국내 스마트폰 사용자들을 타깃으로 유포되고 있는 악성앱 들이 점차 증가하고 있는 가운데 금융사를 위장한 피싱앱도 종종 발견된다. 스미싱으로 유포되는 악성 앱들은 휴대폰의 소액결제를 통해 금전적인 이득을 취하려는 목적이 대부분인 반면 금융 피싱앱은 보안카드 및 사용자의 금융관련 정보를 모두 탈취하려는 의도로 그 피해가 커질 수 있어 주의를 요한다.

 

최근 발견된 금융사 피싱앱은 금융사 관련 피싱사이트를 통해 배포되는 것으로 추정되며, 설치 시에는 아래와 같이 Google Play Store 아이콘 모양으로 설치가 된다.

 

[그림 1] 앱 설치 시 아이콘

 

앱 설치 시, 어떠한 퍼미션도 요구하지 않았으며 아래 그림과 같이 AndroidManifest.xml 파일 확인 시, 사용자에게 퍼미션을 요구하지 않는 것으로 확인된다.

 

[그림 2] AndroidManifest.xml 파일 내용

Apk 파일 압축 해제 시에 아래와 같이 assets 폴더에 별도로 8개의 apk가 존재하는 것이 확인된다.

 

[그림 3] 압축 해제 시 /assets 폴더

 

또한 classes.dex 파일을 디컴파일 하여 패키지 구조를 보면 아래와 같다.

 

[그림 4] 패키지 정보

 

앱 제작자가 작성한 com.google.bankun 패키지 안의 MainActivity 클래스를 보면 총 6개의 함수가 확인되며, onCreate 를 제외한 나머지 함수들은 제작자가 작성한 함수로 함수들 각각의 기능은 아래 표와 같다.

 

함수명

기능

onCreate

처음 시작되는 EntryPoint 함수

installZxingApk

Apk 인스톨 기능을 하는 함수

isAvilible

뱅킹앱 설치 여부를 체크하는 함수

chmodApk

권한 변경 기능을 하는 함수

getRootAhth

Root 권한을 확인하기 위한 함수

uninstallApk

Apk 언인스톨 기능을 하는 함수

[표 1] 제작자가 작성한 함수들에 대한 각각의 기능

위 함수들의 흐름은 아래 그림과 같이 뱅킹앱 설치 여부 및 루팅 여부 확인 후, 각 조건에 맞게 assets 폴더 안에 있는 1~8.apk 파일을 설치하는 것으로 확인된다. 설치되는 앱들 중, 8.apk 파일을 살펴보면 금융사 앱을 위장한 앱으로 사용자들에게 이름 및 계좌정보 등을 입력 받는 피싱앱으로 확인된다.

 8.apk 파일 외에 추가로 다른 앱들이 발견 되어도 금융사들의 이름만 다를 뿐 그 기능은 유사한 것으로 확인되며, 각 앱들이 위장하고 있는 금융사들은 아래 표와 같다.

    

APK

은행명

1.apk

**은행

2.apk

**은행

3.apk

**은행

4.apk

**

5.apk

**은행

6.apk

** **은행

7.apk

**은행

8.apk

*****

[표 2] 금융사를 위장한 앱 목록

아래 그림은 1.apk (**은행) 앱의 캡처화면으로 8.apk (*** **) 과 이미지만 다를 뿐 그 방식이 유사하다는 것을 알 수 있다.

 [그림 5] 1.apk 앱

 

위와 같은 피싱앱 외에도 국내에서는 주로 스미싱 메시지를 통해 많은 악성 앱들이 유포되므로 사용자들은 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/Bankun

 

신고
Posted by DH, L@@