보이스피싱 악성 앱 프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 2

Similar documents
SBR-100S User Manual

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Windows 8에서 BioStar 1 설치하기

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Android Master Key Vulnerability

Operation-name: 악성행위의종류를말하며, Sending SMS Calling Sending sensitive information Converting data 로분류합니다. Operation-target: 악성행위의목표물을말하며, Premium-rate SM

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

게시판 스팸 실시간 차단 시스템

#WI DNS DDoS 공격악성코드분석

Install stm32cubemx and st-link utility

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

[ 목차 ] 1. 개요 2 2. 악성앱배포방식 2 3. 채굴악성앱유형분석 정상앱을리패키징하여채굴기능포함후재배포 앱개발시의도적으로채굴기능포함 9 4. 스마트폰악성앱감염예방방법및대처 참고문헌 12 [ 붙임 ] 13

Office 365 사용자 가이드

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Microsoft PowerPoint - chap01-C언어개요.pptx

정보

Windows Server 2012

Microsoft Word - src.doc

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

암호내지

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

NX1000_Ver1.1

목차 1. 불완전판매 2. 개인정보보호 3. 금융사기피해사례및예방

View Licenses and Services (customer)

메뉴얼41페이지-2

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

슬라이드 1

LG LG-F540K 스마트폰 LG 볼트 (KT) 720X1280 LG LG-F540L 스마트폰 LG 볼트 (U+) 720X1280 LG LG-F540S 스마트폰 LG 볼트 720X1280 LG LG-F650K 스마트폰 X screen (KT) 720X1280 LG L

슬라이드 1

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft PowerPoint - additional01.ppt [호환 모드]

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

B2B 매뉴얼

EEAP - Proposal Template

서현수

SIGIL 완벽입문

Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

신종파밍악성코드분석 Bolaven

PowerPoint Presentation

목차 CONTENTS 1. 금융감독원을사칭하는팝업창에속지마세요 인터넷에나타난금감원사칭하는팝업창의형태 자주등장하는금융감독원사칭팝업창 ( 예시 ) 금융감독원사칭하는팝업창에의한파밍피해흐름 ( 예상 ) 금융감독원사칭팝업창을통한파밍피해사례 2. 대포통장매매하면처벌받지만, 신고하

Ⅰ. 추진배경 그간정부는관계기관 * 합동으로대포통장 ** 방지등전기통신 금융사기 ( 통칭 보이스피싱 ) 방지를위한대책을마련 대응 * 금융위, 법무부, 과기부, 외교부, 방통위, 경찰청, 방심위, 금감원등 ** 전기통신금융사기 ( 보이스피싱 ) 로피해가발생하여지급정지된사

Microsoft PowerPoint - e pptx

SBR-100S User Manual

? : 6, 7 8 9, 10, ,, Adobe Marketing Cloud

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

Studuino소프트웨어 설치

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

Secure Programming Lecture1 : Introduction

MVVM 패턴의 이해

iOS5_1±³

PowerPoint Presentation

[Blank Page] i

슬라이드 1

API 매뉴얼

Microsoft PowerPoint _사용자매뉴얼.ppt

안드로이드테스트앱을이용한난독화라이브러리파일동적분석 - 중요정보가라이브러리파일내부에 암호화되어있는악성앱동적분석 코드분석팀송지훤 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하

대량문자API연동 (with directsend)

*2008년1월호진짜

vRealize Automation용 VMware Remote Console - VMware

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

쉽게 풀어쓴 C 프로그래밍


< D28C3B7BACE29BDBAB8B6C6AEC6F9C0CCBFEB5FBDC7C5C25FBFE4BEE02E687770>

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

adfasdfasfdasfasfadf

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

The Pocket Guide to TCP/IP Sockets: C Version

Windows 10 General Announcement v1.0-KO

< C1B6B0A35FBDBAB8B6C6AEC6F920B1DDC0B6B0C5B7A B0E8B8ED20B8B6B7C328BAD9C0D332295FBEC8B3BBBCAD2E687770>

JDK이클립스

PowerPoint Template

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다.

PowerPoint 프레젠테이션

<4D F736F F F696E74202D20B8AEB4AABDBA20BFC0B7F920C3B3B8AEC7CFB1E22E BC8A3C8AF20B8F0B5E55D>


사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Microsoft PowerPoint - CSharp-10-예외처리

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Microsoft PowerPoint App Fundamentals[Part1](1.0h).pptx

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

17장 클래스와 메소드

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Secure Programming Lecture1 : Introduction

Transcription:

2018 사이버위협인텔리전스보고서 보이스피싱 악성앱프로파일링

보이스피싱 악성 앱 프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 2

개요 목차 02 개요 05 기존보이스피싱과새로운유형출현 08 보이스피싱악성앱프로파일링보이스피싱악성앱공격개요악성앱유포방식악성앱분석 - 개요악성앱분석 - 유사패키지명악성앱비교분석 44 수집통계로알아보는보이스피싱악성앱 47 관련서버분석 50 최근동향설문조사를가장한악성앱유포피싱사이트개인정보를요구하는악성앱유포피싱사이트신규안드로이드모바일기기대응 ( 갤럭시 S9) 54 결론

보이스피싱 악성 앱 프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 01 개요 02

개요 개요 보이스피싱 (Voice Phishing) 은전기통신금융사기로전기통신수단을사용해타인을속여재산을편취하는사기범죄를말한다. 보이스피싱조직은대부분해외에본부조직을꾸리고있고, 콜센터, 인출팀, 환전 & 송금팀, 계좌모집팀등으로역할을나누어활동하는것으로알려져있다. 보이스피싱은 2000 년대초반대만에서시작된것으로알려져있다. 이후중국, 일본, 한국, 싱가포르등주로아시아지역으로확산됐고, 최근에는유럽에서도피해사례 1) 가발견되고있다. 국내에서는 2006 년부터발생하기시작한이후지속적으로매년수천, 수만건의피해가발생하고있고, 피해금액은매년천억원이넘으며 2018 년상반기피해액만 1,796 억원에달한다. 국내에보이스피싱범죄발생이후피해규모가커지면서정부는피해예방을위해관계기관에서보이스피싱예방캠페인을벌이는등적극적인개입을했고, 한때공중파예능프로그램에서는보이스피싱을주제로한코너를만들어웃음과경각심을선사하며인기를끌기도했다. 이러한적극적인노력에도불구하고보이스피싱범죄는여전히근절되지않고현재에도지속적으로발생하고있다. 보이스피싱피해건수와피해액 2) 1) https://www.rijnmond.nl/nieuws/170885/arrestatiesvoorvoicephishinginregiorotterdam 2) ( 보도자료 ) 경찰청, 보이스피싱피해심각성경고, 2018.05.16. 03

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 국내보이스피싱수법은날이갈수록고도화되고있다. 보이스피싱은주로기관사칭형과대출사기형두가지로나뉘며, 세부적으로는 세금 보험금환급빙자, 납치등긴급한상황극연출후협박, ARS 를이용한카드론피싱, 공공기관또는금융회사사칭 등다양한내용으로피해자들을기만하고있다. 최근에는금융회사를사칭해사용자에게악성안드로이드앱을설치하도록유도하고, 이후악성앱에감염된사용자가금융회사대표번호로전화연결을시도할때해당전화를가로채는형태의신종수법 3) 이등장했다. 감염된기기에서금융회사대표번호로전화를걸게되면단말기화면상에는대표번호로전화를거는것처럼보이지만, 실제로는공격자가설정해놓은특정한번호로연결이되고공격자의사회공학적기법에속아피해를당하게된다. 이러한신종보이스피싱에사용되는악성앱은 2017년 9월경국내금융회사를사칭하는안드로이드앱을분석하는과정에서처음확인됐다. 이후금융보안원은악성앱유포지를추적할수있는정보를확보하여실시간으로신규악성앱을탐지해관련정보를유관기관에공유하며대응중에있다. 본보고서에서는신종보이스피싱수법에사용되는악성앱유포방식과유포되는악성앱의기능, 공격대상을공략하는방식등에대해상세히설명한다. 3) https://mn.kbs.co.kr/news/view.do?ncd=4067218 04

기존 보이스피싱과 새로운 유형 출현 02 기존 보이스피싱과 새로운 유형 출현 05

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 기존보이스피싱과새로운유형출현 최초의보이스피싱은대만에서중국본토를대상으로공격을시작한것으로알려져있다. 이후대만주변국가들에서도유사한범죄가발생하기시작하였고, 우리나라는 2006년부터보이스피싱범죄가발생한것으로확인된다. 2016년 12월경국내를대상으로활동했던보이스피싱조직중최대규모의조직이검찰에게검거됐다. 4) 이조직은 2012년경부터중국, 태국, 말레이시아등지에서대규모의기업형범죄단체를조직하고, 조직원수가약 200명에이르는대규모기업형범죄조직으로그동안적발된보이스피싱조직중최대규모였다. 이들은총책을중심으로상담콜센터팀, 계좌모집콜센터팀, 국내현금인출팀등을구성하여점조직형태로연계되어활동해피해자수백명으로부터약 34억원을편취한것으로확인됐다. 기존보이스피싱조직도 ( 검찰청보도자료 ) 4) 이러한보이스피싱은피해자들의금융자산을편취하는목적의사기로써금융분야의범죄이긴하지만전자적통신시설등에대한침해시도가아니기때문에해킹이나악성코드를대응하는기관에서는직접적인관련이없으며대응할명분이없는범죄유형이다. 하지만새롭게확인된안드로이드악성앱을분석하는과정에서보이스피싱범죄와직접적인관련이있는특징을발견하게됐다. 금융보안원은이악성앱을이용해보이스피싱을하는공격자 ( 또는조직 ) 를 ShadowVoice 라는이름으로명명하여, 계속해서추적및분석중에있다. 일반적인보이스피싱조직구성이위조직도와비슷하다고가정하고 ShadowVoice가사용한악성앱분석과정에서발견된여러가지특징을추가시키면다음과같은조직도를추정할수있다. 4) http://www.spo.go.kr/_custom/spo/_common/board/download.jsp?attach_no=176446 06

기존보이스피싱과새로운유형출현 새로운보이스피싱공격특징을추가한조직도 기존의보이스피싱조직도에악성앱과관련된역할인 악성안드로이드앱개발자 와 명령제어서버관리자 그리고 악성앱설치유도상담원 총 3 개의역할을추가할수있다. 추가된 3 가지역할 구분 역할 악성안드로이드앱개발자 - 전화가로채기기능을가진악성앱을전문적으로개발 명령제어서버관리자 - 유포지서버와 C&C 서버를관리하는역할 - 악성안드로이드앱개발자에게받은악성앱을유포하는역할 악성앱설치유도상담원 - 악성앱유포지정보를정상적인앱처럼속여금융소비자가다운로드받고설치하도록유도하는역할 07

보이스피싱 악성 앱 프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 03 보이스피싱 악성 앱 프로파일링 보이스피싱 악성 앱 공격 개요 악성 앱 유포 방식 악성 앱 분석 - 개요 악성 앱 분석 - 유사 패키지명 악성 앱 비교분석 08

보이스피싱악성앱프로파일링 보이스피싱악성앱프로파일링 보이스피싱악성앱공격개요 공격자는대출광고를가장한 (1) 스미싱공격을한후반응을보이는피해자들에게대출신청을명분으로접근하여모바일피싱사이트로접속을유도한다. 이후피해자가모바일피싱사이트에서 (2) 악성앱을다운로드하여설치하게되면, (3) 감염된기기의주요정보 (IMEI, SMS 수신내역등 ) 가 C&C 서버로유출된다. 감염된기기에서 (4) 금융회사대표번호로전화를걸게되면악성앱에의해발신전화가가로채기당해공격자에게연결되며, 이후사회공학기법을통해실질적인금융자산피해로이어지게된다. 악성안드로이드앱기반보이스피싱공격개요도 악성앱유포방식 보이스피싱공격자는 무자격자대출가능, 저금리대출 등을미끼문구로사용해불특정다수에게스미싱 공격을했다. 이후대출관련상담을필요로하는피해자들에게대출신청의과정중하나로써악성앱을설치하도록유도했다. 09

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 가. SMS 를이용한방법 SMS 를이용한악성앱설치유도 위그림은 OO은행고객이경험한실제사례로써악성앱유포지링크가담긴 SMS를수신한후고객이직접은행고객센터에신고한내용이다. 사용자가링크를클릭할경우 OO은행모바일피싱사이트로연결되고, 연결된페이지에서악성앱을다운로드받게된다. 다운로드된악성앱을정상앱으로오인하고설치하게되면단말기에서금융회사대표번호로전화를발신할때해당전화는가로채기되어미리설정된공격자의전화번호로연결된다. 이후공격자를금융회사직원으로착각하게된피해자는공격자의지시를따르다가금전적피해를입게된다. 10

보이스피싱악성앱프로파일링 나. 유명메신저 ( 카카오톡 ) 을이용한방법 유명메신저를이용한악성앱설치유도 (2017.12.11. 금융감독원보도자료중 ) 스미싱을통해카카오톡상담이가능하다는문구를포함하는경우가있으며, 그러한과정에서위와같이 카카오톡을통해악성앱링크를전달받는경우도있다. 이링크를클릭할경우 SMS를이용한방법과동일하게진행된다. 다. 악성앱유포사이트 ( 모바일피싱사이트 ) 악성앱유포를위해제작된모바일피싱사이트 11

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 공격자가피해자에게전달한악성앱유포지링크를클릭하면악성앱유포를위해만들어진금융회사모바일피싱사이트에접속된다. 사칭하는금융회사마다피싱사이트디자인에차이를보이며, 피싱사이트에사용되는대부분의이미지파일들은실제사칭된금융회사웹사이트에서사용중인이미지파일들을조합하여피해자로하여금이질감이들지않게제작됐다. 라. 악성앱실행화면 악성앱설치후실행화면 모바일피싱사이트에서악성앱을다운로드받아설치해실행해보면기본적인프레임은동일하고, 상단의타이틀과하단의고객센터번호만다른것을알수있다. 또한상단타이틀에서는 OO캐피탈을사칭하면서, 하단고객센터부분에서는 OO저축은행으로되어있는경우도볼수있는데이런사소한실수를통해서악성앱개발자가동일한이미지를이용해특정부분만덮어쓰기하는형태로앱을개발한다는것을추정할수있다. 현재까지확인된것은설치된악성앱 UI상에서는대출신청메뉴가존재하지만요구하는정보를입력하고대출신청을누르더라도외부로유출하는기능이구현되어있지않기때문에입력한정보가유출되지는않지만, 이후새롭게유포되는변종에서는해당기능이구현되어유포될수있으므로지속적인추적및확인이필요하다. 12

보이스피싱악성앱프로파일링 악성앱분석 - 개요 보이스피싱악성앱유포지는생명주기가상당히짧아살아있는유포지를확보하는것이매우어렵다. 금융보안원은수개월간집요한추적끝에다양한금융회사를사칭하는악성앱을실시간으로수집할수있게됐다. 그결과현재까지약 3,000 여개의악성앱을확보하였고, 평균적으로하루에수십개의악성앱을수집하고있다. 수천개의악성앱을확보한이후동일한악성앱또는유사성등을확인하기위해악성앱분류가반드시필요했다. 악성앱은공통적으로두가지대표적인특징을가지고있다. 첫째는 C&C 정보가앱내부에하드코딩되어있는것, 둘째는앱의가장주된기능인전화가로채기코드이다. 두가지특징을악성앱분류기준으로삼은이유는반드시필요한코어기능들이기때문에변종이발생하더라도코드상의변화가크지않을것이기때문이고또한코어기능이기때문에개발자가다를경우기능은유사하더라도구현방식은다를수있기때문에악성앱분류에가장적합한특징이라고판단했다. 본보고서에는 C&C 하드코딩유형은세부유형까지포함해총 9가지형태로나누었고, 전화가로채기코드유형은클래스명을기준으로아래와같이총 10가지형태로유형으로나누었다. 수집월기준유형구분표 수집월 C&C 하드코딩유형전화가로채기코드유형 2017.09. [C-1] Config [P-1] PhoneNewReceiver [P-2] NewPhoneCallReceiver [P-3] PG_CallRcver [P-4] ShowReceiver 2018.04. [C-2-1] libma1sker.so [C-3] XHttprequestUtils [C-4] ConfigUtils [C-5] MyGlobal [P-5] My_CallRcver [P-6] ScanCallReceiver 2018.05. [C-6] ClientmayServices [C-7] Constant [P-7] Main_CallRcver [P-8] CallReceiver [P-9] CallHandleReceiver 2018.06. [C-2-2] libma2sker.so - 2018.08. - [P-10] CalRcver 2018.10. [C-2-3] libma3sker.so - 13

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 2017 년 5월에수집된최초악성앱을시작으로 2018 년 11월현재까지수집된악성앱을대상으로분류에필요한두가지특징을적용해 C&C 하드코딩유형과전화가로채기코드유형이변하기시작한시점을찾아다음과같이타임라인으로표현했다. 유형별타임라인 2017 년 5월에수집된최초악성앱의경우난독화되어있어유형을분류하기어려워알수없음으로처리했다. 이후 2017 년 9월부터수집된악성앱부터점선내에붉은색으로표시된유형항목은처음발견된유형을뜻하며, 검은색으로표시된유형항목은이미발견된유형을뜻한다. 붉은색으로표시된유형을순차적으로나열하면다음과같다. 이를보면보이스피싱악성앱의기능이지속적으로발전하고있는것을알수있다. 가. 악성앱분류 C&C 하드코딩유형 C&C 하드코딩유형은세부유형까지포함해총 9가지형태로나눌수있다. 처음발견된유형은 [C-1] Config 클래스이며가장최근에발견된유형은 [C-7] Constant 클래스이다. 유형분류중발견된특이사항으로는 [C-2] 를세부유형으로추가분류할수있다는점이며, 새로운유형이매월지속적으로발견되고있는것으로보아공격자는계속해서새로운시도를하는것으로보인다. 14

보이스피싱악성앱프로파일링 C&C 하드코딩유형 C&C 하드코딩유형 [C-1] Config 클래스 [C-2-1] libma1sker.so 파일 [C-2-2] libma2sker.so 파일 [C-2-3] libma3sker.so 파일 [C-3] XHttprequestUtils 클래스 [C-4] ConfigUtils 클래스 [C-5] MyGlobal 클래스 [C-6] ClientmayServices 클래스 [C-7] Constant 클래스 [C-1] Config 클래스내부에하드코딩된형태 2017 년 9 월최초발견된이후 2018 년 4 월 [C-3] 유형이발견되기전까지지속적으로발견되었던유형이다. Config 클래스내부에 C&C 서버정보를담고있고, 발신전화가로채기를하기위한전화번호도하드코딩되어있는것을확인할수있다. Config 클래스내부에하드코딩된 C&C 15

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App [C-2] Library 파일 (.so) 내부에하드코딩된형태 라이브러리파일내부에 C&C 와통신에필요한함수들을구현하고함수내에 C&C 서버정보가하드 코딩되어있다. [C-2] 가사용하는라이브러리파일명은 libma 숫자sker.so 형태이다. 파일명가운데포함되어있는숫자는현재 1~3 까지확인됐다. [C-2] 유형의변화 구분 libma1sker.so libma2sker.so libma3sker.so 최초수집월 2018 년 4 월 2018 년 6 월 2018 년 10 월 이를세부적으로분류하면 [C-2-1], [C-2-2], [C-2-3] 과같이총 3 가지세부유형으로추가분류할수있고, 2018 년 4 월최초발견된이후현재까지지속적으로수집되는유형이기때문에 libma4sker.so 와같은세부유형이 추가발견될가능성이있다. ConfigUtils 클래스내부에하드코딩된 C&C 16

보이스피싱악성앱프로파일링 [C-3] XHttprequestUtils 클래스내부에하드코딩된형태 2018 년 4 월최초발견이후현재까지지속적으로수집되는유형이며, [C-1] 유형을업그레이드한버전으로 추정된다. [C-1] 유형과동일한구조의 Config 클래스를가지고있고, 해당클래스에는허수의 C&C IP 주소 ( 110.110.110.110 ) 가미리선언되어있다. Config 클래스내부에하드코딩된허수 C&C 악성앱이동작해 C&C 서버와통신을할때 Replace() 메서드를이용하여허수의 C&C IP 주소가들어있는 변수의값을실제 C&C 서버 IP 주소로변경하여통신하는특징을가지고있다. XHttprequestUtils 클래스내부에하드코딩된 C&C 17

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App [C-4] ConfigUtils 클래스내부에하드코딩된형태 ConfigUtils 클래스내부에 C&C 서버의 IP 주소가하드코딩되어있는형태로, 2018 년 4 월최초발견이후 현재까지지속적으로발견되고있는유형이다. ConfigUtils 클래스내부에하드코딩된 C&C [C-5] MyGlobal 클래스내부에 C&C 정보를 BASE64 로인코딩한형태 이유형은매우특이한형태로 C&C 서버정보가 BASE64 를사용해 5 번인코딩된형태로 MyGlobal 클래스 내부에하드코딩되어있다. 2018 년 4 월최초발견이후현재는발견되지않고있는유형이다. MyGlobal 클래스내부에 base64 로인코딩되어하드코딩된 C&C 18

보이스피싱악성앱프로파일링 [C-6] ClientmayServices 클래스내부에하드코딩된형태로외부의특정링크에서 C&C IP 를받아오는형태 국내특정홈페이지에업로드된 vip.txt 파일에접근하여 C&C 서버 IP 주소를얻어오는형태로 2018 년 5 월최초 발견이후약 1 개월간소량수집되었으나, 최근에수집되는악성앱에서는발견되지않는유형이다. ClientmayServices 클래스내부에하드코딩된 C&C [C-7] Constant 클래스내부에하드코딩된형태 Constant 클래스에 C&C 서버정보가하드코딩되어있고 2018 년 5 월최초발견이후현재까지지속적으로 수집되고있는유형이다. Constant 클래스내부에하드코딩된 C&C 19

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 나. 악성앱분류전화가로채기코드유형별 전화가로채기코드유형은클래스명을기준으로아래와같이총 10 가지형태로유형을나눌수있다. 전화가로채기코드유형 전화가로채기코드유형 [P-1] PhoneNewReceiver 클래스 [P-2] NewPhoneCallReceiver 클래스 [P-3] PG_CallRcver 클래스 [P-4] ShowReceiver 클래스 [P-5] My_CallRcver 클래스 [P-6] ScanCallReceiver 클래스 [P-7] Main_CallRcver 클래스 [P-8] CallReceiver 클래스 [P-9] CallHandleReceiver 클래스 [P-10] CalRcver 클래스 일반적으로안드로이드플랫폼에서발신전화를가로채기위한코드는다음과같이구성된다. (1) 브로드캐스트리시버를이용해발신전화를가로채기위한클래스를생성한다. (2) 전화상태가변경되는것을확인하기위해클래스내부에 onreceiver() 메서드를오버라이드한다. (3) 이후전화발신상태를확인해서 (4) 발신상태로확인이되면 setresultdata( 포워딩할전화번호 ") 를사용해전화를가로챈다. 일반적으로이렇게발신전화를가로챌수있다. 20

보이스피싱악성앱프로파일링 [P-1] PhoneNewReceiver 클래스내부에구현된형태 있다. 2017 년 9 월에최초발견된이후 2018 년부터는더이상발견되지않는유형이다. [P-2] 와코드유사성을가지고 PhoneNewReceiver 클래스내부에구현된전화가로채기코드 21

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App [P-2] NewPhoneCallReceiver 클래스내부에구현된형태 [P-1] 과코드의많은부분이유사한것을확인할수있고, [P-4] 와는클래스명을포함해모든코드가동일하다. NewPhoneCallReceiver 클래스내부에구현된전화가로채기코드 22

보이스피싱악성앱프로파일링 [P-3] PG_CallRcver 클래스내부에구현된형태 [P-3] 은특이하게디버깅메시지를코드에포함하고있다. 디버깅메시지에포함되어있는일부문자열이 클래스명 ( PG_CallRcver ) 과동일한것을알수있다. PG_CallRcver 클래스내부에구현된전화가로채기코드 23

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App [P-4] ShowReceiver 클래스내부에구현된형태 [P-2] 와동일한코드를가지고있다. 클래스명만변경해서사용했을것으로추정된다. ShowReceiver 클래스내부에구현된전화가로채기코드 24

보이스피싱악성앱프로파일링 [P-5] My_CallRcver 클래스내부에구현된형태 [P-3] 과같이동일한디버깅메시지를코드에포함하고있다. 일부코드에서차이점을제외하면코드는거의 유사하다. 클래스명이다름에도동일한디버깅메시지를사용한것으로보아 [P-3] 의업그레이드버전으로추정된다. My_CallRcver 클래스내부에구현된전화가로채기코드 25

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App [P-6] ScanCallReceiver 클래스내부에구현된형태 다른유형들은서로간에유사성을가지고있지만, 특이하게 [P-6] 은다른전화가로채기유형과유사성이 존재하지않는다. ScanCallReceiver 클래스내부에구현된전화가로채기코드 [P-7] Main_CallRcver 클래스내부에구현된형태 [P-3], [P-5] 와같이동일한디버깅메시지를코드에포함하고있으며, 클래스명은다르지만 [P-5] 와구현된 코드는모두동일하다. 발견된시점과코드유사성을근거로봤을때 [P-5], [P-7] 은 [P-3] 이업그레이드된형태인것으로추정된다. Main_CallRcver 클래스내부에구현된전화가로채기코드 26

보이스피싱악성앱프로파일링 [P-8] CallReceiver 클래스내부에구현된형태 [P-5], [P-7] 과동일한코드를가지고있지만디버깅메시지는제외된유형이다. CallReceiver 클래스내부에구현된전화가로채기코드 27

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App [P-8] CallReceiver 클래스내부에구현된형태 [P-5], [P-7] 과동일한코드를가지고있지만디버깅메시지는제외된유형이다. CallReceiver 클래스내부에구현된전화가로채기코드 28

보이스피싱악성앱프로파일링 [P-9] CallHandleReceiver 클래스내부에구현된형태 [P-3], [P-5], [P-7] 과다른형태의디버깅메시지가포함된유형이지만, 코드유사성은없다. 특이사항으로는 중국어디버깅메시지가포함되어있다. CallHandleReceiver 클래스내부에구현된전화가로채기코드 29

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App [P-10] CalRcver 클래스내부에구현된형태 [P-5], [P-7], [P-8] 과동일한코드를가지고있으며 [P-8] 에서사라졌던디버깅메시지가다시나타난유형이다. CalRcver 클래스내부에구현된전화가로채기코드 30

보이스피싱악성앱프로파일링 클래스별로구분된전화가로채기코드를확인해각유형별코드유사성을확인한결과를다음과같이정리할 수있다. 클래스명기준으로나눴던총 10가지유형을발견시점과코드유사성을기준으로재분류하게되면크게 4가지그룹으로분류할수있다. 코드유사성기준으로재분류된 4 가지그룹 31

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 다. 악성앱주요분석요소 1) Manifest.xml 모든안드로이드애플리케이션에는루트디렉터리에 Manifest.xml 파일이있어야한다. 이파일은안드로이드시스템이앱의코드를실행하기전에확보해야하는앱에대한필수정보를시스템에제공하기때문이다. 아래그림에서악성앱의기능수행에필요한주요권한을확인할수있는데, android.permission.process_ou TGOING_CALLS 권한의경우악성앱의주된기능인전화가로채기를할때반드시필요한권한이다. 또한전화기록을조작할수있는 android.permissioin.write_call_log 권한과 SMS 수신내역을읽어오기위한 android.permission.read_sms 권한도확인된다. 그외다양한권한이선언되어있으며직관적인권한의이름을통해악성앱이어떤기능을가지고있을지쉽게유추할수도있다. Manifest.xml 에선언된권한목록 2) Resources 와 Assets Resources에는애플리케이션이사용할이미지나문자열과같은리소스들이보관된다. 예를들어여러가지화면크기에따라여러가지 UI 레이아웃을제공하거나언어설정에따라각기다른문자열을제공할때사용할수있다. 아래그림에서는악성앱에필요한이미지들이 Assets 경로에 image.zip 파일내에압축되어존재하는것을확인할수있다. Resources 와 Assets 목록 32

보이스피싱악성앱프로파일링 수집된악성앱이사용하는리소스는대부분전화를가로채기할때화면을덮어쓰기위한용도로사용되는이미지파일이다. 이때사용되는이미지파일은 Resources 에보관되는경우와 Assets 에보관되는두가지경우가존재한다. 예를들어 bg_lg_g6_coming.png 파일은 LG G6 스마트폰모델에서전화를발신할때화면을덮어쓰기할목적으로만들어진이미지파일이고, bg_lg_g6_end.png 파일은전화를끊을때화면을덮어쓰기할목적으로만들어진이미지파일이다. 마찬가지로 bg_v20_coming.png 와 bg_v20_end.png 파일은 LG V20 모델에서전화를발신할때와종료할때화면을덮어쓰기할목적으로제작된이미지파일이다. 스마트폰제조사및모델별전화발신화면덮어쓰기용이미지파일 3) Libraries 악성앱유형을분류할때확인한것과같이최근에수집되는대부분의악성앱의경우아래와같이공유라이브러리 (.so) 를사용한다. 일반적으로미리만들어진라이브러리를사용하는것은소스코드를배포 ( 공개 ) 하지않고제3의개발자에게라이브러리를배포하려는목적과미리만들어진라이브러리를사용하여앱빌드시간을단축시키기위한목적으로사용된다. Libraries 목록 아래그림과같이 libma2sker.so 라이브러리파일에는하드코딩된 C&C 서버주소와관련 URL이포함된것을확인할수있다. 라이브러리파일 (libma2sker.so) 에하드코딩된 C&C 정보 33

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 4) 주요기능관련코드악성앱의주요기능은 C&C 서버와통신을하는것과발신전화를가로채어공격자에게연결시켜주는것두가지이다. 앞서이기능들이앱마다각기다른이름의클래스내부에구현되어있는것을확인했다. 2018 년 11월기준현재수집되는악성앱에서주로확인되는 C&C 하드코딩유형은 ([C-2-3] libma3sker.so) 이며, 전화가로채기코드유형은 ([P-3] PG_CallRcver) 이가장많이발견되고있다. 일반적으로전화가로채기코드는아래와같은형태로동작한다. Manifest.xml 내용중관련된리시버를보면 NEW_OUTGOING_CALL 이발생했을때동작하는것을알수있다. Manifest.xml 에선언된 ShowReceiver ShowReceiver 를따라가보면 onreceiveintent 에서브로드캐스트로전달받은값이 NEW_OUTGOING_CALL 과동일한지확인하고동일할경우 outgoingcall 메서드를호출하는것을볼수있다. NEW_OUTGOING_CALL 인텐트 최종적으로동작하는 outgoingcall() 메서드는전화가로채기기능이구현된메서드이다. 발신전화번호를 Config.changeNumbers 에할당된금융회사대표번호들과비교해동일할경우공격자가미리설정해놓은다른전화번호로연결해주는기능을수행한다. 34

보이스피싱악성앱프로파일링 전화가로채기코드가구현되어있는 outgoingcall 메서드 전화가로채기가동작하는순서는다음과같다. 1 2 3 4 5 6 감염된단말기에서피해자가전화를발신한다. NEW_OUTGOING_CALL 인텐트가발생한다. ShowReceiver 클래스의 onreceive() 메서드가 NEW_OUTGOING_CALL 인텐트를받는다. 구현된코드에따라 outgoingcall() 메서드가호출된다. Config.changeNumbers 에하드코딩된금융회사대표번호를분리해 changenumbers_array 배열에저장한다. 공격자가설정해놓은전화번호를얻어와 attacker_number 변수에저장한다. 7 피해자가발신한전화번호와배열에저장된금융회사대표번호를비교하고, 동일할경우 6 에서저장한 공격자의전화번호로연결한다. 8 9 감염된단말기화면상에서발각되지않기위해최초피해자가발신했던번호와연결되는것처럼보여준다. 공격자의전화번호가통화기록에남지않도록피해자가발신한번호로통화기록을수정한다. 35

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 악성앱분석 - 유사패키지명악성앱비교분석 수집된악성앱간의유사성을확인하기위해동일한형태의패키지명 (com.samsung.appstore숫자) 을사용하는악성앱을다음과같이선정하여주요분석요소들을분석후비교했다. 패키지명과 C&C 정보가하드코딩되어있는라이브러리파일명에서공통되는부분을찾을수있고패키지명마지막에사용되는숫자와라이브러리파일의가운데숫자가증가됨을볼수있다. 악성앱개발자가지속적으로버전을업그레이드시키고있는것으로보인다. [C-2] 세부유형표 패키지명수집월 C&C 하드코딩유형전화가로채기유형 com.samsung.appstore1 2018.05. com.samsung.appstore27 2018.06. com.samsung.appstore32 2018.10. [C-2-1] libma1sker.so (Library 파일 ) [C-2-2] libma2sker.so (Library 파일 ) [C-2-3] libma3sker.so (Library 파일 ) [P-3] PG_CallRcver [P-10] CalRcver [P-10] CalRcver 분석요소들을비교분석해본결과동일한공격조직이제작한것으로판단되며, 계속해서새로운기능을추가하고있는것으로보인다. 상세분석을통해유사성을확인하고, 어떤새로운기능이추가됐는지설명한다. 가. Manifest.xml 분석 비교대상이되는 3개의악성앱의 Manifest.xml 파일에는선언되어있는권한, 서비스그리고리시버총 3개부분을비교분석대상으로삼았다. 표에서각앱의구분을위해패키지명마지막문자열을사용했다. 세부유형별권한, 서비스, 리시버비교 구분권한서비스리시버 appstore1 INTERNET 등 23 개.PG_Service 등 5 개.PG_CallRcver 등 2 개 appstore27 appsotre1 과동일.PG_Service1 등 4 개.CalRcver 등 2 개 appstore32 appsotre1 과동일 appstore27 과동일 appstore27 과동일 36

보이스피싱악성앱프로파일링 확인결과수개월의차이가있음에도 3개의악성앱모두 Manifest.xml 파일에선언된권한은순서까지모두동일했다. 서비스와리시버의경우 appstore1 과나머지앱은유사하지만일부차이를보였고, appstore27 과 32의서비스와리시버모두선언된이름과순서모두동일한것을확인했다. 나. Resources, Assets, Libraries 분석 Resources, Assets, Libraries 요소에서는차이점을발견할수있다. C&C 정보가하드코딩되어있는 라이브러리의파일명의숫자가각각다르다는점과 com.samsung.appstore32에서는다른악성앱과달리 Assets 경로에 r.zip 파일이존재한다는점이다. 좌측부터 com.samsung.appstore1, 27, 32 Assets 폴더에공통적으로존재하는 image.zip 파일은전화가로채기를할때사용자를속이기위해화면을덮어쓰기위한용도로준비된다양한이미지파일이압축되어있다. 일부파일명을통해직관적으로공격대상이되는스마트폰제조사와모델명등을확인할수있다. Assets 폴더내 image.zip 파일 37

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 이런이미지파일에는편집도구에따라다양한메타데이터가이미지헤더에저장되어있는경우가있다. 3 개의 악성앱 image.zip 에서추출한 sm_g935f_short_screen_end.jpg 파일의메타데이터에서 XMP 5) 데이터를 추출해비교해봤다. 메타데이터비교대상인 sm_g935f_short_screen_end.jpg 파일 XMP 메타데이터에는다양한내용이존재하기때문에이미지파일의동일성을판단할수있도록총 3개의구분자를기준으로비교했다. DocumentID 는해시와비슷하게생긴값으로이미지파일에부여된유일한값을의미한다. 생성일은이미지파일이생성된날짜를뜻하고, 사용도구는이미지편집을위해 Adobe 사의어떤응용프로그램을사용했는지를뜻한다. 메타데이터비교표 구분 DocumentID 생성일사용도구 appstore1 98356E24F48B1F052 A689EAC41C455EB 2016:06:14 03:54:31+08:00 Adobe Photoshop CC 2015 (Windows) appstore27 98356E24F48B1F05 2A689EAC41C455EB 2016:06:14 03:54:31+08:00 Adobe Photoshop CC 2015 (Windows) appstore32 98356E24F48B1F05 2A689EAC41C455EB 2016:06:14 03:54:31+08:00 Adobe Photoshop CC 2015 (Windows) 5) XMP 는 extensible Metadata Platform adobe 의약자로 Adobe 응용프로그램에서사용되는표준메타데이터이다. 38

보이스피싱악성앱프로파일링 sm_g935f_short_screen_end.jpg 파일의메타데이터를비교해본결과모두동일한 DocumentID 와파일생성날짜를가지고있고 Adobe Photoshop CC 2015 (Windows) 로제작된이미지파일임을확인할수있다. 비교를위해사용한이미지파일명에포함된 sm_g935 문자열은삼성갤럭시 S7 엣지의실제모델명으로써 2016 년 3월 11일에국내에출시됐다. 출시후 3개월만에공격자는갤럭시 S7 엣지를공격목표중하나로정한것으로보인다. appstore32 패키지명을사용하는악성앱의 Assets 에서새롭게발견된 r.zip 파일내부에는금융회사이름을가진 49개의 MP3 파일과 number.dat 파일까지총 50개의파일이암호압축되어있다. 압축된파일이 MP3 확장자를가지고있지만확인결과 MP3가아닌 AMR 파일로확인된다. 암호압축을풀고 AMR 플레이어를통해재생해본결과일반적으로금융소비자들이금융회사에전화연결을시도할때들을수있는다양한멘트의연결음파일로확인된다. number.dat 내부에는금융회사전화번호와금융회사이름을가진 MP3 파일이짝을이루고있다. 하나의짝은다수의금융회사전화번호와하나의 MP3 파일로구성되어있고각각의짝을구분하기위해서라인피드 (Line Feed, LF, \n, 0x0A) 가사용된다. 이렇게여러개의금융회사대표번호를하나의 MP3 파일과짝을지어놓은이유는특정금융그룹을하나로묶어동일한전화연결음을들려줘서신뢰성을높이기위한것으로판단된다. number.dat 파일내데이터예제 전화번호, 전화번호, 전화번호, 전화번호, 전화번호, 금융회사이름.mp3 전화번호, 전화번호, 전화번호, 전화번호, 금융회사이름.mp3 전화번호, 전화번호, 전화번호, 전화번호, 전화번호, 전화번호, 전화번호, 금융회사이름.mp3 39

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 다. C&C 하드코딩유형 라이브러리파일의함수이름을비교해보면 appstore 뒤에붙는숫자를제외하고동일한형태인것을볼수 있다. 함수내부를확인해보면 C&C 서버주소를제외한나머지 URL 부분도동일하다. 또한라이브러리파일명이 libma1sker.so > libma2sker.so > libma3sker.so 로수집된시간순서에따라다른것을볼수있다. 위에서부터 libma1sker.so, libma2sker.so, libma3sker.so 파일내부의함수들 Java_com_samsung_appstore숫자 _Masker_getVst 함수내부를살펴보면아래와같이 URL 하위부분은동일하고주소와포트번호만다른것을확인할수있다. 40

보이스피싱악성앱프로파일링 위에서부터 libma1sker.so, libma2sker.so, libma3sker.so 파일의 getvst 함수 사람의눈으로찾을수없는기능상의차이점이존재하는지확인하기위해라이브러리파일의유사성을 비교했다. libma1sker.so 파일과 libma3sker.so 파일의기능은 100% 동일한것으로확인된다. libma1sker.so 와 libma3sker.so 라이브러리파일비교결과 이어서 libma2sker.so 파일과 libma3sker.so 파일을비교했고기능은 100% 동일한것으로확인된다. 결과적으로파일명이다른이유는기능상의차이가있는게아니라버전관리를위한것으로추정된다. 41

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App libma2sker.so 와 libma3sker.so 라이브러리파일비교결과 라. 전화가로채기코드유형 비교대상인 3 개의악성앱모두디버깅메시지를남기기위한동일한메서드 (CF_CBXLog.D) 를사용하고있고, 동일한코드의전화가로채기코드를사용하는것을확인할수있다. com.samsung.appstore1 패키지명의전화가로채기코드 이하생략 42

보이스피싱악성앱프로파일링 com.samsung.appstore27 패키지명의전화가로채기코드 이하생략 com.samsung.appstore32 패키지명의전화가로채기코드 이하생략 43

보이스피싱 악성 앱 프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 04 수집 통계로 알아보는 보이스피싱 악성 앱 44

수집통계로알아보는보이스피싱악성앱 수집통계로알아보는보이스피싱악성앱 수집시스템을약두달 (2018 년 6월 ~ 7월 ) 간운영하면서수집한악성앱의수집건수를막대그래프로표현했을때아래와같은패턴을확인할수있다. 빨간색동그라미로표시된부분은주말 ( 토요일, 일요일 ) 을의미한다. 흥미로운점은평일에 40~80 건수집되는보이스피싱악성앱이주말에는 20건이하의소량만수집된다는점이다. 감염된기기를통해은행을사칭하는공격자와직접통화하여확인한결과은행업무시간 (09 시 ~16 시 ) 이후에는대출과관련해서는상담을진행하지않으며, 다음날오전에전화를부탁드린다며공손히대응하는점을보았을때공격자들은피해자를기만하기위해많은부분을고려해범죄활동을하고있는것으로추정된다. 악성앱자동수집건수 (2018.06.~2018.07.) 수집된보이스피싱악성앱은매우다양한패키지명을사용하고있었지만, 최근에발견되는대다수의악성앱은 com.samsung.appsotre 숫자 형태의패키지명을사용하고있다. 2018 년 10월 29일기준으로수집된악성앱의경우 com.samsung.appstore33 을악성앱패키지명으로사용하고있는것으로확인된다. 수집된악성앱패키지명 TOP 10 (2018.06.~2018.07.) 45

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 수집된악성앱이사칭하는금융회사는 80% 이상이은행이며, 일부의경우증권사, 저축은행, 캐피탈을 사칭하고있는것으로확인된다. 대출이라는금융상품의특징상인지도가높은국내대형은행을사칭하는것으로확인된다. 또한저축은행과캐피탈사의경우에도대부분인지도가높은금융회사를사칭하고있다. 수집된악성앱파일명 TOP 10 (2018.06.~2018.07.) 46

수집 통계로 알아보는 보이스피싱 악성 앱 05 관련 서버 분석 47

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 관련서버분석 가. 악성앱유포지서버 악성앱유포지는생명주기가상당히짧기때문에피해자들의제보를통해유포지정보가확보되더라도실제접속이가능한살아있는상태의유포지를확보하기는매우어렵다. 금융보안원은지속적인추적을통해현재는악성앱유포지를실시간으로탐지하여악성앱을수집하는시스템을구축하여가동중에있다. 현재까지수집시스템에확보된데이터를근거로악성앱유포지서버가사용하는 IP 주소는현재까지 100% 대만 (TW) 으로확인된다. 나. C&C 서버 C&C 서버는악성앱내부에하드코딩되어있기때문에유포지서버와는반대로확보하는데전혀어려움이없다. C&C 서버가사용하는 IP주소는한국을포함다양한국가의 IP를사용중에있다. 악성앱과 C&C는 HTTP를사용해상호통신하며, C&C에는감염된기기를관리할수있는관리자페이지가별도로존재한다. 48

관련서버분석 C&C 서버관리자패널로그인페이지 위그림은중국어간체와한국어로구성된 C&C 관리자패널로그인페이지이다. 로그인페이지의디자인과 언어가다른것에여러가지이유가있을것으로추정된다. 49

보이스피싱 악성 앱 프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 06 최근동향 설문조사를 가장한 악성 앱 유포 피싱 사이트 개인정보를 요구하는 악성 앱 유포 피싱 사이트 신규 안드로이드 모바일 기기 대응 (갤럭시 S9) 50

최근동향 최근동향 기존에발견되던일반적인형태의악성앱을지속적으로추적분석해본결과여러가지개선된특징이 발견되었고, 악성앱유포와함께추가적으로개인정보를수집하기위한것으로추정되는공격도최근확인됐다. 설문조사를가장한악성앱유포피싱사이트 일반적인형태의악성앱유포사이트는대출을위한본인인증을미끼로악성앱을다운로드받아설치하도록유도하였는데, 최근아래그림과같이대출과는별개로고객만족도조사를명목으로악성앱을다운로드받아설치하도록유도하는형태의피싱사이트가발견됐다. 공격자들이여러가지관점에서금융소비자들을대상으로공격을시도하고있다는것을알수있다. 설문조사를가장한악성앱유포피싱사이트 51

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 개인정보를요구하는악성앱유포피싱사이트 기존의악성앱유포피싱사이트는한장의이미지로구성된단순한페이지였기때문에화면상의어떤부분을 클릭하더라도동작하지않고악성앱을다운로드하는기능만존재했는데, 최근새롭게발견된악성앱유포피싱사이트의경우사용자이름과주민등록번호를실제입력할수있는폼이추가된것이확인됐다. 개인정보를요구하는악성앱유포피싱사이트 52

최근동향 신규안드로이드모바일기기대응 ( 갤럭시 S9) 삼성갤럭시 S9 모델출시이후일부악성앱에서해당모델을대응하기위해 S9 에필요한리소스를추가한사실이확인됐다. 메타데이터확인을통해공격자가 S9 대응을위해언제이미지를제작했는지확인하려고시도해봤지만 s9_bg_ 문자열을포함한모든이미지파일에는메타데이터가포함되어있지않아파일의생성일확인이불가능하다. 갤럭시 S9 대상화면덮어쓰기용이미지가추가된모습 53

보이스피싱 악성 앱 프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 07 결론 54

결론 결론 국내안드로이드기반스마트폰점유율은 2018 년도 1분기기준약 77% 정도이며, 이수치를다르게본다면국내에서스마트폰을사용하는사용자중 77% 가악성앱과함께새롭게등장한보이스피싱의공격대상이될수있다는의미다. 일반적인보이스피싱은공격자의전화로부터시작되지만, 본보고서에서다루는보이스피싱의경우에는대출 광고등을가장한문자등을통해악성앱유포사이트로유도하여사용자가악성앱을설치한후대출상담등을위해금융회사대표번호로발신했을때악성앱이전화를가로채어공격자에게연결시켜주게된다. 사용자본인이직접대표번호로발신했기때문에전화를받는상대방이보이스피싱범이라고생각하지않을수있어좀더쉽게피해를입을수있다. 이러한보이스피싱앱에의한피해를예방하기위해서는사용자의주의와금융회사의예방을위한지속적인노력이필요하다. 특히사용자는신종보이스피싱앱과같은불법적인앱에의한피해를예방하기위해서다음과같은수칙을반드시지켜야한다. 1 스마트폰운영체제는최신상태로유지하기 2 스마트폰에최신백신프로그램설치및실시간감시기능설정하기 3 문자메시지, 카카오톡메시지등을통해수신된출처를알수없는인터넷주소 (URL) 연결금지 4 5 공식앱마켓에서만앱다운로드하기 ( 출처를알수없는앱설치하지않기 ) 의심스러운금융거래를제시하는경우사용자핸드폰이아닌타전화기 ( 유선전화, 가족핸드폰 ) 등을이용해해당금융회사에직접확인하기 또한금융회사는이런신종보이스피싱앱과같은피해가발생하지않도록피해예방을위한지속적인홍보및안내가필요하다. 현재금융회사는금융당국과함께보이스피싱예방을위해 보이스피싱제로 (Zero) 캠페인그놈목소리 3Go! 캠페인을진행중이다. 만약사용자가보이스피싱앱에의한피해를입은경우, 금융당국, 경찰청등의홈페이지또는전화를통해피해신고를할수있다. 55

보이스피싱악성앱프로파일링 ShadowVoice : When Voice Phishing met Malicious Android App 홈페이지 금융감독원 (http://phishing-keeper.fss.or.kr, 보이스피싱지킴이 ) 경찰청 (https://minwon.police.go.kr, 전화금융사기피해신고 ) 전화 금융감독원 ( 국번없이 1332) 피해상담및환급 경찰청 ( 국번없이 112) 지급정지및피해신고 한국인터넷진흥원 ( 국번없이 118) 피싱사이트신고 금융보안원에서는 24시간 365일실시간으로악성앱을추적하고있으며, 발견된악성앱은금융보안원통합보안관제센터와외부유관기관과연계하여차단및대응을하고있다. 2018년 1~10 월까지악성앱등을유포하는피싱 파밍사이트 12,529 건을탐지 차단하였으며, 이를금액으로환산시약 645억원 6) 의전자금융사고피해를예방한것으로추정하고있다. 아울러현재까지수집된데이터를바탕으로작성된본보고서의분석결과는각금융회사와유관기관과의공유를통해보다적극적인대응이가능할것으로생각된다. 마지막으로금융보안원은보이스피싱범죄가근절될때까지, 앞으로도지속적으로새로운유형의악성앱을관찰, 추적, 분석하여피해예방을위해노력을다할것이며, 본보고서가금융권을비롯한많은권역에서관련된위협대응에도움이되기를희망한다. 6) 2017 년경찰통계연보피싱 파밍사이트건당평균피해금액 515 만원기준 56

57 Type SHA256 APK fd138aa262b5882fdfa1502a35d53b7027c37380ef5f903efe29fc9179cba878 APK eaa617ecd02277783915a52909be16d4802ff8ae8179817ae458a8496edb6aba APK 19140e6f532126cd19f9873478f38371d6b02de5694be18e71a1762f3633a9c9 APK cc100a552f3b59ceb4166b21e7621c833d2cf55c50fa0ff701e9c4996fda66ed APK 4be04dccf10c8dfbfef9050d8926168b263634d88c3c2a945f7c8f4dcbba9ebc APK 7a8b3e97f53b653fb0a4a60e0dbf1897dac647481655868fde37c2bb3850b356 APK 2d19f3039abceeae3ca6503d3e1de14bae912fd05faa2172ee8c4a99893d23d6 APK fed07d962dea52e1dccdf07292892dfaff83d9f2ddabc74394caee29969cfae7 APK ac5e1fb07083c9e8d69de06a21542486ea0c537b262bab92c9c252b2d81dee3f APK c300ccad3ceaad8ed56d1c452f2d63a59e1b2b5246010ff56c02758303a86846 APK b06de25c1c3a68dc538c3ed56c395717de256669758a0253eefce814bfefc674 APK ede16afade524c8dd98ae5c7f3540e11a6ef6af6becf4402d3a3b65958414306 APK 7c1ff89e93b0273347a9fc0d981f2512908629f079fafeb6bbef5d36baf2f701 APK 80f11e8d936291d8895d3dde974c6b3973648d365963c4b379d5953d84c070c7 APK 5e84cf92f6cc55c68c6839a907c073091c1c343856aed61acb827b6388c93f5c APK 75e86bcbbed12b571a6ecefb0ad952a1a2bd2ef06c623b8dfd50a48f9a9b20da APK 4859b90db1e6cac134e0b94cc1a63476a4cb700d2d82702431a903f8d2d2e493 APK dcb665bd13f5e3566e4aa371a88f0df7e62377bec6eae22d1c2eadfe5d965fec APK ae60e8a34069f84886ae2906088650b517a57ca2290ebf5939c56249f356c2cb APK 47bfa3fc43d6e2b9c7c105023728e9b75363742822ba54159a4054fcd36128bd APK 0e4ad6a9fe6e21770412256a616705e532d9663b0bb5b9654d90f3405a372c10 APK 291597ac1215fe0696b8f7ba0b731294f12d786b947b1c6f2d356cd1feae94e8 APK 27949d48273e1698250b846795fbb85911049257658b45ed31d36c1468302746 APK cb68ce3243f664eb775dd97ac27ebc1ee1050b27fa67cfbfdff5ef65bc67e802 APK 2a029e32e33130fcfd1356b13b07f07d2e35477f199b0327c31932bf32c1dd09 침해지표결론침해지표목록 : https://pastebin.com/raw/wfpbvux6

보이스피싱악성앱프로파일링 발행일 2018 년 12월발행인김영기작성자금융보안원침해대응부침해위협분석팀 ( 팀장 : 정영석 ) 장민창 ( 이후가나다순 ), 곽경주, 김재기, 박찬홍, 이민희, 장나리 자 문금융보안자문위원회 발행처금융보안원경기도용인시수지구대지로 132 TEL 02-3495-9000 본문서의내용은금융보안원의서면동의없이무단전재를금합니다. 본문서에수록된내용은고지없이변경될수있습니다. The contents of this document cannot be reproduced without prior permisson of FSI(Financial Security Institute). The information contained in this document is subject to chance without notice.

2024 © docsplayer.org 개인정보보호 | 약관 | 지원