[한스경제=김종효 기자] 글로벌 사이버 보안 기업 카스퍼스키는 사이버 범죄자들이 결혼식 청첩장을 악용해 안드로이드 기기 사용자에게 멀웨어를 유포하고 있다고 18일 밝혔다.
카스퍼스키 연구원들은 공격자가 청첩장으로 위장한 링크를 배포해 피해자가 2024년 카스퍼스키가 처음 발견한 뱅킹 트로이 목마 ‘숨니봇(SoumniBot)’을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다.
이 스캠은 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장으로 보이는 링크를 전송하는 방식으로 작동한다. 링크를 클릭하면 주로 한국 온라인 뱅킹 사용자를 대상으로 하는 숨니봇 멀웨어를 다운로드하도록 유도하는 악성 웹사이트로 연결되며 개인의 보안뿐만 아니라 가족 전체의 금융 시스템까지 위협할 수 있다.
카스퍼스키 전문가들은 지난해 8월부터 활동한 이 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다.
카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌은 “이 공격자들은 청첩장을 악용해 특히 사회공학 기법을 매우 효과적으로 활용하고 있다. 이것을 악의적이라고 즉시 의심하는 사람은 거의 없다”며 “항상 그렇듯이 멀웨어 제작자는 숨어 있으면서 가능한 한 많은 디바이스를 감염시키려고 한다. 숨니봇은 안드로이드 매니페스트 처리의 약점을 악용해 잠재적인 보안 조치를 우회하는 완벽한 예시"라고 말했다.
이효은 카스퍼스키 한국지사장은 "악성 링크를 청첩장으로 위장하고 매우 은밀한 방법으로 한국 온라인 뱅킹 사용자를 노리고 있다. 사용자가 실수로 이 함정에 걸리면 숨니봇은 개인 데이터 및 은행 디지털 인증서와 같은 중요한 정보를 훔치고 심지어 승인 없이 문자 메시지를 전송해 사용자에게 막대한 피해를 입힐 수 있다. 따라서 사용자들은 출처가 불분명한 초대에 주의하고 다운로드를 유도하는 링크 클릭을 자제할 것을 당부한다”고 밝혔다.
숨니봇은 일단 설치되면 은밀하게 작동되며 ▲쉽게 탐지되지 않도록 앱 아이콘 숨기기 ▲연락처, SMS 메시지, 사진 및 동영상 탈취 ▲한국의 은행에서 사용하는 디지털 인증서 탈취 ▲피해자 기기에서 임의의 SMS 메시지 전송 ▲15초마다 수집된 데이터를 공격자가 제어하는 서버로 전송한다.
이 악성코드는 압축 방법 조작, 매니페스트 크기 변조, 분석 도구를 압도하는 매우 긴 이름 공간 문자열 사용 등 3가지 정교한 기술 수법을 사용해 탐지 시스템을 회피한다. 숨니봇은 한국 은행에서 사용하는 디지털 인증서를 표적으로 삼아 공격자가 인증 방법을 우회하고 피해자의 계정을 탈취할 수 있다는 점이 우려된다. 청첩장 미끼는 사회적 신뢰와 감정적 조작을 이용해 기존 피싱 캠페인보다 높은 감염률을 달성하는 악성코드 배포 전술의 진화를 보여주는 우려되는 사례다.
카스퍼스키는 숨니봇과 같은 위협으로부터 보호하기 위해 ▲보안 검사를 통해 악성 앱을 걸러내는 공식 스토어에서만 애플리케이션 다운로드 ▲예상치 못한 청첩장이나 기타 감정적인 유혹, 특히 앱 다운로드를 요청하는 경우 주의 ▲앱 권한을 신중하게 확인하고 접근성 서비스와 같은 고위험 권한을 부여하기 전에 두 번 생각 ▲많은 보안 문제가 업데이트를 통해 해결되므로 운영 체제 및 중요한 앱을 최신 상태로 유지할 것 등을 권장했다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
