알약 안드로이드 무료체험? 속지 마세요

2013년 4월 9일, 이스트소프트가 지난 4월 6일부터 '알약 안드로이드 30일 무료체험'을 가장한 문자 메시지를 통해 스미싱 공격 시도 사실을 확인했다고 밝혔다. 공격자는 'Smishing 완벽차단! 알약 안드로이드 출시! 30일 무료체험'이라는 문구와 단축 URL을 SMS 메시지로 전달했다.

기존 스미싱 공격 방식은 단축URL을 클릭 후 바로 악성 APK를 내려받았다. 하지만 이번에 발견된 스미싱 공격은 단축URL 클릭 시 특정 URL로 접속해 유명 연예인의 광고이미지를 도용한 쿠폰받기' 배너를 보여준다. 그리고 사용자가 해당 배너를 클릭하면 'baseDao'라는 악성앱을 내려받아 설치한다. 현재 발견한 사례는 SMS 내용과 단축URL 클릭 시 연결되는 배너이미지 내용이 서로 다르지만, 향후에는 SMS 내용과 일치하는 배너이미지를 통해 사용자들이 정상적인 이벤트로 착각할 가능성이 높다.

이와 같이 설치된 baseDao 앱을 사용자가 실행하면, 고유키를 생성해 공격자가 사전에 지정한 특정 서버 및 특정 휴대폰으로 수집한 정보를 전송한다. SMS 내용도 공격자에게 전달한다. 그리고 전송 정보는 추가적인 스미싱 공격 및 소액결제 사기에 악용될 가능성이 높다. 현재 이스트소프트는 알약 안드로이드가 해당 악성앱에 대해 Trojan.Android.SMS.Stech / Trojan.Android.SMS.Stech.Gen으로 탐지하고 있다고 전했다.

이스트소프트 알약개발부문 김준섭 부문장은 "기존 악성 APK를 직접 전송하던 방식과 달리 이번 사례는 특정 URL로 접속한 후, 클릭 시 악성 APK를 내려받아 설치하는 방식으로 변경됐다. 최근 단축 URL 점검기능 및 스미싱 공격 대응 보안 기능 등이 업그레이드된 것에 공격자들이 우회공격하는 방식 중의 하나로 추정된다"라며, "문자 메시지에 포함된 URL 링크를 통해 직접 앱을 설치하도록 유도하거나 이번 경우처럼 이벤트 페이지를 경유해서 앱을 설치하는 경우는 스미싱 가능성을 의심해야 한다"라며 사용자들의 주의를 당부했다.