20일 잉카인터넷 대응팀에 따르면 지난 15일 마치 삼성전자(1588-3366)에서 발송한 문자메시지처럼 발신자를 사칭하고, 앱 실행속도 최신 업그레이드 내용과 같은 문구로 사용자를 현혹한 후 악성 앱(Androicall.apk)을 설치 시도한 형태가 보고됐다.
해당 문자메시지에는 "애플리케이션 실행 속도관련 최신 업그레이드가 필요합니다"라는 내용과 함께 단축 URL 주소(http://goo.gl/*****)가 나와 있다.
이 주소를 클릭하면 "Androicall.apk" 파일을 국내의 웹 호스팅 서버에서 다운로드하게 된다. 만약 사용자가 다운로드된 앱을 클릭하면 "Snoopy" 라는 앱의 설치과정이 보여진다.
이 스파이앱은 안드로이드 기반 스마트폰에 수신된 SMS를 감시하고 외부로 전송하는 것이 주된 기능이다.
마치 안드로이드 OS(운영체제)의 최신 업데이트 내용처럼 속여 특정 인터넷 주소에서 스파이앱을 내려 받도록 한 것이다. 한국인터넷진흥원은 이 스파이앱과 연결된 특정 외부 서버를 차단한 상태다.
삼성전자뿐만 아니라 롯데시네마의 영화 관람료 인상 전 무료 영화관 쿠폰발급 내용처럼 위장한 스파이앱도 추가로 발견됐다.
잉카인터넷 대응팀은 해당 악성앱에 대한 탐지 및 치료 기능을 'nProtect Mobile for Android' 제품에 'Trojan/Android.KRSbot' 대표 진단명으로 긴급 업데이트했다고 덧붙였다.
잉카 인터넷에 따르면 국내 이용자를 겨냥한 맞춤형 안드로이드 기반의 악성앱은 크게 3가지 형태로 분류할 수 있다.
소액결제 승인문자를 은폐시키고 갈취하는 소액결제사기형태, 모바일 디도스 기능을 수행할 수 있는 좀비 스마트폰용 사이버 공격형태, 스마트뱅킹 앱으로 위장한 금융 피싱사기형태 등이다.
잉카인터넷 측은 "이번에 보고된 형태가 민감할 수 있는 문자메시지의 개인정보를 몰래 훔쳐갈 수 있다는 점에서 개인정보 유출 및 사생활침해형태로 분류할 수 있고, 점차 한국 맞춤형 안드로이드 사이버 보안위협이 다양한 범죄형태로 진화하고 있다는 것을 증명하고 있다"고 말했다.
onnews@fnnews.com 온라인뉴스팀
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지
