2013년 하반기 스마트폰 뱅킹 악성 앱, 전년 대비 25배 급증

아주경제 장윤정 기자 =  지난 해 하반기 스마트폰 악성 앱이 폭발적으로 증가한 것으로 나타났다. 
지난해부터 본격적으로 발견되기 시작한  스마트폰 뱅킹 악성 앱은 총 1440건 발견됐으며 특히 지난해 하반기 총 1384건이 발견돼, 상반기 56건이 비해 약 25배 증가했다. 

안랩은 2013년 한 해 동안 발견된 스마트폰 뱅킹 악성 앱의 진화 추세를 27일 분석 발표했다.

안랩의 내부 집계 결과, 사용자의 금융정보를 노려 금전 피해를 발생시키는 인터넷 뱅킹 관련 악성 앱(이하 뱅킹 악성 앱)은 2013년부터 본격적으로 발견되기 시작해 총 1,440건이 수집되었다. 특히, 하반기에만 뱅킹 악성 앱이 1,384건으로 상반기 56건에 비해 약 25배(24.7배) 증가했다.

형태별로는 단순 피싱 사이트로 연결하는 초기형태에서 공인인증서 탈취, 정상 은행 앱을 악성 앱으로 교체하는 형태로 진화했다.

이 회사의 분석에 의하면 지난해 1-2월에는 악성 앱 실행 시 피싱사이트로 연결이 다수였다. 
연 초인 1~2월에 발견된 뱅킹 악성 앱은 스미싱 문자 내 URL을 접속하거나, 구글 플레이 공식 마켓에 등록된 악성 앱을 설치해 실행하면 피싱 사이트로 접속되는 형태가 주로 발견되었다. 이 피싱 사이트의 형태는 모바일에 최적화된 상태가 아닌 PC 웹 형태를 하고 있었으며, 뱅킹 관련 악성 앱의 발생 초기 였던 만큼 단순히 브라우저에 웹을 띄우는 기능이 전부였다.

3월에는 모바일 공인인증서 탈취 악성코드가 증가했다.
3월부터는 피싱 사이트로 이동하는 형태는 감소하고 공인인증서 파일을 탈취하는 악성코드가 다량 발견되기 시작했다. 또한, ‘체스트’와 그 변종처럼 주로 스마트폰 정보, 통신사 정보, SMS등을 탈취해 소액결제를 노리는 악성 앱이 더 많이 유포되었다.

5월은 ‘뱅쿤’류 악성 앱이 늘어났다. 2013년 5월초부터 정상적인 은행 앱을 삭제하고 악성 앱을 설치하는 ‘뱅쿤(Bankun)’ 류의 악성 앱이 본격적으로 발견되기 시작했다. 사용자의 금융 정보를 탈취하는 다른 악성 앱을 추가로 설치하는 기능을 가졌다. 이런 악성 앱들은 실행 즉시 정상 앱의 삭제를 요구하기 때문에 사용자가 의심할 수 있었다.

6월경부터는 앞서 발견된 형태에서 조금 더 진화한 ‘알림(Notification)’ 형태의 악성 앱이 발견되기 시작했다. 드롭퍼 기능을 가진 기존 악성 앱과 유사한 형태이지만 평소에는 별다른 동작을 하지 않고 있다가, 스마트폰에 특정 문자가 수신되었을 때 ‘새로운 업데이트가 있습니다’라는 문구의 알림을 띄워 새로운 악성 앱 설치를 유도한다. 

8월부터 더욱 진화한 형태의 악성 앱이 발견되었다. 사용자 스마트폰에 설치된 금융사 별 뱅킹 앱을 확인한 후 해당 뱅킹 앱에 맞는 피싱 앱만 다운로드했다. 이런 방식으로 악성 앱의 용량을 줄여 쉽게 유포했을 뿐만 아니라, 모바일 백신에 감지될 확률도 줄였다. 또한, 이렇게 다운로드 된 피싱 앱은 가짜 모바일 백신이 동작하는 것처럼 꾸미는 등 사용자가 정상 정상 앱과 구별하기 어려웠다.

12월부터는 드롭퍼 형태에서 한단계 더 진화한 악성 앱의 형태가 발견되었다. 이 악성 앱은 모바일 백신 프로그램 업데이트를 사칭한 스미싱을 보내고, 사용자가 해당 URL을 클릭하면 유명 백신 프로그램과 유사한 아이콘의 악성 앱이 다운로드 된다.

사용자가 이를 무심코 설치하면 악성 앱은 사용자의 문자 수신함을 모니터링 하다가 문자가 수신되는 등 변화가 감지되면 ‘보안 알리미’라는 알림을 띄운다. 사용자가 확인을 누르면 피싱 기능(화면)을 즉시 실행시켜 금융정보 입력을 유도한다. 

이처럼 2013년 발견된 모바일 뱅킹 악성앱은 사용자를 쉽게 속이기 위해 더욱 교묘하고 정교한 형태로 변화했다.

이호웅 안랩 시큐리티대응센터장은 “ 스마트폰 사용량이 증가함에 따라, 스미싱을 포함한 금전탈취를 목적으로 하는 모바일 뱅킹 악성 앱이 2014년도에도 지속적으로 증가할 것이다. 또한 사용자를 현혹 시키기 위한 기법도 교묘해지고 있어 사용자들의 각별한 주의가 필요하다”고 말했다.
 

스마트폰 뱅킹 앱 진화