- 한국 온라인 뱅킹 사용자를 대상으로 청첩장 링크를 클릭하면 숨니봇 멀웨어가 설치
- 개인 데이터 및 은행 디지털 인증서 등의 중요한 정보 훔쳐
카스퍼스키는 오늘 사이버 범죄자들이 인생에서 가장 소중한 기념일인 결혼식 청첩장을 악용하여 안드로이드 기기 사용자에게 멀웨어를 유포하고 있다고 밝혔다. 카스퍼스키 연구원들은 공격자가 청첩장으로 위장한 링크를 배포하여 피해자가 2024년에 카스퍼스키가 처음 발견한 뱅킹 트로이 목마인 ‘숨니봇(SoumniBot)’을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다.
이 스캠은 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장으로 보이는 링크를 전송하는 방식으로 작동한다. 하지만 링크를 클릭하면 주로 한국 온라인 뱅킹 사용자를 대상으로 하는 숨니봇(SoumniBot) 멀웨어를 다운로드하도록 유도하는 악성 웹사이트로 연결되며, 개인의 보안뿐만 아니라 가족 전체의 금융 시스템까지 위협할 수 있다. 카스퍼스키 전문가들은 2024년 8월부터 활동한 이 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다.
카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌(Dmitry Kalinin)은 “이 공격자들은 청첩장을 악용하여 특히 사회공학 기법을 매우 효과적으로 활용하고 있다. 이것을 악의적이라고 즉시 의심하는 사람은 거의 없다”고 설명하고, “항상 그렇듯이 멀웨어 제작자는 숨어 있으면서 가능한 한 많은 디바이스를 감염시키려고 한다. 숨니봇은 안드로이드 매니페스트 처리(Android manifest processing)의 약점을 악용하여 잠재적인 보안 조치를 우회하는 완벽한 예시"라고 밝혔다.
카스퍼스키 이효은 한국지사장은 "숨니봇은 따뜻하고 신뢰할 수 있는 행사를 악용했다. 악성 링크를 청첩장으로 위장하고 매우 은밀한 방법으로 한국 온라인 뱅킹 사용자를 노리고 있다”고 밝히고, “사용자가 실수로 이 함정에 걸리면 숨니봇은 뒷단에서 조용히 개인 데이터 및 은행 디지털 인증서와 같은 중요한 정보를 훔치고, 심지어 승인 없이 문자 메시지를 전송하여 사용자에게 막대한 피해를 입힐 수 있다. 따라서 사용자들은 출처가 불분명한 초대에 주의하고 다운로드를 유도하는 링크 클릭을 자제할 것을 당부한다”고 덧붙였다.
숨니봇(SoumniBot)은 일단 설치되면 은밀하게 작동되며 ▲쉽게 탐지되지 않도록 앱 아이콘 숨기기 ▲연락처, SMS 메시지, 사진 및 동영상 탈취 ▲한국의 은행에서 사용하는 디지털 인증서 탈취 ▲피해자 기기에서 임의의 SMS 메시지 전송, ▲15초마다 수집된 데이터를 공격자가 제어하는 서버로 전송한다.
이 악성코드는 압축 방법 조작, 매니페스트 크기 변조, 분석 도구를 압도하는 매우 긴 이름 공간 문자열(long namespace strings) 사용 등 3가지 정교한 기술 수법을 사용하여 탐지 시스템을 회피한다. 특히 숨니봇은 한국 은행에서 사용하는 디지털 인증서를 표적으로 삼아 공격자가 인증 방법을 우회하고 피해자의 계정을 탈취할 수 있다. 청첩장 미끼는 사회적 신뢰와 감정적 조작을 이용해 기존 피싱 캠페인보다 높은 감염률을 달성하는 악성코드 배포 전술의 진화를 보여주는 우려되는 사례이다.
#카스퍼스키#숨니봇#청첩장#안드로이드#멀웨어#
