[Infographic]안랩의 스마트폰 뱅킹 악성 앱 진화추세
안랩(CEO 권치중, www.ahnlab.com)은 2013년 한 해 동안 발견된 스마트폰 뱅킹 악성 앱의 진화 추세를 분석 발표했다.
안랩의 내부 집계 결과, 사용자의 금융정보를 노려 금전 피해를 발생시키는 인터넷 뱅킹 관련 악성 앱(이하 뱅킹 악성 앱)은 2013년부터 본격적으로 발견되기 시작해 총 1,440건이 수집되었다. 특히, 2013년 하반기에만 뱅킹 악성 앱이 1,384건으로 상반기 56건에 비해 약 25배(24.7배) 증가했다. 형태별로는 단순 피싱 사이트로 연결하는 초기형태에서 공인인증서 탈취, 정상 은행 앱을 악성 앱으로 교체하는 형태로 진화했다.
이호웅 안랩 시큐리티대응센터장은 “ 스마트폰 사용량이 증가함에 따라, 스미싱을 포함한 금전탈취를 목적으로 하는 모바일 뱅킹 악성 앱이 2014년도에도 지속적으로 증가할 것이다. 또한 사용자를 현혹 시키기 위한 기법도 교묘해지고 있어 사용자들의 각별한 주의가 필요하다”고 말했다.
[2013년 모바일 악성 앱 변천사]
1-2월: 악성 앱 실행 시 피싱사이트로 연결이 다수
연 초인 1~2월에 발견된 뱅킹 악성 앱은 스미싱 문자 내 URL을 접속하거나, 구글 플레이 공식 마켓에 등록된 악성 앱을 설치해 실행하면 피싱 사이트로 접속되는 형태가 주로 발견되었다. 이 피싱 사이트에서 사용자가 무심코 자신의 금융정보를 입력하게 되는 것이다. 이 피싱 사이트의 형태는 모바일에 최적화된 상태가 아닌 PC 웹 형태를 하고 있었으며, 뱅킹 관련 악성 앱의 발생 초기 였던 만큼 단순히 브라우저에 웹을 띄우는 기능이 전부였다.
3월: 모바일 공인인증서 탈취 악성코드 증가
3월부터는 피싱 사이트로 이동하는 형태는 감소하고 공인인증서 파일을 탈취하는 악성코드가 다량 발견되기 시작했다. 해당 형태의 악성코드는 공인인증서뿐만 아니라 메모, 사진 파일도 함께 탈취 했는데, 이는 사용자가 스마트폰 내에 메모나 사진으로 저장해둔 금융 정보를 탈취하기 위한 것으로 추정된다. 또한, ‘체스트’와 그 변종처럼 주로 스마트폰 정보, 통신사 정보, SMS등을 탈취해 소액결제를 노리는 악성 앱이 더 많이 유포되었다.
5월: ‘뱅쿤’류 악성 앱 증가
2013년 초반(1월-4월)까지 PC환경을 모방한 악성 앱이 주를 이루었으나, 중반부터는 앱을 통해 인터넷 뱅킹을 한다는 모바일만의 특성을 이용한 악성 앱이 발견되기 시작했다. 5월초부터 정상적인 은행 앱을 삭제하고 악성 앱을 설치하는 ‘뱅쿤(Bankun)’ 류의 악성 앱이 본격적으로 발견되기 시작했다. 이때 발견된 악성 앱은 주로 드롭퍼(설치 후 추가로 다른 악성코드를 추가 다운로드하는 PC용 악성코드) 형태로, 사용자의 금융 정보를 탈취하는 다른 악성 앱을 추가로 설치하는 기능을 가졌다. 이런 악성 앱들은 실행 즉시 정상 앱의 삭제를 요구하기 때문에 사용자가 의심할 수 있었다.
6월: ‘뱅쿤’류 악성 앱의 진화
6월경부터는 앞서 발견된 형태에서 조금 더 진화한 ‘알림(Notification)’ 형태의 악성 앱이 발견되기 시작했다. 드롭퍼 기능을 가진 기존 악성 앱과 유사한 형태이지만 평소에는 별다른 동작을 하지 않고 있다가, 스마트폰에 특정 문자가 수신되었을 때 ‘새로운 업데이트가 있습니다’라는 문구의 알림을 띄워 새로운 악성 앱 설치를 유도한다. 이 형태는 알림 기능을 이용해 사용자의 의심을 피할 뿐만 아니라, 사용자의 스마트폰에 설치된 뱅킹 앱을 체크해 그에 맞는 금융사 별 알림을 하는 것이 특징이다.
8월: 더 교묘해진 수법
8월부터 더욱 진화한 형태의 악성 앱이 발견되었다. 이 전에는 하나의 드롭퍼 형 악성 앱에 금융사 별로 피싱 앱 설치파일이 모두 들어있어 용량이 컸다. 하지만 이 시기에 발견된 앱은 기능은 드롭퍼로 유사하지만, 사용자 스마트폰에 설치된 금융사 별 뱅킹 앱을 확인한 후 해당 뱅킹 앱에 맞는 피싱 앱만 다운로드했다. 이런 방식으로 악성 앱의 용량을 줄여 쉽게 유포했을 뿐만 아니라, 모바일 백신에 감지될 확률도 줄였다. 또한, 이렇게 다운로드 된 피싱 앱은 가짜 모바일 백신이 동작하는 것처럼 꾸미는 등 사용자가 정상 정상 앱과 구별하기 어려웠다.
12월: 보안알리미 창 이용 지능형 악성 앱 등장
12월부터는 드롭퍼 형태에서 한단계 더 진화한 악성 앱의 형태가 발견되었다. 이 악성 앱은 모바일 백신 프로그램 업데이트를 사칭한 스미싱을 보내고, 사용자가 해당 URL을 클릭하면 유명 백신 프로그램과 유사한 아이콘의 악성 앱이 다운로드 된다. 사용자가 이를 무심코 설치하면 악성 앱은 사용자의 문자 수신함을 모니터링 하다가 문자가 수신되는 등 변화가 감지되면 ‘보안 알리미’라는 알림을 띄운다. 사용자가 확인을 누르면 피싱 기능(화면)을 즉시 실행시켜 금융정보 입력을 유도한다. 기존 드롭퍼의 경우, 뱅킹 앱 삭제 및 새로운 앱 다운로드를 요구해 사용자가 의심할 수 있지만, 이 경우는 해당 절차 없이 피싱 기능(화면)을 곧바로 실행해 사용자가 의심할 수 있는 여지가 거의 없다. 또한 알림 창 또한 정상 앱이 작동하는 것처럼 보이기 때문에 사용자들가 의심하기 어렵다.
이처럼 2013년 발견된 모바일 뱅킹 악성앱은 사용자를 쉽게 속이기 위해 더욱 교묘하고 정교한 형태로 변화했다.
스미싱을 포함한 모바일 뱅킹 악성코드로 인한 피해를 줄이기 위해 사용자는 1)문자 메시지나 SNS(Social Networking Service)에 포함된 URL 실행을 자제하고, 2)모바일 백신으로 스마트폰을 주기적으로 검사해야 한다. 또한 사용자들은 3)“알 수 없는 출처(소스)"의 허용 금지 설정을 해두어야 하며 반드시 정상 마켓을 이용해야 한다. 하지만, 앞서 살펴본 것과 같이 정상 마켓에도 악성 앱이 올라오는 경우가 있기 때문에 앱을 다운로드하기 전에 반드시 평판을 확인해 보고 사용자 권한을 요구하는 항목이 과도하게 많지 않은지 확인하는 것도 중요하다. 이와 함께, 4)소액결제 차단 혹은 결제금액 제한, 5)스미싱 탐지 전용 앱을 설치하는 것도 좋은 방법이다.