본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

검증 로직이 추가된 택배사 사칭 스미싱 주의!

보안공지 2021-12-02


 

택배 회사를 위장한 스미싱이 유포되고 있어 사용자들의 주의가 필요합니다. 

이번에 유포된 스미싱은 다음과 같은 문구로 유포되었습니다.

 

 

[cj택배] 고객 택배 정보 불명확 처리 불가 발송 즉시 주소 변경

 

 

[그림 1] 택배사 사칭 스미싱 문자



사용자가 스미싱 내 링크를 클릭하면 대한통운을 위장한 피싱 페이지로 이동합니다. 

 

 

[그림 2] 피싱페이지 메인화면

 

 

피싱페이지 메인화면에서 본인확인을 이유로 휴대폰 번호입력을 유도합니다. 

하지만기존과 다르게 입력한 번호를 검증하는 로직이 추가되었으며, 분석을 위하여 임의의 번호를 입력하면 다시 입력하라는 창을 띄웁니다. 번호는 총 3번 입력할 수 있으며, 만일 3번 모두 오류 발생 시 자동으로 실제 cj 사이트로 리디렉션 됩니다. 

 

 

[그림 3] 랜덤한 번호 입력 시 뜨는 오류창

 


번호를 입력 후, 다음단계로 넘어가면 이름과 생년월일을 입력하는 란이 나옵니다. 

 

 

[그림 4] 생년월일 입력 페이지



이름과 생년월일을 입력하면 실제 악성앱을 내려받을 수 있는 페이지로 이동합니다. 

 

 

[그림 5] 악성 앱 다운로드 페이지

 

 

사용자가 만일, 다운로드 된 앱을 사용자 휴대폰에 설치하면, 악성 앱은 자신을 보호하기 위하여 기기 관리자 권한을 요청합니다. 

 

만일, 악성 앱이 기기 관리자 권한을 가지게 되면, 백신 앱이 악성 앱을 제거하기 위해 악성 앱의 기기 관리자 권한을 해제하여야 합니다. 이는 악성 앱의 제거를 어렵게 합니다. 

 

설치가 완료된 악성 앱을 실행하면 다음 그림과 같이 아무런 내용이 없는 화면이 나타나거나 실행이 제대로 되지 않는 것처럼 홈 스크린 화면이 나타납니다. 하지만, 아이콘을 숨기고 백그라운드에서 동작되고 있으며, 설정 내 설치된 애플리케이션 목록에서만 확인이 가능합니다. 

 

설치된 악성앱은 사진, 문자메세지 등 정보들을 탈취하여 C2로 전송합니다. 

 

 

C2정보

ws://61[.]230.203.235[:]8081

 

 

사용자 여러분들께서는 출처불분명한 사용자에게서 온 문자에 포함된 링크의 클릭을 지양해 주시기 바라며, 알약M과 같은 모바일백신을 설치하시기를 권고드립니다. 

 

현재 알약M에서는 해당 악성앱에 대해 Trojan.Android.SmsSpy로 탐지중에 있습니다.