최근 국내 스마트폰 사용자를 대상으로 수신되는 스미싱(Smishing) 문자는 "생활 불편, 민원24, 종량제 봉투 미사용" 등 더욱 일상 생활과 연관되어 문자에 포함된 URL 링크를 클릭하도록 유도하고 있습니다.
이에 최근 확인된 민원24 상담 전화번호(1588-2188)와 동일하게 조작하여 "[생활불편]생활민원 신고접수되어 통보드립니다. 내용확인 h**p://eic**.cox.kr" 내용으로 전파된 스미싱(Smishing) 문자에 대해 살펴보도록 하겠습니다.
수신된 스미싱(Smishing) 문자에 포함된 특정 단축 URL 주소를 클릭할 경우 행정자치부에서 배포하는 민원24 앱과 거의 유사한 화면을 제시하는 일본(Japan) IP(126.25.165.199)를 사용하는 특정 웹 사이트로 연결하여 "생활불편 스마트폰 신고" 페이지에 제시된 "신고내용 조회하기"를 클릭하도록 유도하여 아마존(amazon) 서버에 업로드된 악성 APK 파일을 다운로드합니다.
- 민원센터.apk (SHA-1 : 7a635bb992964719ba28fe328cc765812b7139ae) - AhnLab V3 모바일 : Android-Malicious/Bankun (VT : 21/56)
여기에서 중요한 점은 사용자가 스미싱(Smishing) 문자의 URL 주소를 클릭하여 최종적으로 APK 악성 파일이 다운로드된 경우에는 다운로드 폴더에서 APK 파일만을 삭제하면 감염으로 연결되지 않습니다. 단지 다운로드된 APK 악성 파일을 다음과 같이 직접 실행하여 설치가 이루어진 경우에는 감염되었다고 표현합니다.
- android.permission.INTERNET
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.MOUNT_FORMAT_FILESYSTEMS
- android.permission.READ_PHONE_STATE
- android.permission.READ_CONTACTS
- android.permission.RECEIVE_BOOT_COMPLETED
- android.permission.RECEIVE_SMS
- android.permission.ACCESS_WIFI_STATE
- android.permission.READ_SMS
- android.permission.SEND_SMS
- android.permission.CALL_PHONE
- android.permission.SYSTEM_ALERT_WINDOW
- android.permission.MOUNT_UNMOUNT_FILESYSTEMS
- android.permission.GET_TASKS
- android.permission.PROCESS_OUTGOING_CALLS
- android.permission.WRITE_CONTACTS
- android.permission.READ_CALL_LOG
- android.permission.WRITE_CALL_LOG
- android.permission.ACCESS_NETWORK_STATE
다운로드된 민원센터.apk 파일을 직접 실행하여 "민원24" 악성앱을 설치할 경우 요구되는 권한 중에서는 연락처 읽기/쓰기, 부팅시 자동 실행, SMS 문자 메시지 읽기/전송/받기, 프로세스 체크, 통화 기록 읽기/쓰기 등 과도한 권한을 요구하고 있습니다.
민원24 악성앱 설치 완료 직후에는 바탕 화면에 민원24 바로가기 아이콘이 생성되며, 사용자가 민원24 악성앱을 실행할 경우 바로가기 아이콘을 삭제하여 설치 여부를 인지하지 못하게 합니다.
설치가 완료된 후 민원24 악성앱을 실행할 경우 화면 잠금 작업 수행을 위해 기기 관리자 활성화를 요구합니다.
이후 실행된 민원24 악성앱은 "페이지 로딩 중.... 조회 수가많아 잠시뒤에 접속 해주십시오!. 감사합니다."라는 맞춤법부터 부실한 안내 메시지를 표시한 후 종료 처리됩니다.
■ 실행 중인 민원24 악성앱 서비스 / 프로세스 정보
- 서비스 : uploadInfoService, LastTimeService, LastTime1Service, autoRunService, uploadPhone, UninstallerService, SoftService, uploadPhone1, sendSMSService
- 프로세스 : 민원24 (com.example.fiveapp)
악성앱이 감염된 안드로이드(Android) 스마트폰에서는 백그라운드에서 설치된 앱 정보를 검사하여 금융앱 설치시 부가적으로 설치를 요구하는 "AhnLab V3 Mobile Plus 2.0" 모바일 백신이 설치되어 있는 경우 애플리케이션 제거를 요구하는 메시지 창을 주기적으로 생성합니다.
그러므로 사용자가 직접 "AhnLab V3 Mobile Plus 2.0" 모바일 백신을 삭제 시도한 것이 아니라면 100% 악성앱이 감염된 상태임을 의미하므로 확인 버튼을 클릭하여 모바일 백신을 삭제하는 일이 없도록 하시기 바랍니다.
민원24 악성앱의 주목적을 확인해보면 감염된 스마트폰에 설치된 "신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking), 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank), NH 스마트뱅킹(nh.smart), 우리은행 원터치개인뱅킹(com.webcash.wooribank)" 금융앱을 표적으로 한 모바일뱅킹 악성앱임을 알 수 있습니다.
또한 백그라운드 방식으로 "/mnt/sdcard/NPKI" 폴더 등을 검사하여 공인인증서 폴더가 존재할 경우 내부에 존재하는 파일을 ZIP 압축 파일로 만들어 외부 특정 서버로 전송할 수 있습니다.
실제 동작을 확인하기 위해 "하나N Bank - 하나은행 스마트폰뱅킹" 금융앱이 설치된 환경에서 일부 동작을 확인해보도록 하겠습니다.
사용자가 하나은행 금융앱을 실행할 경우 이미 삭제된 "AhnLab V3 Mobile Plus 2.0" 모바일 백신이 마치 정상적으로 동작하는 것처럼 허위 정보를 표시하면서 실행이 이루어집니다.
다음 단계에서는 "최신 업데이트가 있습니다. 설치 후 서비스 이용하십시오!"라는 메시지 창이 생성되어 확인 버튼 클릭할 경우 허위 업데이트 진행이 이루어지는 모습을 보여줍니다.
이후 공지사항 메시지 창을 생성하여 "금융감독당국 정책에 의거 전 금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스 전면시행(의무화)을 아래와 같이 안내하오니, 사전에 연락처 정비 및 서비스 가입을 부탁드립니다. 전면시행일:2014년 8월27일(예정)연락처 정비 및 서비스를 미가입한 경우 본인확인절차 강화대상금융거래가 중단될 수 있습니다."라는 내용을 제시합니다.
확인 버튼을 클릭할 경우 서비스 가입을 위한 개인정보, 계좌 정보, 보안 카드 등의 다양한 금융 정보를 수집하여 외부로 유출할 수 있습니다.
■ 민원24 악성앱 삭제 방법 및 후속 조치
민원24 악성앱 제거를 위해서는 "보안 → 기기 관리자(휴대폰 관리자)" 항목에 추가된 민원24 항목의 체크를 해제하여 비활성화한 후 애플리케이션 목록에서 민원24 악성앱을 찾아 "강제 종료 → 제거" 버튼을 클릭하여 삭제할 수 있습니다.
민원24 악성앱이 실제로 설치된 후 삭제한 사용자는 추가적으로 다음과 같은 후속 조치를 진행하시기 바랍니다.
- 스마트폰에 설치된 금융앱은 모두 삭제한 후 국내외 유명 모바일 백신을 이용하여 정밀 검사를 하시기 바랍니다.(※ 감염 후 추가적인 악성앱 다운로드를 통한 설치가 이루어질 수 있습니다.)
- 금융앱 사용을 위해서는 공식 배포처(Google Play)를 통해 재설치하시기 바랍니다.
- 스마트폰에 저장된 공인인증서는 폐기한 후 재발급 받으시기 바랍니다.
- 금융 정보를 입력하여 정보가 유출된 것으로 판단된다면 계좌 비밀번호, 공인인증서 비밀번호, 보안 카드를 교체하시기 바랍니다.
- 자신도 모르게 SMS 문자를 통해 스미싱(Smishing) 문자가 발송된 경우 절대로 클릭하지 않도록 연락을 해주시기 바랍니다.
안드로이드(Android) 스마트폰 사용자는 스미싱(Smishing) 문자를 통한 악성앱 감염이 쉽게 노출될 수 있다는 점을 항상 명심하시기 바라며, 문자를 통해 수신된 URL 주소를 통해 APK 파일이 다운로드된다면 절대로 실행하여 설치하는 일이 없도록 주의하시기 바랍니다.