포스팅 내용

악성코드 분석 리포트

지속적으로 이용자들을 위협하는 배송 스미싱 문자 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


실제 국내 운송 업체를 사칭한 '배송 스미싱' 문자가 최근에도 지속적으로 많이 퍼지고 있어 이용자들의 주의를 당부드립니다.



최근에 발견되고 있는 배송 스미싱 문자는 주소지 변경, 택배 분실로 인한 보상 안내 내용을 담고 있습니다. 특히나 PC나 스마트폰 등으로 온라인 쇼핑을 주로 하는 이용자들의 경우 자칫 자신의 상품이 중간에 잘못된 것으로 오인할 수 있습니다. 


[그림 1] 배송 스미싱 문자 - 주소지 변경


[그림 2] 배송 스미싱 문자 - 택배 분실 보상 안내


이용자가 자신의 물품이 잘못된 것으로 착각하여 문제 해결을 위해 스미싱 문자에 있는 단축 URL을 클릭할 경우, 휴대폰 번호 입력을 유도하는 스미싱 사이트로 접속이 됩니다. 입력 폼에 번호 기입 후 조회 버튼을 누를 경우, 화면이 바뀌면서, '(휴대폰 번호).apk'가 다운로드 됩니다. 


[그림 3] 배송 사이트로 위장한 스미싱 사이트


다음은 정상적으로 다운로드가 되었을 경우 나오는 페이지 화면입니다. 본 화면에서는 어눌한 문구로 휴대폰 보안 설정 중 '알수 없는 출처'를 활성화하도록 유도하는 내용을 소개하고 있습니다. '알수 없는 출처' 기능은 서드 파티에서 설치되는 앱을 차단하는 기능을 가지며, 보안 상 기본적으로 비활성화되어 있습니다. 만일 해당 기능을 활성화할 경우, 다운로드된 악성앱을 설치할 수 있어 보안에 위협이 될 수 있습니다.


[그림 4] '알 수 없는 출처' 기능을 활성화 유도하는 페이지


다운로드 받은 악성앱은 'CJ대한통운 택배.' 이름으로 설치가 되며, '전화번호 자동 연결', '내 문자 메시지 읽기', '문자 메시지 받기', 'SMS 메시지 전송 및 보기' 권한을 요구합니다.


[그림 5] 'CJ대한통운 택배.' 설치 화면


설치되어 실행되는 앱은 '주소지 변경'이나 '보상 안내'와 무관하게 수신된 SMS 문자 메시지를 공격자의 C&C(1.163.30.235)로 전송하는 기능을 수행합니다. 이를 통해 중요한 개인 정보가 유출될 수 있어 주의가 필요합니다.


[그림 6] 수신된 SMS 문자 메시지를 수집하는 코드


따라서 출처가 불분명한 SMS 메시지에 있는 단축 URL에 대한 접근을 삼가주시고, 다음의 포스트를 참고하여 모바일 보안을 지킬 수 있도록 당부드립니다.


※ 참고글 : 스마트폰에도 백신이 필요한가요? 모바일 보안, 우리가 꼭 지켜야 할 몇 가지 ▶ 자세히 보기


관련 악성앱은 알약M에서 'Trojan.Android.SmsSpy'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage