최근 각종 금융사를 사칭한 대출과 관련된 피싱 문자가 많이 유포되고 있어 각별한 주의가 요구된다.

이스트시큐리티 ESRC(시큐리티 대응센터)에 따르면, 만약 이런 피싱 문자를 수신 후 실제 금융사로 오인해 연락을 할 경우, 범죄자들은 카카오톡과 같은 경로를 통해 사용자가 금융 앱을 위장한 악성 apk를 내려받도록 유도한다고 주의를 당부했다.

사용자가 악성 APK를 설치하면 다음과 같이 다양한 권한을 요구한다.

사용자가 다음 버튼을 클릭하면 악성 APK가 사용자 모바일에 설치된다.

설치 된 후에는 추가로 배터리사용량 최적화 안함 및 접근성 허용을 요구한다. 배터리 최적화 기능이 허용되었을 경우 시스템에서 자동으로 해당 앱의 동작을 중단할 수 있으며, 동작이 중단되면 더 이상 백그라운드에서 악성행위를 할 수 없게 되기 때문이다.

메인화면은 실제 금융앱처럼 제작되어 있다. 또한 "서류나 방문없이 모바일로", "신용대출을 간편하게", "신용등급 영향없이 입금확인" 등 사용자들을 현혹할만한 문구들을 작성해 놓았다.

악성앱의 메뉴는 실제 금융앱처럼 보여지기 위해서 대출승인사례와 상담사 소개 등의 메뉴가 포함되어 있다.

사용자가 상담신청을 클릭하면 사용자의 이름 및 연락처, 생년월일을 포함한 다양한 개인정보들의 작성을 요구한다. 이렇게 작성한 정보들은 공격자의 서버로 전송된다.

자세히 보면 악성앱은 OO저축은행을 위장하고 있지만, 대출 승인사례에 보면 현O캐피탈, 롯O캐피탈, 기타금융 등으로 작성되어 있다. 이를 통해 동일한 악성 앱이 이름만 바꾸어 또 다른 금융사 악성앱으로 유포되고 있을 가능성도 배제할 수는 없다.

실제로 ESRC에서는 다른 금융사를 사칭한 악성앱에 관련된 포스팅을 작성한 적이 있으며, 해당 앱과 매우 유사한 것을 알 수 있다.

공격자들은 이러한 방식으로 수집한 개인정보들을 기반으로 보이스피싱을 통해 피해자에게 금전적 손해를 끼칠 수 있다.

악성 APK는 사용자를 속여 개인정보를 유출할 뿐만 아니라 사용자의 모바일에서 다음과 같은 악성행위를 한다.

△기기 정보 탈취 △공격자 명령 수행 △파일 삭제 △파일 업로드 △위치 정보 △연락처 탈취 △연락처 삽입 또는 삭제 △문자 탈취 △문자 삭제 △통화기록 탈취 △앱 삭제 △사진 촬영 △수신 전화 차단 △발신 전화 포워드

즉 악성 APK를 설치하는 행위 만으로도 사용자 모바일 내 정보들이 탈취되는 것이다.

금융사에서는 고객들에게 먼저 대출과 관련된 연락을 하지 않는다. 또 카카오톡과 같은 메신저를 통해 APK를 내려주는 일은 더더욱 없다는 것을 명심해야 한다.

★정보보안 대표 미디어 데일리시큐!★