'카카오 P','송금' 키워드를 이용하여 유포중인 스미싱 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.

'카카오P','송금' 등의 키워드를 이용하여 사용자의 클릭을 유도하는 스미싱이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

 

[Web발신] 친구님이 카카오P에서 ******님께 5만원을 송금했습니다. 

안전한 송금 입니다. 친구에게 송금여부를 직접 확인해보세요. 

 

●금액 : 50,000원

●기한 : 2024-01-20 23:59:59까지

 

아래 링크를 통해 송금을 받아주세요. 

hxxps://xg**.kr/***

 

-------------------------

 

이 메세지는 카카오P 클릭참여를 통해 지원되는 이벤트로 발송되었으며, 메세지를 받은 전화번호로만 금액을 수령할 수 있습니다. 

 

 

스미싱 문자에는  '친구가 카카오P에서 5만원을 송금했습니다'라는 문구와 함께 링크가 포함되어 있어 사용자의 클릭을 유도합니다. 

 

문자메세지 내 링크를 클릭하면 피싱 페이지로 이동하는데, 마치 실제 신규 서비스 런칭 페이지처럼 정교하게 제작되어 있습니다. 

[그림 1] 피싱 페이지

 

 

사용자가 피싱 페이지 하단에 [참여하러가기] 버튼을 누르면 '카카오P 참여를 위해해 확인을눌러주세요'라는 팝업이 뜨며, 확인을 누르면 apk가 다운로드 됩니다. 

 

 

[그림 2] 사용자 휴대폰에 설치된 악성앱

 

 

사용자가 내려받은 apk를 실행하면 다음과 같이 바탕화면에 '카카오픽' 이름의 악성 앱이 생성되며 실행 시 전화, SMS, 주소록, 미디어파일 등과 같은 권한들을 요구합니다.  

 

[그림 3] 권한 요구 화면

 

 

사용자가 권한을 모두 허용하여 정상적으로 apk가 설치되면 정상 구글 페이지를 띄우며, 휴대폰에서 자신의 아이콘을 숨김과 동시에 백그라운드에서 android SDK version, Build의 Brand, model, IMEI, 전화번호 등의 정보들을 수집하여 공격자 서버로 전송합니다. 

 

[그림 4] 악성앱이 보여주는 정상 구글 페이지

 

 

[그림 5] 단말기 정보 탈취 코드

 

 

 

수집한 정보들은 공격자 서버로 전송되며, 통신 성공 시 추가 악성 동작을 수행합니다. 분석 시점에는 해당 서버 접근이 차단된 상태였습니다.

 

[그림 6] 원격지 통신 패킷 일부

 

 

이후 SMS 내용, 주소록, 위치정보, 사진첩, 공인인증서와 같은 민감 정보들을 추가 탈취하여 공격자 서버로 전송합니다. 

 

구분	함수	탈취정보
PhoneApi	phones	핸드폰 정보
	getSMSByServer	원격지에서 전송한 정보
	getCallForwardNumByServer
	getCallChangetNumByServer
	postCurrentCalling
BasicsApi	uploadMessages	SMS 메시지 정보
	getDisIp	원격지에서 받은 ip 및 location 정보 전송
	getremotesms
	token	device id 와 "" token
	uoloadDisIp	ip, location 정보
	upliadAccount	계정정보
	uploadAllApp	설치된 앱 정보
	uploadClallLogs
	uploadContacts	연락처 정보
	uploadLocation
UsersApi	login
	postToClient	device id 와 날짜
	update	특정 email, password 정보 전송
FileApi	downLoadFile
	uploadAudios
	uploadFile	NPKI.zip 파일
	uploadFiles
	uploadImageFile
	uploadImages	특정 jpeg 파일 이름 및 데이터
	uploadVideos	외부저장소의 비디오 이름 및 데이터
	uploadVideosFile

[표1] 악성동작 분류 표

 

 

[그림 7] 수집한 공인인증서 탈취 코드

 

이렇게 탈취한 각종 정보들을 조합하여 2차 피해를 발생시킬 수 있는 만큼 사용자 여러분들의 각별한 주의가 필요합니다. 

 

사용자 여러분들께서는 수상한 sms 내 포함되어 있는 링크 클릭을 지양해 주시기 바라며, 실수로 링크를 눌러 apk를 내려받았다 하더라도 설치를 하지 않았다면 아무런 피해가 없으니 바로 삭제해 주시기 바랍니다. 

 

현재 알약M에서는 해당 악성앱에 대해 Spyware.Android.Agent로 탐지중에 있습니다.