㈜소프트이천

최근 유명 쇼핑 앱을 사칭해 '주소지 불일치' 등을 명목으로 스미싱 메시지를 전송하고, 사용자로 하여금 악성 앱을 설치하도록 유도하는 사례가 확인됐다. 문제의 앱은 해당 쇼핑 앱이 아닌 동일 브랜드의 배달 서비스 앱 아이콘을 도용해 사용자의 사용자의 혼란을 유발하며, 설치 시 개인정보 탈취 및 단말기 감시에 필요한 권한을 요구한다. 이번 글에서는 유명 쇼핑 앱 사칭 스미싱 사례를 간단히 살펴본다.

유명 쇼핑 앱 사칭 매시지는 사용자의 주소지 불일치로 물품 배송이 취소됐다는 공지와 함께, URL이 첨부된 것으로 확인된다. 특히, 공격자는 사용자가 의심하지 못하도록 단축 URL 서비스를 활용해 실제 악성 앱 유포 사이트 주소를 교묘히 숨겼다. 언뜻 보면 평범해 보이는 이 링크는 사용자가 정식 배송 조회 페이지로 착각하게 하며, 클릭을 유도한다.

[그림 1] 유명 쇼핑 앱 사칭 스미싱 메시지

사용자가 해당 링크를 클릭하면 악성 앱을 다운로드할 수 있는 피싱 사이트가 표시되고, 사용자의 앱 설치를 유도한다.

[그림 2] 악성 앱 유포 사이트

앱은 ‘유명 쇼핑 앱 로켓배송’이라는 이름으로 설치되며, 아이콘 해당 쇼핑 앱의 음식 배달 서비스의 아이콘으로 제작돼 있다.

[그림 3] 악성 앱 정보

앱 실행 시 개인정보 탈취 및 단말기 감시에 필요한 권한을 요구한다.

[그림 4] 앱 실행 화면

모든 권한을 허용하면 해당 쇼핑 앱 배송 자회사(CLS) 사이트 접속 화면을 표시한다.

[그림 5] 정상 사이트(CLS, 쿠팡 배송 자회사) 표시

안랩은 자사 V3 솔루션을 통해 해당 악성 앱을 Trojan/SMSstealer로 탐지하고 있다. 사용자는 공식 앱 스토어가 아닌 불분명한 링크를 통한 앱 설치를 지양하고 백신 앱을 최신 버전으로 유지해 피해가 발생하지 않도록 주의해야 한다.

출처 : AhnLab