- 여성가족부 공식 서비스 사칭한 악성 앱 유포 피싱사이트 탐지
- ‘성범죄자 신상정보 고지서’ 확인 심리 악용해 접속 유도
- 전화번호 등 개인정보 탈취 후 추가 악성 앱 설치까지 이어지는 구조
1. 개요
최근 '악성 URL 탐지·분석 서비스인 AskURL'을 통해 여성가족부의 ‘성범죄자 알림e’ 서비스를 사칭해 악성 앱 설치를 유도하는 피싱사이트가 탐지되었습니다.
[그림 1] AskURL 탐지화면
해당 피싱사이트는 정부 공식 서비스인 ‘성범죄자 알림e’ 앱과 유사한 형태로 제작되어, 일반 사용자가 정상 서비스로 오인하고 악성 앱을 다운로드하도록 유도하는 것으로 분석되었습니다. 특히 성범죄자 신상정보 고지서는 이용자들이 일상의 안전을 위해 습관적으로 확인하는 정보라는 점을 악용해, 의심 없이 접근하도록 유도하는 특징을 보였습니다.
이에 이번 분석보고서를 통해 해당 악성앱의 행위와 특징을 분석하여 피해를 예방하고자 합니다.
2. 분석
① 피싱 공격 순서
피싱 공격은 아래 그림과 같이 우리가 일상에서 주고 받는 메시지 경로(문자, 메신저, 이메일 등) 시작됩니다. 메시지 발신자가 공공기관(여성가족부)이고 내용이 '성범죄자 신상정보 모바일 고지' 이기 때문에 이용자는 아무런 의심없이 '모바일(앱) 다운로드' 버튼을 누르게 될 확률이 높았습니다.
② 모바일(앱) 다운로드 실행 시
▶ 앱을 실행하게 되면 다음과 같이 전화번호 관련 권한에 대한 요청을 수행합니다.
[그림 2] 전화번호 관련 요청
▶ 해당 앱에서 주요 권한 요청은 다음과 같고, 아래표에는 각 권한에 대한 설명과 중요하게 확인할 부분을 나타냅니다.
[그림 3] 앱에 주요 권한 요청
|
권한 목록
|
설명
|
|
android.permission.INTERNET
|
인터넷 접속 허용, 앱에 네트워크 통신을 위해 사용
|
|
android.permission.ACCESS_NETWORK_STATE
|
현재 네트워크 연결 상태 확인
|
|
android.permission.READ_PHONE_STATE
|
기기 식별자, 통화 상태 등 전화 정보 읽기
|
|
android.permission.READ_PHONE_NUMBERS
|
기기에 등록된 전화번호 읽기
|
|
android.permission.REQUEST_INSTALL_PACKAGES
|
외부 APK 파일 설치 요청 가능
|
▶ 앱에 주요 행위를 수행하는 코드 부분을 보면 우선 해당 피싱 앱에서 다른 앱을 실행하고자 하는 행위가 확인됩니다.
▶ 이는 해당 앱과 연계하여 악성 행위를 수행하고자 하는 것으로 확인됩니다.
▶ 이후, 악성 행위 관련 증거들을 없애기 위해 캐시 파일을 삭제하는 행위를 추가적으로 수행합니다.
[그림 4] 다른 앱 실행 시도
▶ 만약 실행하고자 하는 앱이 없을 경우 아래와 같은 행위들을 수행하게 됩니다.
▶ 우선, 다음과 같은 권한을 요청하는 행위를 수행합니다.
[그림 5] 권한 관련 요청
▶ 요청하는 주요 권한은 다음과 같이 전화 관련된 부분이고, 이로 인해 그림 2와 같이 사용자에게 권한을 요청하는 행위가 수행됩니다.
[그림 6] 요청되는 권한
▶ 이후에는 사용자 식별을 위한 랜덤 UUID를 생성하고, C2 서버 관련 설정을 진행합니다.
[그림 7] 랜덤 UUID 생성 및 C2 서버 관련 설정
▶ C2 서버는 다음 IP로 전송하는 것을 확인할 수 있습니다.
[그림 8] C2 서버 주소
▶ 이후, 전화번호 수집 행위를 다음과 같이 진행하게 됩니다.
[그림 9] 전화번호 수집
▶ 전송 관련된 부분은 랜덤으로 생성한 UUID, 전화번호, 핸드폰 유형, record를 GET 방식으로 다음과 같이 전송하게 됩니다.
전송하는 곳은 104[.]192[.]224[.]132/re_url입니다.
[그림 10] 전송 관련 부분
▶ 이후, 전송 이후 추가적인 2차 페이로드 APK 다운로드하고 설치하는 악성 행위를 다음과 같이 수행하게 됩니다.
[그림 11] 2차 페이로드 APK 악성 다운로드 수행 부분
▶ 마지막으로 설치한 2차 페이로드 APK를 실행하는 과정까지 진행하게 됩니다.
[그림 12] 2차 페이로드 APK 실행 부분
3. 결론
‘성범죄자 알림e’ 서비스는 여성가족부가 운영하는 공식 제도로, 아동·청소년 대상 성범죄자의 신상정보를 공개하여 국민의 안전을 확보하고 범죄를 예방하기 위한 목적을 가지고 있습니다. 해당 서비스는 정부 공식 홈페이지 및 검증된 애플리케이션을 통해서만 제공되며, 문자나 외부 링크를 통해 별도의 앱 설치를 요구하지 않습니다.
공공기관 서비스를 사칭한 피싱은 사용자가 경계심이 낮아질 수 있습니다. 특히 앱 설치를 유도하는 경우 단순 피싱을 넘어 악성코드 감염으로 이어질 수 있어 각별한 주의가 필요합니다. 출처가 불분명한 링크나 문자 메시지를 통해 앱 설치를 유도하는 경우 반드시 의심하고, 공식 앱스토어를 통해서만 설치하는 습관이 중요합니다.
의심되는 사이트는 악성 URL 분석 서비스(AskURL) 등을 통해 사전 확인하는 것이 피해를 예방하는 가장 효과적인 방법입니다.
AI로 보안의 가치를 더하는 기업, 누리랩
[ 홈페이지→ ]
'보안 리포트 및 칼럼' 카테고리의 다른 글
| 미국 VS 이란 전쟁... 최근 중동 정세를 악용한 피싱·스미싱 각별히 주의하세요! (0) | 2026.04.10 |
|---|---|
| [칼럼] 디지털 성범죄와 불법 도박 피해 예방, 교묘하게 위장한 덫부터 찾아내야 한다! (0) | 2026.04.03 |
| [칼럼] 캄보디아 범죄 조직, 중고나라 67억 사기 행각 (0) | 2026.03.23 |
| Nova Shadow Stealer 악성코드 분석 보고서 (0) | 2026.03.16 |
| Expiro 악성코드 분석 보고서 (0) | 2026.03.06 |