보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
문자메세지 내용을 해커에게 전송하는 악성 앱
최근 스팸문자 차단앱을 가장해 설치된 후 수신된 문자메세지 내용을 해커에게 전송하는 악성앱이 발견되었습니다.
유포자는 방송통신위원회를 사칭해 스팸메세지를 전송하여 앱설치를 유도하였으며, 앱이 한국어로 제작되어있어 이 악성앱은 철저하게 국내 스마트폰 유저들을 겨냥했음을 알 수 있습니다. 발견된 악성앱들의 이름은 ‘Spam Guard’, ‘Spam Blocker’, ‘Stop Phishing!!’ 입니다. 구글플레이에 표시된 앱정보에는 스팸차단용 앱이라고 소개되어 있지만 스팸차단기능은 전혀 동작하지 않습니다. (현재 구글플레이에서는 앱이 삭제되었음)
<스팸차단 솔루션을 가장한 악성앱 실행화면>
이 악성앱의 실제 기능은 사용자의 휴대폰 정보, 통신사 정보 및 문자메세지 내용을 가로채는 것입니다. 앱은 1588-xxxx, 1599-xxxx 등의 특정 전화번호들을 감시하고 이 번호로부터 오는 문자메세지 내용을 해커가 지정한 서버로 전송합니다.
<악성앱이 감시하는 SMS 발신번호>
이러한 악성코드는 신용카드 사용내역, 개인 활동정보 등의 개인정보를 유출할 뿐 아니라, 휴대폰결제를 악용해 실제 금전피해를 발생시킬 수 있습니다.
휴대폰결제는 온라인 거래 시 많이 이용되고 있는 인증수단으로써 ‘결제요청자가 요금이 청구될 번호의 휴대폰을 실제로 소유하고 있는지’를 확인합니다. 그 방법으로 ‘사용자에게 1회용 비밀번호를 SMS로 보낸 뒤 다시 사용자가 전송된 비밀번호를 결제창에 맞게 입력하는지’를 확인하여 신용결제를 허용하는데, 이 악성앱이 휴대폰 소액결제 전문업체나, 통신사, 쇼핑몰, 게임아이템거래 사이트 등의 전화번호를 감시하고 있으며, 사용자의 통신사업자 정보까지 수집하는 것으로 보아, SMS인증 기반의 휴대폰결제 체계를 악용할 목적으로 만들었을 가능성이 매우 큽니다.
<휴대폰 소액 결제시 필요한 정보>
휴대폰 소액결제를 위해 필요한 정보는 주민등록번호, 통신사정보, 휴대폰번호, 승인번호인데, 해커는 주민등록번호를 제외한 나머지 정보를 이 악성앱을 통해 얻을 수 있습니다. 하지만 주민등록번호 역시 이미 알고 있을 가능성이 높습니다. 그 동안 주민등록번호와 전화번호가 함께 담긴 개인정보의 유출사고가 많이 있었기 때문입니다.
<악성앱을 이용한 휴대폰결제사기>
많은 웹사이트에서 문자메세지가 본인 인증수단으로 사용되고 있습니다. 따라서 설치하려는 앱이 SMS 수신권한을 요청하는 경우, 안전한 앱인지 다시 한번 확인 하고 설치해야 합니다.
<앱 설치시에 나타나는 권한 부여 확인 창>
방통위를 사칭한 Spam Guard등의 앱을 절대로 설치하지 마시고 스팸차단 솔루션은 알약 안드로이드와 같이 믿을 수 있는 앱을 사용하시기 바랍니다.
<알약 안드로이드 스팸관리 기능>
또한 ‘알약 안드로이드’에서는 해당 악성앱을 Trojan.Android.SMS.Stech 로 탐지하고 있습니다.
<알약 실시간 악성앱 탐지화면>
스마트폰에서도 알약안드로이드의 실시간감시를 꼭 활성화하고, 출처가 불분명한 앱은 가급적 설치하지 않는 것이 좋습니다.