이스트소프트에 따르면 공격자는 'Smishing 완벽차단! 알약 안드로이드 출시! 30일 무료체험'이라는 문구와 단축URL을 SMS메시지로 전달한다.
■ 알약 안드로이드 무료체험으로 가장한 SMS메시지
기존의 스미싱 공격과 달라진 점은 이전에는 단축URL을 클릭 후 바로 악성 APK를 다운로드했다면 이번에 발견된 스미싱 공격은 단축URL을 클릭시 특정 URL로 접속하여 유명 연예인의 광고이미지를 도용한 '쿠폰받기' 배너를 일단 보여주며 사용자가 해당 배너를 클릭할 경우 'baseDao'라는 악성앱을 다운로드 및 설치한다.
현재 발견된 케이스의 경우 SMS 메시지 내용과 단축 URL 클릭시 연결되는 배너 이미지 내용이 서로 다르지만 향후에는 발송한 SMS의 내용과 일치하는 배너 이미지를 통해 사용자들이 정상적인 이벤트로 착각하게 만들 가능성이 높다.
■ 유명연예인의 광고이미지를 도용한 악성앱 다운로드 배너
이와 같이 설치된 baseDao 앱이 사용자 스마트폰에서 실행되면 고유키를 생성해 공격자가 사전에 지정한 특정 서버 및 특정 휴대폰으로 수집한 정보를 전송하며 감염된 스마트폰으로 전달되는 SMS 메시지를 가로채서 공격자에게 전달하게 된다.
전송된 정보는 추가적인 스미싱 공격 및 소액결제 사기에 악용되게 된다. 알약 안드로이드에서는 해당 악성앱에 대해 Trojan.Android.SMS.Stech / Trojan.Android.SMS.Stech.Gen으로 탐지하고 있다.
김준섭 이스트소프트 알약개발부문 부문장은 "기존에 직접 악성 APK를 내려주던 방식에서 이번에 발견된 것과 같이 사용자 특정 URL로 접속하게 한 후 클릭시 악성 APK를 내려주고 설치하는 방식으로 형태로 변경된 것은 최근 단축 URL 점검기능 및 스미싱 공격에 대응하는 보안기능이 업그레이드되는 것에 대한 공격자들의 우회공격 방식 중의 하나로 추정된다"며 "문자 메시지에 포함된 URL 링크를 통해 직접 앱을 설치하도록 유도하거나 이번 경우처럼 이벤트 페이지를 경유해서 앱을 설치하는 경우는 스미싱 가능성을 의심해야 한다"고 사용자들의 주의를 당부했다.
■ 위 그림의 배너를 클릭시 baseDao앱이 다운로드·설치됨
저작권자 © CCTV뉴스 무단전재 및 재배포 금지
