최근 성행하고 있는 스마트폰을 통한 금융정보유출된 정황을 실제로 보여주는 동영상이 공개됐다. 국내 한 보안분석팀은 악성코드에 감염된 스마트폰으로부터 공인인증서와 감염시간 전화번호, 메모장 파일 등의 파일이 저장된 미국과 태국 소재 서버에 직접 접속해 관련 내용을 확인했다.
16일 국내 보안분석팀인 '레드어럴트(Red Alert)'팀의 분석보고서 및 동영상에 따르면 실제 사용자들의 데이터는 미국 로스엔젤레스 소재 서버에, 감염된 스마트폰 번호들은 태국에 위치한 서버에 저장돼 있었다.
레드어럴트 팀은 안드로이드 기반 스마트폰에서 공인인증서, 사진, 메모 등이 유출된 곳을 역추적한 결과를 이 같이 밝혔다.
탈취된 파일은 해커가 운영하는 서버에 일목요연하게 정리돼 있었다. 스마트폰 전화번호와 국제모바일기기 식별코드(IMEI) 정보를 등이 폴더 형태로 저장돼있으며, 하부 폴더에는 감염된 기기의 사진, 메모, 공인인증서를 저장한 별도의 폴더들을 두고 있다.
![](https://image.zdnet.co.kr/2013/03/16/rrDhZz8sGRJGrf3A8KM2.jpg)
![](https://image.zdnet.co.kr/2013/03/16/dM2smazu2NVgodSrDXzM.jpg)
해커는 무료쿠폰 등을 위장한 문자메시지를 통해 악성 애플리케이션(앱) 설치를 유도한 뒤 현재 스마트폰 번호와 시간을 조사해 'http://110.**.***.**/BBB.php'로 전송한다. 그 뒤 감염된 스마트폰에서 와이파이를 활성화 시켜 시큐어 쉘(SSH)을 이용해 공격자의 시스템에 접속하도록 유도한다. 그 다음으로 공인인증서가 저장된 NPKI폴더 내용과 메모 등을 압축해서 공격자의 서버로 전송한다.
감염자의 스마트폰은 완전히 장악돼 15**-****와 같이 주로 소액결제인증 문자 등에 사용되는 전화번호로부터의 전화수신이 차단된다. 이외에 전화번호를 차단하기 위해 한국주택금융공사(1688-8114), 한국정책금융공사(1644-4100) 등으로부터 송신되는 정보를 차단하는 한편 문자메시지를 공격자의 'http://110.**.***.**/AAA.php'로 전송한다.
관련기사
- 스마트폰 공인인증서 탈취앱 등장2013.03.16
- 안랩, 소액결제 악성코드 '체스트' 변종 급증2013.03.16
- 공인인증서 해킹이 위험한 진짜 이유2013.03.16
- 공인인증서 무더기 유출...금융권 '비상'2013.03.16
레드어럴트 팀은 안드로이드 스마트폰 내에 애플리케이션 관리 항목에서 'SmsProtect'라는 앱이 설치돼 있을시 이를 제거해야 한다고 당부했다.
자세한 동영상 내용은 https://www.facebook.com/video/embed?video_id=443634565713601에서 확인할 수 있다.