본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

국내 생명보험사를 사칭한 악성 앱 주의!

보안공지 2021-11-11


 

보험사를 사칭한 악성앱이 발견되어 사용자들의 주의가 필요합니다. 해당 악성앱의 유포경로는 아직 확인되지 않았습니다. 

 

해당 악성앱은 국내의 한 생명보험사를 위장하고 있습니다. 

 

 

[그림 1] 생명보험사를 위장한 악성앱 메인화면

 

 

해당 앱이 사용자 휴대폰에 설치되면 다음과 같은 과도한 권한을 요구하며, 해당 권한을 획득 한 이후로는 사용자 휴대폰을 모두 볼 수 있으며 보이스피싱도 가능합니다. 

 

 

- 마이크 정보 탈취
- GPS 정보 탈취
- 전화 탈취
- 주소록 탈취
- 통화 목록 탈취
- SMS 정보 탈취
- 통화기록 탈취
- 저장용량 접근권한 (파일 저장, 삭제 등 가능)

 

 

사용자가 생년월일과 성별 정보를 입력 후 보험료 확인을 누르면 개인정보처리 동의를 이유로 이름, 주민등록번호, 통신사 정보 입력을 유도합니다.

 

 

[그림 2] 개인정보 확인 페이지

 

 

이때 앱 내부에서 주민등록번호의 패턴을 검사하기 때문에, 만일 사용자가 주민등록 패턴에 맞지 않은 임의의 7자리 숫자를 입력하면 주민등록번호를 제대로 입력하라는 창이 뜹니다. 

 

 

[그림 3] 주민등록번호 패턴 검사 코드

 

 

실제 보험사에서 조회나 가입 등을 진행할 때 주민등록번호를 포함한 개인정보를 요구하기 때문에, 이러한 악성앱에서 정보를 요구할 때 이상한 점을 느끼지 못하고 입력하는 경우가 다수입니다.

 

만일 사용자가 앱에서 요구하는 정보들을 모두 입력 후 가입상품 확인하러 가기를 누르면 입력한 정보들을 공격자의 서버로 전송됨과 동시에 수령신청 페이지로 이동하여 수령가능금액 32,192,000원이 보여지게 됩니다. 이때 보여지는 화면은 입력된 정보와는 상관없이 동일하게 보여집니다. 

 

 

[그림 4] 가입상품 및 수령실패 페이지

 

하지만 사용자가 수령신청하기를 누르면 이미 수령했다는 메세지와 함께 수령실패가 뜨며, 하단에 전화상담 버튼을 배치하여 사용자들의 콜백을 유도합니다. 

 

전화상담 번호는 실제 국민건강보험공단 번호로 적혀 있지만, 만일 사용자가 해당 번호로 전화를 한다면 공격자들이 전화를 넘겨받게 됩니다. 사용자가 설치한 악성 앱에는 전화 탈취 기능이 있어 공격자가 중간에서 사용자의 전화를 가로챌 수 있기 때문입니다. 

 

실제로 해당 악성 앱 내부에는 금융기관 안내멘트 녹음파일이 다수 포함되어 있었으며, C2 서버로부터 명령을 받아 가짜전화와 같은 기능들을 수행하는 것을 확인하였습니다. 

 

사용자 여러분들께서는 반드리 구글플레이를 통하여 앱 설치를 해주시기 바라며, 알약M과 같은 모바일 백신을 사용하시기를 권고 드립니다. 

 

현재 알약M에서는 해당 악성앱에 대해  Trojan.Android.Banker로 탐지중에 있습니다.