안드로이드 폰 사용자들을 타깃으로 금융 관련 정보를 탈취하려는 Bankun 악성 앱의 변종이 발견되었다. 기존에 발견되었던 방식보다 더욱더 진화한 형태로 점점 그 방식이 정교해지고 있어 사용자들의 주의가 필요하다.

 

앱 설치 시에 아래와 같이 아이콘 모양은 'Play 스토어' 아이콘과 같으나 정상 앱 이름의 경우 'Play 스토어' 인 반면 악성 앱은 'Google App Store' 인 것을 확인할 수 있다.

 

[그림 1] 악성 앱 아이콘 모양

 

악성 앱 실행 시에는 설치파일이 손상되었다는 오류와 함께 아래와 같은 팝업 메시지를 보게 된다.

 

[그림 2] 앱 실행 시, 팝업되는 메시지

 

위 그림에서 '확인'이나 '취소' 버튼을 터치 시에 앱의 아이콘은 보이지 않게 되며, 앱이 서비스로 실행되게 된다. 아래 그림은 앱 정보 화면이며, 앱이 삭제된 후에도 서비스로 등록되어 실행되고 있는 것을 확인할 수 있다.

[그림 3] 악성 앱 실행 정보

 

해당 앱은 서비스로 실행되면서, 사용자의 스마트폰에 어떤 뱅킹 앱이 설치가 되어있는지 확인 후, 그 앱에 맞는 악성 앱을 다운로드 한다. 이후 정상 앱을 삭제하고 다운로드된 악성 앱을 설치하도록 시도한다.

 

 [그림 4] 악성 뱅킹 앱을 다운로드 받는 코드 (일부)

 

악성 앱이 다운로드 되어 실행되면 기존에 유포되었던 금융사 피싱 앱과는 달리 V3 mobile PLUS 실행을 가장하고 금융감독원을 사칭한 팝업 메시지를 띄운다.

 


 
[그림 5] 다운로드 된 뱅킹 실행 시, 보이는 화면

 

확인을 터치 시, 아래와 같이 실제로 사용자의 공인증서를 확인할 수 있으며 이는 기존에 발견되었던 피싱 앱과는 달리 정상 앱과 매우 유사한 형태임을 확인할 수 있다.

 

 [그림 6] 공인인증서 암호 요구 화면

 

위 악성 앱 역시 스미싱 형태로 유포되고 있으며, 금융사 피싱 앱은 일반 사용자들이 정상 앱과 구분을 할 수 없을 정도로 정교화되어 가고 있다. 이에 사용자는 문자내용에 포함된 링크가 존재할 경우 접속에 주의해야만 하며, 사전에 V3 모바일 백신과 같은 믿을 수 있는 제품을 사용하여 감염되지 않도록 주의하는 것이 중요하다.

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Downloader/Bankun

  

신고
Posted by DH, L@@