경찰청 사이버안전국 앱을 사칭한 Trojan.Android.KRBanker 악성앱 주의
이스트시큐리티 시큐리티대응센터(이하 ESRC)에서는 최근 발견된 KRBanker 악성앱이 기존의 KRBanker보다 한층 더 정교하고 교묘하게 공격하도록 제작되어 유포되고 있는 것을 확인했습니다.
특히, 이 악성앱은 마치 스미싱과 보이스피싱 등이 결합된 형태로 진화된 형태로 볼 수 있습니다.
이 악성앱은 248개의 금융기관 전화번호로 발신을 감시하며 피해자가 특정 금융기관에 통화를 시도할 경우 보유하고 있는 음성 녹음 파일을 재생하고, 공격자에게 전화통화를 포워딩 하는 기능을 가지고 있습니다.
이때부터는 일종의 보이스피싱으로 사이버범죄가 진행될 수 있습니다.
해당 악성앱은 최근 이슈가 되고 있는 샘플로서 인증서 생성 시간은 2018년 11월 06일로 최근에 제작된 샘플이라는 것을 알 수 있습니다.
이번 악성앱은 마치 한국의 금융기관처럼 위장했던 악성앱 시리즈의 변종으로 금융기관이 아닌 “경찰청 사이버안전국”을 사칭하고 있다는 점이 특징이라 할 수 있습니다.
다음 그림은 악성앱 실행 시 보여지는 실제 화면으로 “경찰청 사이버안전국”이라는 명칭이 앱 타이틀바에 표기되어 있습니다.
[그림 1] 앱 실행 화면과 인증서 생성 시간
또 다른 특징으로 악성앱은 금융기관의 전화상담 연결 시 나오는 안내 멘트 내용이 녹음된 파일 51개를 가지고 있다는 점입니다.
안내 멘트의 내용은 “금융기관 사칭의 금융 사기가 급증하여 각별한 주의를 부탁한다”는 것입니다.
그리고 248개의 금융기관 전화번호를(전화번호는 248개지만 실제 감시 금융기관은 51개 입니다.) 감시하여 해당 번호로 통화를 시도하면 해당 금융기관의 음성 안내 메시지를 들려주는 동시에 발신번호를 공격자의 전화번호로 변경하여 발신 하게 됩니다.
[그림 2] 악성앱 보유 음성안내 녹음파일
[그림 3] 감시 금융기관 전화번호 리스트
[그림 4] 수신번호 변경 코드
그리고 악성앱은 피해자의 신고를 원천 차단하는 기능도 가지고 있습니다.
[그림 4]의 shared_preferences에 저장된 d.xml 내의 번호들은 025303114 – “서울중앙지방검찰청”, 1332 – “금융감독원 불법사금융 피해 신고센터” 등 검경이나 금융감독원 등의 전화번호로 피해자가 통화를 시도할 경우 공격자의 인터넷 전화 번호로 변경하여 통화를 하게 됩니다.
다음 [그림 5]는 C&C 서버 정보입니다.
공격자가 명령을 전달하거나 피해자의 기기 정보와 개인정보를 탈취하여 전송합니다.
[그림 5] C&C 서버 정보
[그림 6] 통화 목록 탈취 코드
[그림 7] 주소록 탈취
[그림 8] 문자 탈취 코드
위에서 언급한 51개의 감시 대상 금융 기관의 구체적인 리스트는 다음과 같습니다.
금감원, 롯데캐피탈, 롯데카드, 밀리언캐시, 미즈사랑, 모아저축은행, 농협, 오케이캐피탈, 오케이저축은행, 원캐싱, 페퍼저축은행, 리드코프, 러시앤캐시, 새마을금고, 안전대부, 삼호저축은행, 삼성카드, 상상인 저축은행, 산와머니, sbi저축은행, 세람상호저축은행, 신한, 신협, 스마트저축은행, 스타크레디트대부, 태강 대부, 웰컴저축은행, 우리은행, 우리카드, 예가람, 유진저축은행, 아주캐피탈, 애큐온 캐피탈, 바로바로론, 비엔케이 캐피탈, jt 친애 저축은행, 대신저축은행, 디비저축은행, 신용보증기금, 고래저축은행, keb하나, 한국투자저축은행, 현대캐피탈, 현대카드, 아이비케이캐피탈, 아이비케이저축은행, 조이론, 제이티캐피탈, jt저축은행, kb, 키움저축은행
초기의 금융기관 사칭앱들은 허술한 부분이 있어 피해자가 세심한 주의를 기울여 살펴보면 이를 예방할 수 있었습니다.
그러나 현재의 공공기관 사칭앱들은 보다 정교해지고 교묘하게 제작되어 있어 피해자가 위협을 인지하기 쉽지 않습니다.
그리고 피해자가 이를 인지하여 신고 등을 통해 해결하려 해도 이를 방해하는 기능마저 가지고 있어 이 또한 쉽지 않습니다. 따라서 의심스러운 앱이 설치되지 않도록 평소 보안수칙 준수 등 사전 예방을 통해 악성앱이 설치되지 않도록 각별한 주의가 필요합니다.
이를 위해 알약M과 같은 신뢰할 수 있는 백신을 사용하여야 하며 구글 플레이 프로텍트와 같은 기능도 활성화시켜 놓아야 합니다. 더불어 기기설정 메뉴에서 보안메뉴의 “알 수 없는 소스” 항목을 꺼 놓아야 하겠습니다.
[그림 9] 알약M 실시간 탐지
현재 알약M에서는 해당 악성앱을 “Trojan.Android.KRBanker” 탐지명으로 진단하고 있습니다. 안전한 스마트폰 환경을 유지하기 위해 이용자분들의 각별한 주의를 부탁드립니다.