안랩이 최근 자사 스마트폰용 뱅킹 보안 제품인 ‘V3 모바일 플러스 2.0’의 삭제를 유도하는 뱅쿤(Bankun)류의 악성 앱이 발견돼 사용자 주의를 당부했다.

뱅쿤 악성코드는 스마트폰에 설치된 정상 은행 앱을 삭제한 후 악성 은행 앱 설치를 유도하는 모바일 악성코드로 주로 메시지 내 URL을 실행해 악성앱 설치를 유도하는 스미싱에 많이 이용되고 있다.

이번에 발견된 악성 앱은 사용자가 은행 앱을 실행하면 자동으로 동작하는 V3 모바일 플러스 2.0의 진단창을 사칭해 가짜 감염 메시지를 띄운 후 사용자가 무심코 확인 버튼을 누르면 실제로는 보안프로그램을 삭제하는 악성행위를 한다. 해당 앱은 정상 은행 앱을 삭제하고 가짜 은행 앱으로 바꿔 치기 하는 기존 뱅킹 악성앱 기능에 보안제품 삭제를 유도하는 기능이 더해진 것이 특징이다.

또한 스마프폰 사용자 몰래 ▲전화 수신/발신 내역 유출 ▲SMS[문자메시지] 유출 ▲주소록 유출 등의 악성 기능도 함께 가지고 있다.

우선 이번에 발견된 악성코드는 “[민방위] 사이버교육 신청기간입니다. 신청하기 ww*.***.kr/U3ㅇ”, ”oo성형외과 10주년 기념행사, 10일간 이뻐지자 할인이벤트 현금 40%, 카드 30% ht**://***.nu”와 같이 사용자들을 현혹하는 스미싱 메시지로 유포되고 있다.

사용자가 메시지에 삽입된 URL을 클릭하면 스마트폰 화면에 유명 포털사이트의 검색 앱이나 뷰티관련 앱의 설치를 유도한다. 앱을 설치시 감염 스마트폰 내 개인정보 접근, 문자메시지 발송 및 수신, 네트워크 통신, 통화, 시스템 도구 등에 접근하는 등 과도한 권한을 요구한다.

해당 앱은 아이콘 모양을 일부 변경해 구글 공식 마켓에 등록되어 있는 실제 앱을 사칭했다. 또한 사용자가 해당 앱을 종료하면 바탕화면에 아이콘이 자동으로 제거되어 있어 사용자의 의심을 쉽게 피할 수 있다.

악성코드에 감염된 사용자가 금융거래를 하기 위해 뱅킹 앱을 실행하면 자동으로 실행되는 V3 모바일 플러스 2.0 진단창을 위장한 화면에 가짜 감염 메시지가 뜬다. 사용자가 무심코 확인 버튼을 누르면 V3모바일 플러스를 삭제한다. 악성코드 치료를 사칭해 해당 보안 프로그램을 삭제하는 것이다.

하지만 이는 실제 ‘V3 모바일 플러스 2.0’의 진단/치료 과정과 다르다. V3 모바일 플러스 2.0은 스마트폰 알림창에 경고 메시지가 먼저 뜨고 사용자가 이를 클릭하면 진단화면으로 넘어간다. 또한 위장한 진단창의 형태도 메시지 박스가 뜨는 것이 아니라 진단되는 악성코드의 진단명과 악성 앱의 아이콘이 하단에 표시된다.

이후 해당 악성 앱은 정상 은행 앱의 삭제 및 사용자의 금융정보를 탈취하기 위한 가짜 은행 앱 설치를 유도한다. 해당 악성코드는 안랩 스마트폰 전용 모바일 백신 V3 모바일 2.0 및 V3 모바일 플러스 2.0이 진단하고 있다.

안랩은 “아직 해당 악성코드나 많이 확산되지는 않고 있으나 이 악성코드가 스마트폰에 저장된 개인 정보 및 금융정보를 동시에 유출 시도하기 때문에 즉각적인 금전피해가 발생할 수 있다”며 사용자의 주의를 촉구했다.

해당 악성앱의 피해를 최소화하기 위해서는 ▲SNS(Social Networking Service)나 문자 메시지에 포함된 URL 실행 자제 ▲모바일 백신으로 스마트폰을 주기적으로 검사 ▲알 수 없는 출처[소스]의 허용 금지 설정 ▲스미싱 탐지 전용 앱 다운로드 등이 필요하다. 또한 뱅킹앱에서 보안 카드 번호 전체 입력을 요구한다면 의심하는 것이 좋다.