알약 안드로이드를 서비스하는 이스트소프트는 지난 4월 6일부터 알약 안드로이드 30일 무료체험을 가장한 문자를 이용한 스미싱 공격 시도가 확인되었다고 밝혔다. 공격자는 ‘Smishing 완벽차단! 알약 안드로이드 출시! 30일 무료체험’이라는 문구와 단축URL을 SMS메시지로 전달한다.

 

기존의 스미싱 공격과 달라진 점은 이전에는 단축URL을 클릭 후 바로 악성 APK를 다운로드했다면 이번에 발견된 스미싱 공격은 단축URL을 클릭시 특정 URL로 접속하여 유명 연예인의 광고이미지를 도용한 ‘쿠폰받기’ 배너를 일단 보여주며, 사용자가 해당 배너를 클릭할 경우, baseDao라는 악성앱을 다운로드 및 설치한다.

 

현재 발견된 케이스의 경우 SMS메시지 내용과 단축URL클릭시 연결되는 배너이미지 내용이 서로 다르지만, 향후에는 발송한 SMS의 내용과 일치하는 배너이미지를 통해 사용자들이 정상적인 이벤트로 착각하게 만들 가능성이 높다.

 

이와 같이 설치된 baseDao앱이 사용자 스마트폰에서 실행되면 고유키를 생성하여 공격자가 사전에 지정한 특정 서버 및 특정 휴대폰으로 수집한 정보를 전송하며, 감염된 스마트폰으로 전달되는 SMS메시지를 가로채서 공격자에게 전달하게 된다. 전송된 정보는 추가적인 스미싱 공격 및 소액결제 사기에 악용되게 된다. 알약 안드로이드에서는 해당 악성앱에 대해 Trojan.Android.SMS.Stech / Trojan.Android.SMS.Stech.Gen으로 탐지하고 있다.

 

 

PC사랑 정환용 기자 [email protected]