한국 사용자를 대상으로 수백만 달러를 훔친 연변 모바일 갱

게시일: 2015-02-17 l 작성자: Simon Huang (Mobile Security Engineer)

트렌드마이크로는 모바일 악성코드를 사용해 한국의 여러 은행 고객들로부터 돈을 빼돌린 중국의 사이버 범죄 단체인 연변 모바일 갱의 활동에 관한 보고서를 발표했습니다. 이들은 이미 2013년부터 피해자들의 계좌에서 매일 최대 1,600달러에 해당하는 원화를 이체할 수 있었던 것으로 드러났습니다.

이번 조사는 트렌드마이크로가 위협 환경을 대상으로 끊임없이 모니터링을 실시한 결과입니다. 트렌드마이크로는 항상 새로운 위협을 경계해 왔는데 이번 문제를 일으킨 가장 큰 세력은 중국의 지하 조직이었습니다. 그리고 특히 더 큰 규모의 중국의 지하 시장에는 매우 많은 수의 모바일 위협이 존재하는 것으로 나타났습니다.



범죄 도구

연변 모바일 갱이라고 불리는 이 그룹은 2013년부터 피해자들의 계좌에서 수백만 달러를 빼돌려 왔으며 주요 수법으로 다양한 안드로이드 악성코드를 사용했습니다.

  • 가짜 뱅킹 앱: 트렌드마이크로의 조사 결과, KB국민은행, NH은행, 하나은행, 신한은행, 우리은행까지 5개 은행의 가짜 앱 버전이 발견되었습니다. 이러한 앱은 사용자 정보와 인증서를 훔칩니다. 그리고 실제 앱을 제거한 뒤 실제 앱으로 위장해 원래 앱을 대신하는 능력까지 갖추고 있습니다. 그래서 전혀 발각되지 않으며 수집하려는 정보, 즉 가짜 앱 운영자들에게 금전적 이득을 가져다 줄 피해자의 개인 계좌 인증서를 확보할 수 있었습니다.
  • 뱅킹 세션 하이재킹 앱: 이러한 앱은 사용자가 이를 실제 앱으로 여기도록 은행 고객을 속이기 위해 대상 은행의 아이콘을 모방합니다. 그런 다음 UI에서 사용자의 모든 입력 내용(계좌 번호, 고객명, 암호, 기타 개인식별정보(PII))을 기록합니다.
  • 인기 있는 앱의 가짜 버전: 연변 모바일 갱은 안드로이드 사용자들에게 인기 있는 앱들의 가짜 버전도 개발했습니다. 주요 대상으로는 Google Play나 Google Search, Adobe® Flash® Player, 음란물 앱 등이 있습니다. 이 가짜 앱들은 악성 앱을 다운로드하여 설치하고 파일 및 폴더를 삭제하며 텍스트 메시지를 기록하고 사진을 찍으며 파일을 훔치는 등 개발자가 원하는 다양한 행동을 수행합니다.

연변 모바일 갱은 사이버 경찰청 앱을 사용하여 한국 사용자들을 공격했습니다. 이들은 먼저 공격 대상자에게 해당 링크를 클릭하지 않으면 일종의 수사가 진행될 것이라는 내용의, 피해자에게 두려움을 유발하는 SMS 피싱 메시지를 전송합니다. 그런 다음 피해자가 해당 링크를 클릭하면 이 링크에서 피해자의 기기에 악성 앱을 설치하는 것입니다.

QQ 커뮤니케이션

이들은 채용과 원활한 의사소통 및 상호 작용을 위해 중국의 인기 있는 인스턴트 메시징 서비스인 QQ 채팅을 사용했습니다. 트렌드마이크로는 2013년 QQ가 중국 사이버 범죄자들의 통신 방식으로 급부상하고 있음에 대해 언급한 적이 있습니다. 또한 2013년 중국의 지하 시장(The Chinese Underground in 2013)이라는 보고서에서는 메시지의 수를 보면 2013년 10개월 동안 중국의 지하 범죄 활동 건수가 2012년 같은 기간에 비해 2배나 증가했음을 알 수 있다고 밝히기도 했습니다.

트렌드마이크로의 안드로이드 모바일 보안 제품인 트렌드마이크로 모바일 시큐리티(TMMS)와 같은 제품을 사용하면 이러한 악성 앱이 사용자의 기기에 설치되기 전에 이를 탐지해 이러한 종류의 공격으로부터 기기를 보호할 수 있습니다.

연구 보고서: 연변 모바일 갱 - 한국 사용자를 타깃으로 한 모바일 위협
원문: Mobile Malware Gang Steals Millions from South Korean Users