중국의 유명 그룹 알리바바의 미국 리젼 클라우드에서 국내 금융기관 사칭 피싱사이트가 운영되고 있는 것이 확인되었다. 국내 인터넷 은행인 카카오뱅크 사칭 피싱사이트로, 감염시 보이스피싱에 악용될 우려가 있어 피해 당하지 않도록 유의해야 한다. 이번에 알아볼 악성코드는 지난 번 다루었던 악성코드와 기능이 유사하며 국내 사용자를 대상으로 정부지원자금신청 명목으로 악성코드 설치를 유도하는 것이 확인되었다.

국내 금융기관 사칭 웹 페이지를 방문하면 아래와 같은 화면을 볼 수 있다. 현 시점에 해당 조직은 1개 IP에서 다수의 도메인으로 피싱사이트를 운영하고 있다.

<그림> 국내 금융기관 사칭 피싱 사이트

실제 금융기관 모바일 웹 같이 그럴싸하게 꾸며놓았다. 메뉴를 클릭하면, 앱 다운로드를 시작한다.

<그림> app 설치시 아이콘

앱을 다운로드 받아 설치하면 실제 카카오뱅크와 동일한 아이콘이 생성된다.

<그림> 화면 구성

최종 실행하게 되면 크게 위와 같은 메뉴로 구성된 것을 확인할 수 있다.

해당 앱은 백그라운드로 실행되면서 다양한 악성행위를 수행하게 되는데 해당 기능은 지난 번 다룬 분석 글을 참고하자.

안드로이드 뱅킹 악성코드(kb.apk) 분석보고서 (클릭)

<그림> 관리 웹 로그인 화면

또한, hxxp[s]://47[.]252[.]41[.]23 로 접속하면 보이스피싱 조직이 관리하는 관리 웹을 확인할 수 있다. 실시간으로 악성 앱에 감염된 모바일 기기를 관리하는 시스템으로 판단된다. 흥미로운 점이 한 가지 있는데 하단에 스미싱 체크 프로그램 버튼이 있다는 것이다. 악성 앱 감염을 위해 사용자에게 SMS를 보낼 때 통신사에서 스미싱으로 차단하는지 아닌지 체크하는 프로그램으로 추정되나 현재 해당 프로그램은 정상적으로 다운로드되지 않는다.

 <그림> BOSS 전용 관리웹

또한, 분석하는 과정에서 흥미로운 사이트 하나가 발견되었다. 보통 보이스피싱 조직의 가장 상단에 위치한 사람을 보통 BOSS라고 불리우는데 해당 조직은 BOSS 전용 관리 웹을 운영하고 있는 것으로 판단된다. 매번 접할 때마다 체계화, 정교화 되어가는 느낌이다.

해당 앱은 지난 번에도 다루었듯이 피해자의 동의없이 모바일기기의 마이크를 강제로 켜서 음성을 녹음하여 C2서버로 보내거나 카메라를 켜서 영상을 실시간으로 확인할 수 있다. 또한, 피해자의 위치 정보를 실시간으로 확인하며, 연락처, 통화내역, 문자 메시지 및 저장된 파일을 보이스피싱 조직의 서버로 업로드한다. 무엇보다 피해자가 금융기관이나 수사기관에 전화할 경우 전화를 가로채 보이스피싱 조직으로 연결되기 때문에 돈을 송금하는 등 금전적인 피해가 발생할 수 밖에 없다.

문자, 메신저 등 모르는 전화번호로 정부지원자금, 대출 권유를 미끼로 접근하여 앱 다운로드를 유도하는 등 비공식적인 앱 다운로드 및 설치를 자제하고, 금융기관에서 먼저 연락이 올 경우 보이스 피싱을 의심하자.