ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 인텔리전스 보고서
HeadCalls 악성앱 상세 분석: 통화를 가로채는 한국 대상 보이스피싱 악성앱
2025.11.18

✅ 보고서 제목: HeadCalls 악성앱 상세 분석: 통화를 가로채는 한국 대상 보이스피싱 악성앱



S2W 위협 인텔리전스 센터 TALON은 2025년 8월 21일부터 국내 모바일 사용자를 대상으로 새로운 유형의 보이스피싱 악성앱이 유포되는 것을 식별했으며, 이에 대한 분석을 진행했습니다.



✅ 보고서 요약:


- 보이스피싱 조직은 금전을 탈취하는 금융 사기를 위해 피싱 페이지 구축 및 안드로이드 악성코드를 개발하여 사용자가 피싱페이지에 접속하고 악성 앱을 설치하도록 유도하는 특징을 보입니다.


- 보이스피싱 악성앱의 핵심 기능은 강수강발(강제수신 및 강제발신)으로, 수사 및 금융기관에 전화를 걸어도 공격자에게 강제로 연결되며, 기관에서 피해자에게 전화가 걸려와도 공격자와 연결되도록 합니다.


- S2W 위협 인텔리전스 센터 TALON은 2025년 8월 21일부터 유포되기 시작한 신규 보이스피싱 악성앱을 식별했으며, 통화 권한이 없을 때 HEADSETHOOK(헤드셋 통화버튼) 이벤트를 통해 통화를 종료하는 특징을 기반으로 HeadCalls Loader와 HeadCalls로 명명했습니다.


- 공격자는 한국소비자원, 서민금융진흥원, 금융사 등을 사칭한 피싱페이지를 구축해 악성앱 다운로드를 유도했습니다.



📌 HeadCalls Loader와 HeadCalls가 무엇인가요?


- 피싱 페이지에서 다운로드되는 앱은 HeadCalls Loader이며, 접근성 서비스를 악용해 HeadCalls 설치, 권한 허용, 가짜 전화 뷰 리다이렉트 등의 과정을 사용자 개입 없이 실행되도록 했습니다.


- HeadCalls Loader에 의해 실행된 HeadCalls는 소켓통신을 통해 포워딩 번호를 수신하고 강수강발 기능을 수행했습니다.



1) HeadCalls Loader란?


- 해당 앱은 로더형 악성코드로, 내부에 저장되어 있는 HeadCalls 악성앱을 드랍하고 설치하도록 구성돼 있습니다. 이 과정에서 접근성 서비스를 악용해 설치, 위험 권한 허용 등 사용자 상호작용이 필요한 절차를 강제로 수행합니다.


- MainActivity 최초 실행 시 asset/web/index.html을 WebView로 표시해 한국소비자원 앱으로 위장합니다.


- 권한 요청이 완료되면 추가 악성앱 설치가 시도되며, 이 추가 앱이 실제 보이스피싱 기능을 수행합니다.



2) HeadCalls란?


- HeadCalls는 Loader에 의해 강제로 설치되고 모든 권한이 허용된 상태로 실행되며 실제 보이스피싱 기능을 수행합니다.


- 전화 포워딩 기능, 화면 오버레이를 통한 가짜 다이얼러 및 통화 화면 표시, C2 서버와의 소켓통신 기반 악성행위 등을 수행합니다.


- 로더 앱 내에 권한 요청을 강제로 수락하도록 하는 접근성 서비스가 구현되어 있어 사용자의 동의 없이 모든 권한에 대한 수락이 이루어집니다.


- HeadCalls에서 요청하는 주요 위험권한

  - 배터리 최적화 제외: 백그라운드 작업이 중단되지 않도록 합니다.

  - 알림 접근 권한: 지속성 유지 목적의 알림 활용이 가능합니다.

  - 다른 앱 위에 그리기 권한: 다른 앱위에 View를 그려 실제 다이얼러를 흉내내 전화 수발신 등이 가능하게 됩니다.



📌 강수강발 및 통화기록 변조는 어떻게 발생되나요?


- 강수강발은 강제수신 강제발신의 줄임말으로, 수사 및 금융기관에 전화를 걸어도 공격자에게 강제로 전화가 연결되거나(강제발신), 수사 및 금융기관에서 피해자에게 전화가 걸려와도 공격자와 전화가 연결(강제수신)되도록 하는 기능을 뜻합니다.


- 악성앱은 최초 실행 시 기본 전화앱으로 설정을 요청하며, 기본 전화앱이 되면 전화 수발신 제어 및 통화기록 조작이 가능합니다. HeadCalls는 이 권한을 이용해 발신과 수신되는 전화 흐름을 조작하고 통화기록을 변조합니다.


- 상세한 전화 강제 수발신 구조가 궁금하다면, 아래 링크를 통해 문의해주세요.



✅ 위협 탐지 권장 사항 및 조치 방안:


- 최근 보이스피싱 악성앱은 등기우편, 대출, 검찰청 사건조회 등을 빌미로 악성앱 설치를 유도하므로, 의심스러운 등기·대출·검찰청 관련 문자나 링크를 클릭하지 않는 것을 권장합니다.



🧑‍💻 보고서 작성자: S2W TALON


👉 보고서 전문 문의하기: https://s2w.inc/ko/contact


*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.


제품
지금 우리 회사에 모의해킹이 필요한 이유
2025.11.13
이전 글
뉴스 하이라이트
11월 2주차 위클리 다크웹
2025.11.19
다음 글
목록