[아이티데일리] 카스퍼스키(지사장 이효은)는 결혼식 청첩장으로 위장해 안드로이드 기기 사용자에게 멀웨어를 유포하는 공격자를 발견했다고 18일 밝혔다.

카스퍼스키 연구원들은 청첩장으로 위장한 링크를 배포해 멀웨어를 다운로드하도록 속이는 악성 캠페인을 포착했다. 공격에 쓰인 멀웨어는 2024년 카스퍼스키가 처음 발견한 뱅킹 트로이목마 ‘숨니봇(SoumniBot)’으로, 한국 온라인 뱅킹 사용자를 주된 표적으로 삼고 있다.

공격은 잠재적 피해자에게 디지털 청첩장으로 보이는 링크를 전송하는 방식으로 작동한다. 링크를 클릭하면 숨니봇을 다운로드하도록 유도하는 악성 웹 사이트로 연결됐다. 카스퍼스키 연구원은 지난해 8월부터 이뤄진 이 캠페인에서 공격자들이 사용한 도메인 약 400개를 확인했다.

숨니봇은 설치되면 쉽게 탐지되지 않도록 앱 아이콘을 숨긴다. 이후 은밀히 작동하며 피해자 스마트폰에서 연락처, 문자 메시지, 사진 및 동영상을 탈취하며 국내 은행에서 쓰이는 디지털 인증서까지 훔쳤다. 이뿐 아니라 기기에서 임의로 문자 메시지를 보내거나 수집된 데이터를 15초마다 공격자가 제어하는 서버로 전송하는 일까지 가능했다.

특히 숨니봇은 △압축 방법 조작 △안드로이드 매니페스트(Manifest) 크기 변조 △긴 이름 공간 문자열 사용 등 정교한 기술 수업을 사용해 탐지 시스템을 회피한다. 안드로이드 매니페스트란 앱에 대한 필수 정보를 담은 XML 파일로 구성 요소, 권한 요구 사항, 기능 등을 제공한다.

카스퍼스키 위협 연구소 드미트리 칼리닌(Dmitry Kalinin) 멀웨어 분석가는 “이번 공격은 청첩장을 악용해 사회공학 기법을 효과적으로 활용하고 있다”며 “특히 숨니봇은 안드로이드 매니페스트의 약점을 이용해 보안 조치를 우회하는 완벽한 예시”라고 설명했다.

카스퍼스키 측은 숨니봇이 국내 은행에서 사용하는 디지털 인증서를 표적으로 삼아 공격자가 인증 방법을 우회하고 피해자 계정을 탈취할 수 있다는 점을 우려했다. 이어 숨니봇을 비롯한 멀웨어를 막기 위해서는 구글 플레이와 같은 공식 스토어에서만 앱을 다운로드하고, 접근성 서비스와 같은 고위험 권한을 부여하는 데 신중할 필요가 있다고 강조했다.

카스퍼스키 이효은 한국지사장은 “숨니봇은 악성 링크를 청첩장으로 위장해 한국 온라인 뱅킹 사용자를 노리고 있다. 감염되면 데이터와 은행 인증서를 탈취 당하는 등 막대한 피해를 볼 수 있다”며 “사용자들은 출처가 불분명한 초대에 주의하고 다운로드를 유도하는 링크 클릭을 자제할 것을 당부한다”고 밝혔다.