Trojan.Android.SmsSpy 악성 어플의 구동 방식

스미싱을 통한 공격은 스마트폰을 사용하기 시작하면서부터 현재까지 계속 발생하고 있는 공격이다.

교묘하게 확인을 할 수밖에 없는 키워드들을 사용해 문자에 포함되어 있는 URL을 누르도록 유도하는데 이때 경찰과 검찰 등 수사 기관을 사칭하는 경우가 매우 많다.

 

최근에 발견된 경찰 사칭 공격은 교통 법규를 위반했다는 내용으로 작성되었으며 택배와 같이 흔하게 접할 수 있는 문자가 아니기에 문자를 받은 사람들이 속을 가능성이 높다.

 

이 스미싱 문자를 살피게 되면 법규 위반으로 인한 고지서가 발부되었다는 내용과 함께 URL을 보내는데 운전을 하는 사람들이라면 혹시나 하는 마음에 이 링크를 눌러 보게 될 것이다. 이때 이 링크를 통해 악성 코드가 포함되어 있는 어플이 다운로드가 되고 휴대폰에 설치가 된다. 이 악성 어플은 경찰청에서 배포하는 이파인 앱으로 위장을 하고 있기에 피해자는 자신이 스미싱에 당했다는 사실을 쉽게 인지하기가 어렵다.

 

---

 

스미싱 악성 어플은 위와 같이 문자를 통해 유포되고 피해자의 개인 정보를 탈취한다.

이 글을 통해 Trojan.Android.SmsSpy 악성 어플의 구동 방식을 알아보겠다.

 

스미싱 문자의 링크를 클릭하면 위의 사진과 같은 공격자가 만들어 놓은 랜딩 페이지로 이동을 한다.

 

해당 페이지는 경찰청의 이파인 웹과 유사하게 구성이 되어 있고, 페이지 내에서 전화번호를 입력해 벌금 등 정보를 조회할 수 있는 것처럼 되어 있다. 그러나 이 기능들은 피해자의 연락처 탈취가 목적이며 전화번호를 입력하면 화면이 이동한다.

 

전화번호를 탈취한 후 피해자의 이름과 생년월일을 입력하도록 하는 페이지로 이동하며 여기서 이름과 생년월일을 입력할 시 악성 어플 다운로드 페이지로 이동하게 된다. 이때 피해자는 자신에게 온 문자를 토대로 벌금 등 정보를 조회하기 위해 악성 어플을 다운로드 받아 설치하게 된다. 

 

악성 어플이 설치가 되고 실행을 하게 되면 여러 단계를 걸쳐 피해자의 개인 정보 탈취를 진행하며 각 단계에서 입력한 정보는 입력할 때마다 C2로 전송이 된다. 위의 화면은 피해자의 신분증 촬영을 요구하는 화면이다. 여기서 촬영이 되어 업로드를 한 신분증은 공격자의 서버로 업로드가 된다.

 

여기서 C2는 Command & Control server이고 이는 공격 명령 서버로 악성 프로그램에 감염된 좀비PC에 스팸메일 전송, 악성코드 유포, DDoS 공격 등 공격자가 원하는 공격을 수행하도록 명령을 내리고, 조종하는 원격지의 제어서버를 의미한다.

(참고: https://fine.fss.or.kr/main/fin_tip/dic/financedic.jsp)

 

이후 피해자의 신용 카드 정보 입력을 요구하는 화면이 실행된다. 피해자가 신용 카드 정보를 입력하고 다음 버튼을 누르게 되면 입력한 정보는 C2로 전송되고 이어서 은행 정보 입력을 요구하는 화면이 실행된다. 이처럼 공격자는 정보를 한번에 수집하는 것이 아니라 여러 단계에 나누어 수집을 하고 매 페이지마다 피해자의 중요한 개인 정보를 요구한다.

 

금융 정보를 탈취한 뒤에 피해자에게 주민 등록 번호를 입력 받는 페이지로 넘어간다.

 

피해자가 주민 등록 번호까지 입력을 하면 이 악성 어플은 가짜 ARS 인증 페이지를 보여 주며 이전에 입력했던 정보를 토대로 인증 절차를 진행하고 있는 것처럼 보여 준다. 사실 이 ARS 인증은 화면과 같은 절차로 진행되지 않으며 그저 타이머 종료 시 성공했다는 화면으로 전환되는 형식이다.

 

인증이 성공해 다음 단계로 넘어가면 버전 업데이트가 필요하다는 팝업이 뜨는데 확인을 누르면 실제 경찰청에서 제공하는 정상적인 어플의 설치 페이지로 이동한다. 이를 통해 이 어플에는 피해자의 개인 정보 탈취 기능을 제외하면 다른 기능이 따로 없는 것을 알 수 있다. 이후 백그라운드에서 악성 행위를 수행하며 C2를 통해 공격자의 명령을 수행한다.

 

---

 

따라서 이 어플의 주요 기능은

 

개인 정보 탈취

금융 정보 탈취

SMS 탈취

SMS 전송

연락처 탈취

인증서 탈취

 

이렇게 여섯 가지로 볼 수 있다.

 

---

 

결론을 살펴보자면 Trojan.Android.SmsSpy는 스미싱을 통해 유포되는 대표적인 악성 어플 중 하나이다. 어플을 통해 피해자의 민감한 개인 정보를 탈취하는 것이 목적이며 이렇게 수집한 정보를 활용해 추가적인 공격을 가할 것을 예상할 수 있다. 추가적인 공격은 분명 피해자의 금전을 탈취하는 것을 목적으로 두고 있을 것이다. 

 

스미싱에 당하지 않기 위해서는 공식 스토어 이회의 경로를 통한 어플 설치 시 어플에 대해 충분하게 알아본 후 설치를 해야 하며 공식 스토어에서 설치를 하는 것이라고 하여도 안심하기보다는 신뢰가 가능한 어플 제작사인지 확인이 필요하다. 또한 백신 어플리케이션을 설치하고 항상 최신 상태를 유지해야 한다.

 

만일 악성 어플 어플을 다운로드만 하였다면 파일 삭제 후 신뢰 가능한 백신 어플로 검사를 수행하도록 해야 하고 설치까지 마쳤을 경우는 백신 어플로 검사를 하고 설치가 된 악성 어플을 삭제해야 한다. 이때 혹시 백신 어플이 악성 어플을 탐지하지 못한 경우가 생긴다면 백신 어플의 신고하기 기능을 사용해 신고를 하면 되고 수동으로 악성 어플을 휴대폰에서 삭제해야 한다.

 

이러한 공격들은 사용자가 스미싱에 대해 주의를 기울인다면 충분히 예방할 수 있기 때문에 무엇보다도 사용자의 예방 노력이 중요하다.  

 

 

이 기술 보고서는 이스트시큐리티의 22년 09월 보안 동향 보고서를 참고해 작성했습니다.

자세한 Trojan.Android.SmsSpy의 코드는 아래에서 볼 수 있습니다.

(https://www.estsecurity.com/enterprise/security-info/report)