본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

최근 스팸문자 차단앱을 가장해 설치된 후 수신된 문자메세지 내용을 해커에게 전송하는 악성앱이 발견되었습니다.


유포자는 방송통신위원회를 사칭해 스팸메세지를 전송하여 앱설치를 유도하였으며, 앱이 한국어로 제작되어있어 이 악성앱은 철저하게 국내 스마트폰 유저들을 겨냥했음을 알 수 있습니다. 발견된 악성앱들의 이름은 ‘Spam Guard’, ‘Spam Blocker’, ‘Stop Phishing!!’ 입니다. 구글플레이에 표시된 앱정보에는 스팸차단용 앱이라고 소개되어 있지만 스팸차단기능은 전혀 동작하지 않습니다. (현재 구글플레이에서는 앱이 삭제되었음)


스팸차단 솔루션을 가장한 악성앱 실행화면

<스팸차단 솔루션을 가장한 악성앱 실행화면>


 

이 악성앱의 실제 기능은 사용자의 휴대폰 정보, 통신사 정보 및 문자메세지 내용을 가로채는 것입니다. 앱은 1588-xxxx, 1599-xxxx 등의 특정 전화번호들을 감시하고 이 번호로부터 오는 문자메세지 내용을 해커가 지정한 서버로 전송합니다.


악성앱이 감시하는 SMS 발신번호

<악성앱이 감시하는 SMS 발신번호>


 

이러한 악성코드는 신용카드 사용내역, 개인 활동정보 등의 개인정보를 유출할 뿐 아니라, 휴대폰결제를 악용해 실제 금전피해를 발생시킬 수 있습니다.


휴대폰결제는 온라인 거래 시 많이 이용되고 있는 인증수단으로써 ‘결제요청자가 요금이 청구될 번호의 휴대폰을 실제로 소유하고 있는지’를 확인합니다. 그 방법으로 ‘사용자에게 1회용 비밀번호를 SMS로 보낸 뒤 다시 사용자가 전송된 비밀번호를 결제창에 맞게 입력하는지’를 확인하여 신용결제를 허용하는데, 이 악성앱이 휴대폰 소액결제 전문업체나, 통신사, 쇼핑몰, 게임아이템거래 사이트 등의 전화번호를 감시하고 있으며, 사용자의 통신사업자 정보까지 수집하는 것으로 보아, SMS인증 기반의 휴대폰결제 체계를 악용할 목적으로 만들었을 가능성이 매우 큽니다.


휴대폰 소액 결제시 필요한 정보

<휴대폰 소액 결제시 필요한 정보>


 

휴대폰 소액결제를 위해 필요한 정보는 주민등록번호, 통신사정보, 휴대폰번호, 승인번호인데, 해커는 주민등록번호를 제외한 나머지 정보를 이 악성앱을 통해 얻을 수 있습니다. 하지만 주민등록번호 역시 이미 알고 있을 가능성이 높습니다. 그 동안 주민등록번호와 전화번호가 함께 담긴 개인정보의 유출사고가 많이 있었기 때문입니다.


악성앱을 이용한 휴대폰결제사기

<악성앱을 이용한 휴대폰결제사기>


 

많은 웹사이트에서 문자메세지가 본인 인증수단으로 사용되고 있습니다. 따라서 설치하려는 앱이 SMS 수신권한을 요청하는 경우, 안전한 앱인지 다시 한번 확인 하고 설치해야 합니다.


앱 설치시에 나타나는 권한 부여 확인 창

<앱 설치시에 나타나는 권한 부여 확인 창>


 

방통위를 사칭한 Spam Guard등의 앱을 절대로 설치하지 마시고 스팸차단 솔루션은 알약 안드로이드와 같이 믿을 수 있는 앱을 사용하시기 바랍니다.


알약 안드로이드 스팸관리 기능

<알약 안드로이드 스팸관리 기능>


 

또한 ‘알약 안드로이드’에서는 해당 악성앱을 Trojan.Android.SMS.Stech 로 탐지하고 있습니다.


알약 실시간 악성앱 탐지화면

<알약 실시간 악성앱 탐지화면>


 

스마트폰에서도 알약안드로이드의 실시간감시를 꼭 활성화하고, 출처가 불분명한 앱은 가급적 설치하지 않는 것이 좋습니다.