[Trojan.Android.Banker] 악성코드 분석 보고서
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.
모바일 악성코드는 매우 다양한 형태로 존재하며, 기기의 포함된 여러 정보를 탈취하거나 금융정보를 악용하여 재정적인 손실을 야기할 수 있습니다. 또한, 악성코드는 기기의 성능을 저하하거나 추가적인 악성코드를 설치하는 등 사용자에게 심각한 위험을 초래할 것입니다.
최근 인터넷상에서는 쇼핑몰로 위장하는 방법이 대두되고 있으며 [표 1]과 같은 문자들이 자주 발견되고 있습니다.
No. | 문자 내용 |
1 | [국제발신][LF몰]결제완료 금액:711,000원 본인아닐시 피해구제센터 문의:xxxx-xxxx |
2 | [국제발신](주)메이시스 753.250원 승인번호(97685) 정상처리완료 고객센터050-xxxx- xxxx |
3 | -결제 완료 -물품 결제금액 -KRW 2,592,400원 -정상처리 되었습니다 -문의전화 050-xxxx-xxxx |
4 | OOO 님 해외배송 고객님 10월4일 688,150원 결제완료 본인아닐경우 신고요망 상담센터:050-xxxx |
5 | [국제발신]Nsmall [해외승인] 고객님 10월5일 687,890원 결제완료 본인아닐시 상담센터:050-xxxx-xxxx |
6 | [국외발신] 고객님 주문하신 상품 결제금액:850,000원 정상처리 되었습니다 금일 대행예정 고객센터:050-xxxx-xxxx |
해당 문자를 유포하는 공격자는 실제 운영 중인 쇼핑몰의 이름과 아이콘을 그대로 사칭하여 사이트를 제작했습니다. 문자를 받은 사용자는 결제하지 않았기 때문에 상담 센터에 전화하여 확인할 것이고 상담원은 미리 제작해둔 모바일 악성코드를 설치하도록 유도하며 피싱 페이지를 안내합니다.
이후 가짜 쇼핑몰 사이트에 사용자가 회원가입을 하거나 상품 조회를 하면 공격자는 사용자의 개인정보를 악용할 수 있습니다. 이를 방지하기 위해서는 되도록 정상적인 쇼핑몰만 이용하고 웹 사이트의 세부 디자인이 다르므로 주의 깊게 살펴보아야 합니다.
공격자는 쇼핑몰을 사칭하는 것에 그치지 않고 전자기기 판매점과 투자회사, 약품 판매 사이트 등등 여러 방식의 피싱 사이트를 제작하고 있습니다. 사이트를 정교하게 만들수록 스마트폰 사용자는 점점 구분하기 힘들고 거액에 피해를 볼 수 있으므로 이용자의 각별한 주의가 필요합니다. 또한, 알려지지 않은 사이트나 의심스러운 사이트에서는 개인정보를 입력하지 않도록 주의해야 합니다.
다음은 악성 앱 공격의 예방 및 대응 방법입니다.
- 악성 앱 예방
1) 출처가 불분명한 앱은 설치하지 않는다.
2) 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다.
3) SMS나 메일 등으로 보내는 앱은 설치하지 않는다.
- 악성 앱 감염 시 대응
1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.
2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.
3) 백신 앱이 악성 앱을 탐지하지 못했을 경우
A. 백신 앱의 신고하기 기능을 사용하여 신고.
B. 수동으로 악성 앱 삭제
자세한 내용은 보안동향보고서에서 확인하실 수 있으며, 현재 알약에서는 관련 악성코드를 'Trojan.Android.Banker' 로 진단하고 있습니다.