글로벌 사이버 보안 기업인 카스퍼스키(지사장 이효은)는 오늘, 사이버 범죄자들이 인생에서 가장 소중한 기념일인 결혼식 청첩장을 악용하여 안드로이드 기기 사용자에게 멀웨어를 유포하고 있다고 밝혔다. 카스퍼스키 연구원들은 공격자가 청첩장으로 위장한 링크를 배포하여 피해자가 2024년에 카스퍼스키가 처음 발견한 뱅킹 트로이 목마인 숨니봇(SoumniBot)을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다.
이 스캠은 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장으로 보이는 링크를 전송하는 방식으로 작동한다. 하지만 링크를 클릭하면 주로 한국 온라인 뱅킹 사용자를 대상으로 하는 숨니봇(SoumniBot) 멀웨어를 다운로드하도록 유도하는 악성 웹사이트로 연결되며, 개인의 보안뿐만 아니라 가족 전체의 금융 시스템까지 위협할 수 있다. 카스퍼스키 전문가들은 2024년 8월부터 활동한 이 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다.
숨니봇(SoumniBot)은 일단 설치되면 은밀하게 작동되며, 쉽게 탐지되지 않도록 앱 아이콘 숨기기, 연락처, SMS 메시지, 사진 및 동영상 탈취, 한국의 은행에서 사용하는 디지털 인증서 탈취, 피해자 기기에서 임의의 SMS 메시지 전송, 15초마다 수집된 데이터를 공격자가 제어하는 서버로 전송한다.
이 악성코드는 압축 방법 조작, 매니페스트 크기 변조, 분석 도구를 압도하는 매우 긴 이름 공간 문자열(long namespace strings) 사용 등 3가지 정교한 기술 수법을 사용하여 탐지 시스템을 회피한다. 특히 숨니봇은 한국 은행에서 사용하는 디지털 인증서를 표적으로 삼아 공격자가 인증 방법을 우회하고 피해자의 계정을 탈취할 수 있다는 점이 우려된다. 청첩장 미끼는 사회적 신뢰와 감정적 조작을 이용해 기존 피싱 캠페인보다 높은 감염률을 달성하는 악성코드 배포 전술의 진화를 보여주는 우려되는 사례다.
