[아이뉴스24 최은정 기자] 안랩은 금융 애플리케이션을 사칭해 감염된 스마트폰 정보를 탈취하고 금융상담 전화까지 가로채 공격자에게 재연결하는 '카이시' 모바일 악성코드를 발견했다고 8일 발표했다.
안랩에 따르면 공격자는 실제 유명 금융사 웹사이트와 매우 유사한 피싱 사이트를 제작했다. 이후 보이스피싱·스미싱 등을 통해 사용자들이 해당 사이트에 접속하도록 유도했다.
만약 사용자가 이 사이트에 접속하면 '이용하려면 본인인증 프로그램을 설치 해야한다'는 문구와 함께 카이시 악성 설치파일(.apk) 다운로드 화면이 나온다. 설치 과정에서 해당 악성 앱은 발신전화 경로 전환, 통화기록 읽기·쓰기 등 통화 기능과 주소록, 문자메시지 접근권한 등 권한을 요구한다.
![카이시 악성앱 설치 시 권한요청 화면 [자료=안랩]](https://img-lb.inews24.com/image_gisa/202009/1599525625675_1_094053.jpg)
또한 최초 실행 시에는 '기본 전화 앱을 ○○○(해당 악성 앱이 위장한 유명 은행앱 이름)으로 바꾸겠다'는 팝업이 뜬다.
사용자가 모든 권한을 허용하게 될 경우, 이 앱은 먼저 스마트폰 정보와 문자메시지, 주소록 등을 유출한다. 더불어 사용자의 전화 상태를 모니터링하다가 공격자가 지정해 놓은 특정 금융사 전화번호로 발신이 감지되면 이를 가로채 공격자 번호로 재연결한다.
사용자가 금융상담을 위해 올바른 번호로 전화를 걸어도 해당 전화는 공격자에게 연결된다는 의미다. 특히 이 과정에서 공격자는 각 금융기관 별 안내음을 재생해 사용자 의심을 피했다는 게 안랩 측 분석이다. 현재 안랩 백신(V3) 모바일 제품군은 이번 악성코드를 탐지하고 있다.
강동현 안랩 엔진개발팀 수석연구원은 "최근 스마트폰을 이용한 비대면 금융거래가 일상으로 자리잡으며 이를 노린 공격도 점점 교묘해지고 있다"며 "문자메시지나 전화로 앱 설치를 유도할 시 응하지 말고, 스마트폰용 백신을 설치하는 등 보안 수칙을 생활화해야 한다"고 말했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기