AhnLab 모바일 분석 파트는 해외 친구 및 연인을 가장하여 친분을 쌓은 뒤 암호화폐(코인) 투자 명목으로 금전을 갈취하는 로맨스 스캠 사례를 확인하였다.
로맨스 스캠이란 ‘Romance’와 신용사기를 뜻하는 ‘Scam’의 합성어로 감정적인 교류를 맺으며 다양한 방법으로 금전을 요구하는 신용 사기 범죄이다. 이전 로맨스 스캠은 호감을 얻은 뒤 직접적으로 금전을 요구하는 것이 대다수였지만 현재 가짜 암호화폐 거래소, 은행 및 쇼핑몰 등으로 범위를 넓혔다.
로맨스 스캠은 국내에 한정되어 있는 것이 아니라 번역 메신저를 이용하여 전세계적으로 이루어지고 있다. 해당 사례의 가해자 또한 중국계 일본인라 소개하며, 해외 친구를 원한다고 접근하였다. 로맨스 스캠의 접근 과정은 아래와 같다.
피해자 유인
가해자는 피해자들을 직접 찾아 접근하는 것이 아닌 자발적으로 찾아오도록 만든다. 주로 SNS을 이용하여 피해자가 관심 가질 만한 게시글을 작성한다. 게시글은 암호화폐와 관련한 내용이 전혀 포함되지 않는 평범한 게시글이다. 피해자는 해당 게시글에 좋아요 또는 팔로우를 하면 [그림 1]과 같이 DM(Direct Message)을 통해 고마움을 표시하며 대화를 지속하면서 번역 기능이 포함된 메신저로 이동하자는 권유를 한다.
[그림 1] 팔로우 시 DM으로 접근 및 번역 메신저로 이동 권유
투자 현혹
가해자는 피해자와 수 일간 대화를 주고받으며 스캠을 진행해도 될 지 판단한다. 로맨스 스캠 대상자로 판단될 경우 [그림 2]와 같이 지인을 통하여 암호화폐에 대한 비밀 수익 정보를 받고 있으며, 이를 통해 수익을 창출하고 있음을 간접적으로 표현한다.
[그림 2] 암호화폐 수익을 간접적으로 표현
가짜 암호화폐 거래소 사용 유도
피해자가 암호화폐 투자를 배우고 싶다거나, 비밀 수익 정보에 관심있다고 하면 자신이 이용하고 있는 가짜 암호화폐 거래소를 언급한다. 다른 정상 암호화폐 거래소를 사용하려 할 경우 [그림 3]과 같이 국가적 제한 등으로 동일한 패턴을 볼 수 없다며 자신이 사용하는 사용하는 거래소를 이용해야만 수익을 얻을 수 있다고 설득한다.
[그림 3] 가짜 암호화폐 거래소에 대한 장점을 언급하여 유도
암호화폐 거래소 사칭 및 검색 정보 조작
가해자가 소개하는 ‘코인비‘(CoinB)라는 가짜 암호화폐 거래소는 검색 결과 [그림 4]와 같이 나무위키와 위키백과에 기재되어 있는 것을 확인하였다. 위키는 불특정 다수의 인터넷 사용자가 편집이 가능한 데이터베이스 웹사이트로 거짓 정보로 조작이 가능하며, 위키 내 거래소에 대한 설립자, 정보 및 관련 기사는 ‘코인비’가 아닌 ‘코인베이스’에 대한 내용이다.
[그림 4] 나무위키와 위키백과에 기재되어 있는 ‘코인비’
추가 확인 결과 해당 거래소는 [그림 5]와 같이 유튜브 및 페이스북에도 소개되어 있는 것을 확인할 수 있었다. 소개된 암호화폐 거래소 홈페이지(coinb.top)는 현재 서비스하지 않으며, 가해자가 소개하는 ‘코인비’의 주소는 다른 도메인이다.
[그림 5] 유튜브와 페이스북에 소개된 ‘코인비’
가해자는 [그림 6]과 같이 가짜 암호화폐 거래소를 이용할 수 있는 앱의 다운로드 주소를 안내한다. 해당 주소로 들어가면 공식 마켓의 다운로드 페이지와 유사하게 제작된 것을 확인할 수 있었다.
[그림 6] 가짜 거래소를 이용할 수 있는 앱 다운로드 주소 유포 및 실제 화면
앱 다운로드 페이지는 [그림 7]과 같이 피해자 기기의 OS를 구분하여 설치 파일을 다운로드한다. 앱 설치 및 실행 시 가해자가 언급한 가짜 암호화폐 거래소를 이용할 수 있다.
[그림 7] 앱 설치 및 실행 화면
가상 계정을 통한 앱 이용 학습
앱을 설치하면 가해자는 가짜 암호화폐 거래소가 제공하는 가상계정으로 앱 사용 방법을 배우자고 한다. 의견을 제시하는 이유는 2 가지이다.
첫 번째로 가짜 암호화폐 거래소는 겉모습만 잘 구성되어 있을 뿐, 스캠에 필요한 기능만 구현되어 있다. 피해자가 앱을 이것저것 확인했을 시 일부 기능이 동작하지 않는 것을 보고 스캠인 것을 인지할 수 있기 때문에 필요한 기능만 사용하도록 교육시킨다.
두 번째로는 가상계정을 이용하는 과정에서 수익이 발생하는 것을 보여준다. 피해자는 수익을 간접 체험하고 실제 투자 욕심이 생기도록 만들며, 가해자가 가진 비밀 수익 정보가 실제인 것처럼 믿게 만든다.
가해자의 안내에 따라 앱 내 고객센터(Contact Us)에서 가상계좌를 신청하면 [그림 8]과 같이 ProtonMail로 가입되어진 가상계정을 안내해준다. 안내된 계정으로 로그인할 경우 계정 내 50,000 USD(원화 6,885만 원)가 존재하며, 해당 금액으로 가상 투자가 가능하다.
[그림 8] 앱 내 가상 계정 요청 및 로그인 화면
로그인 시 가해자의 안내에 따라 [그림 9]와 같이 비트코인(BTC)을 구매를 하게 된다. 이 구매 행위는 실제 암호화폐 그래프 영향을 받는 것이 아닌 일정 시간이 지나면 계정 내 보유 금액만 늘어난다. 실제 구매 시간 내 비트코인 그래프 확인 시 소폭만 변동되고 유지 중이였다.
거래 이후 가해자는 가상계정의 수익을 언급하고, 해당 비밀 수익 정보는 피해자한테만 알려주는 것이라며 다른 사람에게 투자 사실을 알리지 말라고 설득한다.
[그림 9] 가해자의 안내에 따른 비트코인 구매
개인정보 및 코인 유출
가상 계정의 학습이 끝나고 나면 회원가입을 진행하고 [그림 10]과 같이 앱 내에 금융 및 개인 정보를 입력하게 한다. 입력된 정보는 별도 검증을 수행하지 않으며, 정보 입력 이후 코인 구매를 위한 입금 방법 등을 안내한다. 이 과정에서 피해자는 입금한 돈을 되찾을 수 없을 뿐만 아니라, 입력된 개인 정보로 2 차적인 피해가 발생할 수 있다.
[그림 10] 앱 내 금융 및 개인 정보 입력과 암호화폐 지갑 주소
유사한 가짜 암호화폐 거래소
모바일 분석 파트는 해당 로맨스 스캠 앱과 웹 주소를 근거로 유사한 케이스들을 조사하였다. 확인 결과, [그림 11]과 같이 다수의 가짜 암호화폐 거래소 앱과 사이트들을 확인할 수 있었다. 이미 일부 가짜 거래소 사이트들은 스캠으로 발각되어 경고 알람이 띄워지고 있었으며, 가해자들은 발각되면 해당 거래소 서버를 닫고 다른 암호화폐 거래소 명으로 재출시하고 있었다.
[그림 11] 유사한 가짜 암호화폐 거래소 사이트
또한 가짜 암호화폐 거래소 앱들의 다운로드 주소는 모두 다르지만 [그림 12]와 같이 동일한 스크립트를 사용하고 있으며, 제작된 앱 모두 동일한 코드로 이루어져 있는 것으로 보아 하나의 그룹에서 이를 관리하는 것으로 추측되고 있다.
[그림 12] 앱 다운로드 스크립트와 앱 내부 코드 비교
결론
자사에서는 해당 앱들을 PUP/Android.CoinScam으로 진단하고 있다. 로맨스 스캠은 사회 공학적 기법으로 피해자에게 접근하기 때문에 앱과 스캠 사이트만으로는 악성 유무를 사전에 인지하기 어렵다. 따라서 사용자는 불분명한 암호화폐 거래소 사용을 지양하고, 백신 앱을 최신 버전으로 유지해 피해가 발생하지 않도록 주의가 필요하다.
[파일 진단]
PUP/Android.CoinScam.1222978
PUP/Android.CoinScam.1222977
PUP/Android.CoinScam.1222976
PUP/Android.CoinScam.1222975
PUP/Android.CoinScam.1222973
[IoC]
7353b685c49432783906cd74ce4cefdc
f1e88bc7c240507b2bbbea646205c8de
8977ff762385e1c5dd1515d098147ad2
41d5e86dbfd90c994c3b2de8e014c89c
6443f4586afdd3ca6f8372ab569c2911
f42db78ae4fa84e85905c831087ca210
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보