CJ대한통운 사칭 QR 피싱 안드로이드 RAT 유포

CJ대한통운 사칭 QR 피싱 안드로이드 RAT 유포

북한 연계 해킹 위협그룹 김수키(Kimsuky)가 국내 배송사를 사칭한 피싱 페이지에 QR 코드를 삽입하고, 이를 통해 안드로이드 악성앱 설치를 유도하는 공격 정황이 포착됐다. 이번 캠페인은 스미싱 문자나 피싱 이메일을 통해 악성 URL을 유포한 뒤, 사용자를 단계적으로 모바일 환경으로 이동시키는 점이 특징이다.

PC에서 모바일로 유도하는 기기 전환 전략

공격 흐름의 핵심은 기기 전환(PC → 모바일)이다. 사용자가 PC에서 악성 URL을 열면, 페이지는 즉시 QR 코드를 표시하며 “휴대폰으로 스캔해 배송조회 앱을 설치하라”는 안내를 노출한다.

이 과정에서 페이지에는 접속 환경을 판별하는 추적 스크립트가 포함돼 브라우저 정보와 OS를 확인한 뒤, ‘국제 통관 보안 정책’이나 ‘보안 모듈 설치 필요’ 같은 문구로 설치를 재촉하는 팝업을 띄운다.

SecDelivery.apk와 내부 로더 구조

QR 코드를 통해 내려받아지는 APK는 SecDelivery.apk로 확인됐다. 이 앱은 단순 배송 조회 앱처럼 보이지만, 내부에 암호화된 추가 APK를 숨겨두고 실행 시 이를 복호화해 로딩하는 다단계 로더 구조를 가진 것으로 분석됐다.

내부 APK가 로딩되면 MainService 같은 서비스가 등록되며, 본격적인 원격제어(RAT) 기능이 활성화된다. 안드로이드의 ‘알 수 없는 출처’ 설치 경고에 대해서는 “공식 앱” “안전한 앱”이라는 설명으로 사용자를 속이는 사회공학 기법이 함께 사용됐다.

OTP 인증 화면으로 신뢰 확보

악성앱은 설치 직후부터 민감한 권한을 단계적으로 요구한다. 외부 저장소 접근, 인터넷 사용, 추가 패키지 설치 권한을 확보한 뒤에야 내부 APK를 활성화하는 방식이다.

외부 저장소 접근 및 관리 권한 요청
네트워크 통신 권한 확보
추가 APK 설치 및 서비스 등록

이후 화면에는 실제 배송 서비스처럼 보이도록 꾸민 OTP 인증 화면이 등장한다. 사용자가 배송번호를 입력하면 임의의 6자리 인증코드를 생성해 알림으로 보여주고, 이를 다시 입력하도록 유도해 신뢰를 극대화한다.

정상 페이지 표시 뒤 은밀한 RAT 통신

인증 절차가 끝나면 화면에는 정상 배송조회 페이지를 웹뷰(WebView)로 띄워 사용자의 의심을 낮춘다. 그러나 그 사이 백그라운드에서는 공격자 서버와의 통신이 시작된다.

해당 RAT는 키로깅, 오디오 수집, 카메라 제어, 파일 조작, 명령 실행, 위치·SMS·연락처·통화기록 수집 등 광범위한 원격 명령을 수행할 수 있으며, 내려보낼 수 있는 명령 수는 수십 개에 달하는 것으로 분석됐다.

배송 앱을 넘어 에어드랍·VPN 위장

이번 공격은 배송 앱 위장에 그치지 않았다. 동일 계열로 추정되는 샘플 중에는 ‘에어드랍(Airdrop)’ 서비스로 위장한 앱과, 구글 플레이에 등록된 정상 VPN 앱 APK에 악성 기능을 삽입해 재패키징한 사례도 함께 확인됐다.

이는 정상 앱의 신뢰를 악용해 설치 성공률을 높이려는 시도로, 단순 위장 앱 제작을 넘어선 고도화된 유포 전략으로 평가된다.

보안 관점에서의 대응 포인트

보안 담당자들은 이번 사례의 핵심 위험 신호로 “QR 코드 자체”가 아니라 QR이 연결하는 출처 불명 URL과 알 수 없는 출처 앱 설치 유도를 꼽는다.

배송 안내 문자는 공식 앱에서 직접 확인
모바일 단말의 사이드로딩 설정 점검
MDM으로 알 수 없는 출처 설치 차단
과도한 권한 요구 시 즉시 설치 중단

특히 “통관 보안 정책” “보안 모듈 설치”처럼 불안을 자극하는 문구로 설치를 재촉하는 경우는 전형적인 사회공학 신호로 인식해야 한다. 개인과 조직 모두 사용자 교육과 신고·차단 프로세스를 병행하는 것이 중요하다.