QR코드에 악성코드가? '큐싱', 예방법

QR코드에 악성코드가? '큐싱', 예방법

- AhnLab 보안정보  2015년 6월 2일 -

스미싱에 이어 최근에는 QR코드를 통해 악성 링크로 접속을 유도하거나 

직접 악성코드를 심는 '큐싱(Qshing)'이 등장했다. 

예방법을 알아본다.

최근 큐싱 사기 피해가 발생하면서 스마트폰 사용자들의 각별한 주의가 요구된다. 금융감독원에 따르면, 한 피해자는 거래 은행에서 스마트뱅킹으로 자금이체를 진행하던 중 추가인증이 필요하다며 QR코드가 나타난 메시지에 따라 앱 설치 후 보안카드를 비추었다. 순간 금융사기로 인식돼 동작은 중단됐지만 통신사에 확인한 결과 게임머니 35만 원이 소액결제 처리됐다.  이처럼 금융사기 수법은 점점 진화하고 있다. 이 글에서는 안드로이드 기반 스마트폰 사용자를 노리는 악성코드의 유포 방식 중 하나인 ‘큐싱(Qshing)’에 대해 알아본다.

큐싱이란, QR코드와 피싱(Fishing)의 합성어로, 사용자를 속이기 위한 한 단계 진화된 금융사기 수법이다. 해커는 안드로이드 기반의 스마트폰 뱅킹 사용자에게 인증이 필요한것처럼 속인 후, QR코드를 통해 악성 앱을 다운로드받도록 유도한다. 사용자 스마트폰에 악성 앱이 설치되면 이를 이용해 해커는 보안카드, 전화번호, 문자메시지 등의 정보를 탈취하고 문자 수신을 방해한다. 큐싱 사기 진행 과정은 [그림 1]과 같다.

▲ [그림 1] 큐싱 사기 진행 과정 <출처 : 금융감독원>

그동안 안드로이드 사용자를 겨냥한 대부분의 모바일 악성코드 유포는 스미싱을 통해 이루어졌다. 하지만, 이러한 스미싱 형태의 악성 앱에 대한 정보가 사용자들에게 널리 알려지면서 악성코드 제작자는 새로운 유포 방식이 필요했고, 그중 하나가 큐싱의 형태이다. 

큐싱 사기 사례를 살펴보자. [그림 2]는 뱅키(Banki)류 악성코드에 감염된 상태에서 사용자가 정상적인 포털 사이트 주소를 입력하고 접속했을 때의 화면이다. 하지만 악성코드에 의해 금융감독원을 사칭한 페이지가 나타나고, 각 은행별로 보안 인증절차를 요구하고 있다.

▲ [그림 2] 금융감독원 사칭 페이지

팝업 이미지를 통해 가짜 은행 사이트로 접속하면, 실제 은행 사이트와 매우 유사하거나 동일하게 구성된 페이지가 나타난다. 이후 [그림 3]과 같이 개인정보와 금융정보 입력을 요구하는 창이 뜬다.

▲ [그림 3] 개인정보 탈취 페이지  

▲ [그림 4] 금융정보 탈취 페이지

개인정보와 금융정보를 입력하면 [그림 5]와 같이 인증 절차 신청이 접수됐음을 알려주는 메시지로 계속 사용자를 속인다.

▲ [그림 5] 허위 인증절차 신청 팝업

이후 “전자 금융 사기 예방 서비스” 페이지에서 QR코드를 통해 추가로 악성 앱 설치를 유도한다.

 ▲ [그림 6] QR코드를 악용한 악성 앱 다운로드 유도 페이지

스마트폰으로 [그림 6]의 QR코드를 스캔하면 http://www.sjdknn.com/appmgr.apk로 연결되며, 악성 앱을 다운로드받는다. 이러한 악성 앱은 개인정보 및 금융정보를 탈취하여 사용자에게 금전적인 피해를 줄 수 있다.

스마트폰 사용이 보편화되면서 금전을 목적으로 하는 악성 앱은 계속 진화하고 있다. 이러한 악성 앱은 문자 메시지에 포함된 URL, QR코드, SNS(Social Networking Service), 사설 앱 마켓 등을 통해 정상 앱을 사칭해 유포된다. 따라서 사용자는 공식 마켓 외에 출처가 불분명한 곳에서 다운로드 받지 않도록 주의하고, “알 수 없는 출처(소스)”의 허용 금지로 설정해야 한다. 공식 마켓에서도 악성 앱이 유포되는 경우가 있기 때문에 다운로드 전에는 평판 정보를 확인하는 것이 좋다. 또한, 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고 최신 버전을 유지하는 것이 중요하다. 이러한 악성 앱은 기기관리자 권한을 획득하는 경우가 많다. 기기관리자 권한을 획득한 악성 앱이 설치된 경우에는 스마트폰을 안전모드로 부팅한 후 [설정] → [보안] → [기기관리자(디바이스 관리자 or 휴대폰 관리자)] 메뉴에서 기기관리자 권한을 비활성화한 후 해당 앱을 삭제할 수 있다.

- AhnLab  ASEC 대응팀 이도현 선임연구원 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23719&dir_group_dist=0>