본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

택배 사칭 스미싱 사기 주의!

보안공지 2023-01-05



악성 인터넷 주소가 포함된 문자메시지를 보내 개인정보를 빼내는 ‘스미싱’ 수법! 이 스미싱 수법에 활용되는 악성 앱이 갈수록 정교해지고 있습니다. 예전부터 택배사를 사칭한 내용은 지속해서 발견되었는데 최근 크리스마스와 연말 파티로 인해 택배 주문량이 많이 증가함에 따라 택배 스미싱 또한, 많이 발견되고 있는 추세입니다.


No
보이스피싱
1
[로젠]송장번호(5891***********90) 주소불일치로물 품보관 중입니다: hxxps[:]//xxx.kr/18yv9
2
[로젠]송장번호(5912**************926)"주"소불일치로 물품보관중입니다  hxxps[:]//xxx.kr/18zh1
3
[로젠택.배]고객 당신의 물품 배송 실패 주소 오류 즉시 수령 주소를 수정 하세요: hxxp[:]//mck.xxxxxxxx[.]com
4
[로젠]고객 당신의 택배 배송 실패 주소가 잘못되었으니 즉시 수정하여 주문 처리하십시오 bdx.xxxxxxxx[.]com
5
로젠택배.고객님 택배 배송 불가 주소 부정확한 반송 처리중 주문 즉시 수정 부탁드립니다 sko.xxxxxxxx[.]com

[표 1] ESRC 최근 수집한 데이터 참고

 

택배 스미싱의 주요 내용으로는 배송 실패가 주를 이루고 있으며 악성 앱이 정교해질 뿐 기존에 문자들과 크게 차이가 없습니다. 단축 URL을 통한 악성 앱 유포도 동일하기 때문에 스미싱의 예방 방법은 생각보다 간단합니다. 문자에 포함된 URL 링크를 클릭하지 않도록 하고 실수로 다운로드한 악성 앱이라도 설치하지 않으면 됩니다.

 

앱 정보 및 실행 화면


[그림 1] 배포 사이트

 

문자에 포함된 링크를 누르면 [그림 1]과 같은 사이트로 이동합니다. 겉보기에는 정상적인 사이트 같지만, URL이 실제 사이트와 다릅니다. 또한, 조회를 위해 핸드폰 번호를 입력할 텐데 무분별한 다운로드를 방지하기 위해 미리 등록된 번호를 체크합니다. 배포 사이트에 등록된 번호가 아니라면 입력 번호 오류를 표시하고 3번 시도 후에는 이상하게도 CJ 대한통운 사이트로 이동시킵니다.


[그림 2] 다운로드 사이트

 

공격자가 미리 정해놓은 번호를 입력했을 경우 [그림 2]와 같은 페이지로 이동하며 앱 다운로드가 가능합니다. 설치 후 조치 방법에 대해서도 자세하게 설명하고 있으므로 정상적인 페이지로 오인할 수 있습니다.


[그림 3] 앱 정보

 

다운로드 받은 앱의 경우 사용자를 속이기 위해 아이콘과 이름을 로젠택배로 사칭하고 있습니다.


[그림 4] 추가 앱 설치


앱을 실행하면 가장 먼저 추가 앱 설치를 유도하고 설치하지 않으면 다음 화면으로 넘어가지 않습니다. 실질적인 악성 행위를 담당하기 때문에 정상적인 보안 앱의 이미지를 사칭하여 설치를 유도합니다.


[그림 5] 앱 실행 화면


앱을 실행하면 실제 로젠택배처럼 인트로 화면을 표시하고 이용약관 및 동의를 구하고 있습니다. 이는 실제 기능이 없는 보여주기식 화면입니다.


[그림 6] 앱 실행 화면


다음으로 전화번호 인증하는 화면이 정상적인 앱과 동일하여 구분이 어렵습니다. 휴대전화 인증도 공격자가 미리 등록한 번호가 아니면 다음 화면으로 넘어가지 않습니다.


[그림 7] 앱 실행 화면


모든 인증 과정을 수행하면 네트워크 연결 상태가 좋지 않다는 문구와 함께 이미지를 띄우고 더 이상 동작하지 않습니다.

 분석 글에서는 보이스 피싱에 사용되는 악성 앱 “Spyware.Android.Agent”를 살펴보도록 하겠습니다.


분석 - 초기 설정


[그림 8] 초기 루틴

 

앱 실행 시 가장 먼저 3가지의 함수가 실행되는데 initView, initData, initListener 순서대로 동작합니다.


[그림 9] initView


미리 만들어둔 피싱 페이지의 URL을 불러와 화면에 표시합니다.


[그림 10] initData

 

2번째 함수는 메일을 통해 폰 번호를 전달하려고 작성한 소스로 보이는데 설치 알림만 전송되고 있습니다.


[그림 11] initListener


버전을 체크한 후에 리소스에 저장된 xx.apk 추가 앱을 설치하고 실행합니다.


코드 분석 - 기능 설명면

악성 앱의 주요 행위는 다음과 같습니다.

  • 통화
    • 통화 착, 발신 기록
    • 통화 강제 종료
    • 통화 기록 탈취
    • 통화 기록 삭제
  • 문자
    • 전송
    • 탈취
  • 음성 녹음 및 탈취
  • 연락처 탈취
  • 갤러리 탈취
  • C2 서버 교체
  • C2 명령 수행


[그림 12] 추가 앱 시작


추가로 설치한 악성 앱은 다양한 기능을 수행하기 위해 서비스를 실행하고 기기 관리자를 등록합니다. 또한, setComponentEnabledSetting 설정을 통해 아이콘을 숨기고 있습니다.


[그림 13] 전화 기록 삭제

 

원하는 전화 기록을 삭제할 수 있습니다.


[그림 14] 전화 기록 전송


이전에 전화했던 기록을 모아 서버로 전송합니다.


[그림 15] 통화 상태 확인


발신 전화와 착신 전화에 대한 상태를 실시간으로 서버에 전송합니다. 착신 전화의 경우 무음과 벨소리 모드에 대해서도 설정할 수 있으며 강제 종료할 수도 있습니다.


[그림 16] 메시지 탈취

 

실시간 받은 문자 메시지를 서버로 전송하여 탈취하고 있습니다.


[그림 17] C2 교체

 

실시간으로 받은 문자를 수집하기도 하지만 C2 서버를 교체할 때도 사용하고 있습니다. 문자 내용에 링크를 포함할 때 해당 링크를 C2로 변경합니다.


[그림 18] 앱 목록 탈취

 

설치된 앱 패키지 이름을 가져와 서버로 전송하여 탈취합니다.


[그림 19] 갤러리 탈취

 

갤러리에 저장된 이미지 파일을 서버로 전송합니다.


[그림 20] 녹음 파일 탈취


사용자 몰래 주변 소리를 녹음하거나 통화를 녹음하여 파일로 저장하고 한 번에 서버로 전송합니다.

 

[그림 21] 앱 목록

 

악성 앱의 행위를 방해하는 앱 목록을 작성해두었고 설치되어 있는지 체크합니다. 유사한 악성 앱에서는 제거 문구를 띄워 삭제를 진행했는데 현재 앱은 설치 여부만 체크하여 서버로 전송할 뿐 삭제하는 코드는 존재하지 않았습니다.


[그림 22] C2


각종 정보를 탈취하는 서버의 주소와 중요한 문자열들은 난독화 처리되어 있으므로 간단한 XOR 연산을 통해 실제 C2 주소를 확인할 수 있습니다.

 

 

결론


[그림 23] 다른 앱

 

공격자가 유포 중인 또 다른 앱으로 택배 사칭부터 갤러리, 모바일 청첩장까지 확대한 것을 볼 수 있습니다. 공격자는 여전히 스미싱 문자를 지속해서 배포 중이며 새로운 악성 행위를 시도할 수 있으므로 앱을 설치하지 않게 사용자의 주의가 요구됩니다.


 

현재 알약 M에서는 해당 악성 앱을 "Spyware.Android.Agent" 탐지 명으로 진단하고 있습니다.