사이버 보안 기업 카스퍼스키는 청첩장을 통해 안드로이드 기기 사용자에게 멀웨어(악성코드)를 유포한 사례를 발견했다고 18일 밝혔다.
카스퍼스키에 따르면 공격자는 청첩장으로 위장한 링크를 배포해 사용자가 뱅킹 트로이 목마인 숨니봇(SoumniBot)을 내려받도록 속였다. 이 링크는 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장으로, 링크를 누르면 숨니봇 멀웨어를 내려받도록 유도하는 악성 웹사이트로 연결된다. 카스퍼스키는 “이는 개인의 보안뿐만 아니라 가족 전체의 금융 시스템까지 위협할 수 있다”고 했다. 카스퍼스키는 지난해 8월부터 이뤄진 이 악성 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다.
숨니봇은 설치되면 은밀하게 작동한다. 주요 특징으로는 ▲쉽게 탐지되지 않도록 앱 아이콘 숨기기 ▲연락처, SMS 메시지, 사진 및 동영상 탈취 ▲한국 은행에서 사용하는 디지털 인증서 탈취 ▲피해자 기기에서 임의의 문자 메시지 전송 ▲15초마다 수집된 데이터를 공격자가 제어하는 서버로 전송 등이 있다.
카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌은 “숨니봇은 안드로이드 매니페스트 처리(Android manifest processing)의 약점을 악용해 잠재적인 보안 조치를 우회한다”고 설명했다.
이효은 카스퍼스키 한국지사장은 “사용자가 실수로 이 함정에 걸리면 숨니봇은 뒷단에서 조용히 개인 데이터 및 은행 디지털 인증서와 같은 중요한 정보를 훔치고, 심지어 승인 없이 문자 메시지를 전송해 사용자에게 막대한 피해를 입힐 수 있다”며 “출처가 불분명한 초대에 주의하고 다운로드를 유도하는 링크 클릭을 자제할 것을 당부한다”고 말했다.