모바일 악성앱 진화…공인인증서 탈취까지

초기에 가짜 은행 사이트로 유도하는 피싱 수법을 활용하는데 그쳤던 모바일 뱅킹용 악성 애플리케이션(앱)이 공인인증서 탈취, 정상 은행 앱을 악성앱으로 교체하는 등의 형태로 진화하고 있는 것으로 나타났다.

26일 안랩(대표 권치중)은 지난해 모바일 뱅킹 악성앱을 분석한 결과를 이 같이 발표했다.

안랩 자체 집계 결과, 사용자의 금융정보를 노려 금전 피해를 발생시키는 인터넷 뱅킹 관련 악성 앱은 지난해부터 본격적으로 발견되기 시작해 현재까지 총 1천440건이 수집됐다.

올해 하반기에 등장한 모바일 뱅킹 악성 앱은 1천384건으로 상반기 56건에 비해 약 25배(24.7배) 증가했다. 형태별로는 단순 피싱 사이트로 연결하는 초기형태에서 공인인증서 탈취, 정상은행앱을 악성앱으로 교체하는 형태로 진화했다.

지난해 1월~2월 사이에는 기존 PC에서와 유사하게 악성앱 실행시 피싱 사이트로 연결되는 수법이 대부분이었다. 스미싱을 통해 사용자들에게 전송된 문자메시지 내에 URL을 누르면 구글 플레이 스토어에 저장된 악성앱이 설치돼 피싱 사이트로 접속을 유도한다.

같은 해 3월부터는 모바일 공인인증서를 탈취하는 악성코드가 대량으로 유포되기 시작했다. 이 경우 공인인증서와 함께 메모, 사진 파일도 함께 빼내는 기능을 가졌다. 이와 함께 해당 스마트폰 정보, 이동통신사 정보, SMS 송수신 내역을 훔쳐 본 뒤 소액결제사기를 노리는 악성앱들이 많이 유포됐다.

5월은 안드로이드 스마트폰에 특화된 뱅킹용 앱이 등장하기 시작했다. 과거 PC와 유사한 수법을 악용했던 것과는 달리 모바일 환경 자체 특성을 악용하는 사례들이 나오기 시작한 것이다. 안랩은 진단명 '뱅쿤(Bankun)'류의 악성앱들이 본격적으로 발견되기 시작했다고 밝혔다. 이 악성앱은 설치 후에 추가로 다른 악성코드를 추가로 다운로드하는 '드롭퍼' 기능을 가졌다.

6월에는 뱅쿤류 악성앱이 진화해 '알림' 기능이 추가되기도 했다. 드롭퍼와 유사하지만 평소에는 별다른 동작을 하지 않다가 감염된 스마트폰에 특정 문자가 수신됐을 때 '새로운 업데이트가 있습니다'라는 문구를 알림 형태로 띄워 새로운 악성앱 설치를 유도한다. 이 경우 사용자 스마트폰에 설치된 뱅킹용 앱들을 확인한 뒤 그에 맞는 알림창을 띄우는 것이 특징이다.

8월부터는 악성앱이 드롭퍼 기능만 갖고 있었다가 사용자 스마트폰 내에 설치된 금융사별 뱅킹앱을 확인에 이에 맞는 피싱용 악성앱만 다운로드하는 방식을 취했다. 6월에 발견된 악성앱은 모든 금융사별 피싱 앱 설치파일을 포함하고 있는 탓에 용량이 컸다. 그러나 진화된 악성앱은 보다 쉽게 많은 사용자들에게 전파시킬 수 있도록 앱 용량을 낮췄다. 더구나 이 악성앱은 모바일 백신이 동작하는 것처럼 화면을 조작해 사용자가 악성 여부를 구별하기 어렵게 했다.

12월에는 '보안 알리미' 창을 악용한 지능형 악성앱이 등장하기도 했다. 이 악성앱은 모바일 백신 프로그램 업데이트를 사칭해 스미싱용 문자메시지를 보낸다. 사용자가 해당 URL을 클릭하면 유명 백신 프로그램과 유사한 아이콘을 가진 악성앱이 다운로드된다. 이 앱이 설치되면 보안 알리미라는 별도 창이 띄운 뒤 보안성을 높이기 위해 금융정보 입력을 유도한다.