들어둔 피싱 페이지의 URL을 불러와 화면에 표시한다. 두 번째 함수는 메일을 통해 폰 번호를 전달하기 위해 작성한 소스로 보이는데 설치 알림만 전송되고 있다. 버전을 체크한 후 리소스에 저장된 xx.apk 추가 앱을 설치하고 실행한다.

악성 앱의 주요 행위는 △통화(통화 착·발신 기록, 통화 강제 종료, 통화 기록 탈취, 통화 기록 삭제) △문자(전송, 탈취) △음성 녹음 및 탈취 △연락처 탈취 △갤러리 탈취 △C2 서버 교체 △C2 명령 수행 등이 있다.

추가로 설치한 악성 앱은 다양한 기능을 수행하기 위해 서비스를 실행하고 기기 관리자를 등록한다. 또한, setComponentEnabledSetting 설정을 통해 아이콘을 숨기고 있으며, 원하는 전화 기록을 삭제하거나, 이전에 전화했던 기록을 모아 서버로 전송한다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲전화 기록 삭제 및 기록 전송(좌부터)[자료=ESRC]

그 이후 발신 전화와 착신 전화에 대한 상태를 실시간으로 서버에 전송한다. 착신 전화의 경우 무음과 벨소리 모드에 대해서도 설정할 수 있으며 강제로 종료할 수도 있다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲통화 상태 확인 및 메시지 탈취[자료=ESRC]

해당 악성 앱은 실시간 받은 문자 메시지를 서버로 전송해 탈취하고 있다. 또한, 실시간으로 받은 문자를 수집하기도 하지만, C2(명령제어) 서버를 교체할 때도 사용하고 있다. 문자 내용에 링크를 포함할 때 해당 링크를 C2로 변경한다.

설치된 앱 패키지 이름을 가져와 서버로 전송해 탈취하고, 갤러리에 저장된 이미지 파일을 서버로 전송한다. 또한, 사용자 몰래 주변 소리를 녹음하거나 통화를 녹음해 파일로 저장하고 한 번에 서버로 전송하기도 한다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲앱 목록 및 갤러리, 녹음 파일 탈취(좌부터)[자료=ESRC]

특히, 악성 앱의 행위를 방해하는 앱 목록을 작성해 두고, 설치돼 있는지를 체크한다. 유사한 악성 앱에서는 제거 문구를 띄워 삭제를 진행했는데 현재 앱은 설치 여부만 체크해 서버로 전송할 뿐 삭제하는 코드는 존재하지 않았다. 각종 정보를 탈취하는 서버의 주소와 중요한 문자열들은 난독화 처리돼 있지만, 간단한 XOR 연산을 통해 실제 C2 주소를 확인할 수 있다.

[보안뉴스 / 1.4.] 연말연시 파티로 인한 택배 물량 급증... 택배 사칭 스미싱 주의보

▲악성 앱에서 권한을 갖고 있는 다른 앱[자료=ESRC]

이스트시큐리티 ESRC 측은 “공격자가 유포 중인 또 다른 앱으로 택배 사칭부터 갤러리, 모바일 청첩장까지 확대한 것을 볼 수 있다”며 “공격자는 여전히 스미싱 문자를 지속해서 배포 중이며 새로운 악성 행위를 시도할 수 있으므로 앱을 설치하지 않도록 사용자의 주의가 요구된다”고 말했다.

한편, 악성 앱을 예방하기 위해서는 △출처가 불분명한 앱은 설치 금지 △구글 플레이 스토어 같은 공식 사이트에서만 앱 설치 △SMS나 메일 등으로 보내는 앱은 설치 금지 등을 지키면 된다. 또한, 악성 앱에 감염됐을 경우에는 △악성 앱을 다운로드만 했을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행 △악성 앱을 설치했을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제 △백신 앱이 악성 앱을 탐지하지 못했을 경우에는 백신 앱의 신고하기 기능을 사용해 신고하거나 수동으로 악성 앱 삭제 등의 조치를 취하면 된다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>