최근 bankun 악성 앱의 변형이 발견되었다. 기존 bankun 앱은 ASEC '금융사 피싱앱 주의(1)'에서 그 분석 정보를 확인할 수 있다. 이번에 발견된 변형의 경우에는 기존 앱보다 지능화되었고 실제 감염된 사례도 보고되고 있어 사용자들의 각별한 주의를 요구한다.

 

과거에 발견된 금융사 피싱앱과 비교하여 변경된 점은 아래와 같다.

 

- 아이콘 및 패키지 변화

[그림 1] 아이콘 및 앱 이름

 

[그림 2] 패키지 및 클래스의 변화

 

기존에는 앱 이름에 패키지 이름이 있었던 반면, 최근 발견된 앱 에서는 앱 이름이 보이지 않는다. 또한, 비교적 간단하게 작성되었던 기존의 클래스들에 비해 최근 발견된 앱에서는 Receiver, services 등의 클래스가 추가됨이 확인된다.

 

- 권한 및 기기 관리자 등록

[그림 3] 앱 실행 시, 나타나는 기기 관리자 등록 화면

 

앱을 실행했을 시, 아이콘은 사라지고 사용자는 위의 화면과 같이 해당 앱을 기기 관리자 등록 여부를 묻는 화면을 볼 수 있다.

 

- 서비스 및 리시버 이용

[그림 4] 악성 앱이 서비스 동작하는 화면

 

[그림 3]에서 사용자가 Activate 버튼을 누르면 악성 앱은 서비스로 동작하기 시작한다. 또한 앱 디컴파일 시, 아래 [그림 5] 와 같이 Receive 코드를 확인할 수 있다. 해당 코드를 확인해 보면 사용자가 문자 수신을 하거나 전원을 On/Off 하는 등의 행위를 했을 시, 피싱앱 추가 설치를 유도한다는 사실도 확인할 수 있다.

 

[그림 5] Receiver 코드

 

- 알림(Notification) 사용

[그림 6] 문자 수신 시, 새로운 업데이트를 알리는 화면

 

리시버에 의해 사용자가 임의의 문자를 수신했을 때는 위 그림과 같이 "새로운 업데이트가 있습니다." 라는 알림이 뜬다. 이는 구글플레이나 다른 앱들이 업데이트되는 방식과 매우 유사하여 사용자가 의심하지 않고 또 다른 악성 피싱앱 설치를 하게 된다.

- 설치된 피싱앱

[그림 7] 파일 생성 정보

 

악성앱이 띄운 알림에 따라 업데이트를 누르면, 사용자는 기존의 앱 삭제 여부를 묻는 팝업창과 피싱앱 설치 화면을 보게 된다. 이 과정에서 사용자는 단순히 앱 업데이트 과정으로 착각할 수 있으며, 설치 과정에서 정상적인 ** 앱이 설치 되어 있는 사용자라면 ** 피싱 앱이 설치가 되고, ##은행 앱이 설치 되어 있을 때는 ##은행 피싱 앱이 설치된다. 다만, 과거에 발견되었던 앱에서는 8개의 금융기업 피싱앱이 존재하였으나 최근 발견된 앱에서는 **은행, **, **은행 피싱 앱만 존재하였다.

 

[그림 8] 악성앱 안에 존재하는 피싱앱

앞에서도 언급했듯이, 최근 감염된 사례들이 접수되고 있고 금융과 관련된 악성 앱인 만큼 그 피해가 커질 수 있어 사용자들의 각별한 주의를 요구한다. 피해를 예방하기 위해 V3 Mobile과 같은 백신으로 주기적으로 검사하는 습관이 필요하며 특히 의심스러운 앱은 다운로드 하지 않도록 하는 것이 무엇보다 중요하다.

<V3 제품군의 진단명>

 

Android-Trojan/Bankun

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@