포스팅 내용

악성코드 분석 리포트

설연휴 택배사칭 스미싱 위협 등을 대비한 분석 및 대응 방법



안녕하세요? 이스트시큐리티 ESRC 입니다.


2020년 연초부터 다양한 부류의 스미싱 공격이 활발하게 진행되고 있습니다. 다양한 스미싱 공격 중에서도 민족 고유 명절인 설날 시즌 택배를 사칭한 스미싱 공격의 비중이 증가되는 양상입니다. 



▶ 혹시 내 스마트폰도? 안전한 설날을 보내기 위한 모바일 보안 수칙!



ESRC에서는 꾸준하게 스미싱 공격을 추적 조사하고 있으며 다수의 공격 조직이 있을 것으로 추측하고 있습니다. 문자의 내용이나 유포하는 악성 앱의 종류에 따라 공격 조직이 다를 것으로 판단됩니다. 다양한 스미싱 공격을 수행하는 공격 조직의 스미싱 공격에 대해 알아보고 공격의 대응 방법도 알아보도록 하겠습니다.



스미싱 공격 흐름



스미싱 공격은 언제나 시의적절하게 스미싱 문구의 내용을 변화 시키며 꾸준하게 진행되고 있습니다. 2020년 민족 명절인 설을 앞두고 있는 지금은 택배 사칭 스미싱 공격 비중이 여타 스미싱보다 높습니다. 공격 조직은 시기에 알맞은 공격을 수행하기 위한 시스템을 구축하고 있어 스미싱 문구의 변경을 수시로 할 수 있습니다.


대개의 스미싱 공격은 문자로 시작되지만 최근 SNS나 커뮤니티를 통해 유포되는 사례도 발견되고 있습니다. 그리고 피해자가 무심코 링크를 클릭한 후 악성 앱을 설치하면 공격자의 C2로 피해자의 정보가 탈취되는 것으로 공격은 마무리됩니다. 다음 그림은 스미싱 공격의 흐름을 보여주고 있습니다.



[그림 1] 스미싱 공격 개요



이런 일련의 공격 과정 중 피해자가 스미싱 문자 내의 링크를 클릭하는 단계에서 피해자는 공격자의 웹 서버를 거치게 되는데 문자의 내용에 따라 적절한 웹 페이지가 노출됩니다. 다음 그림은 택배 사칭 스미싱 공격 흐름도를 보여주고 있습니다.



[그림 2] 스미싱 공격 흐름도



스미싱 랜딩 페이지 분석



스미싱 공격에 사용되는 문자 내용은 모바일 청첩장, 택배, 휴대폰 결제 내역, 중요사항 공지 등 다양하며 때에 따라서는 사회적인 이슈가 되는 내용도 있습니다. 이런 문자 내용에 따라 연결되는 랜딩 페이지를 정리해 보면 다음 표와 같습니다. 표에 정리된 내용은 최근 유행하거나 꾸준히 유포되고 있는 스미싱 문자들입니다.



스미싱 문자 내용 

랜딩 페이지 

 택배

택배 회사 위장 페이지 

 청첩장

모바일 초대장 페이지 

 결제 내역 조회

결제 회사 위장 페이지 

 중요사항 공지

블랭크 페이지 (접속 시 apk 다운로드) 

 대출 관련

블랭크 페이지 (접속 시 apk 다운로드) 

[표 1] 스미싱 문자 내용 별 랜딩 페이지



다음 그림은 최근 가장 많이 유포되고 있는 택배 사칭 스미싱의 랜딩 페이지입니다. 



[그림 3] 택배 사칭 스미싱의 랜딩 페이지



이 랜딩 페이지의 소스 코드를 살펴보면 4가지 종류의 스미싱 문자에 대응할 수 있는 코드가 존재합니다. 택배 사칭, 모바일 청첩장, 결제 조회(PG) 관련 코드가 존재하며 각각 주석 처리되어 있습니다. 


다음 그림은 랜딩 페이지의 소스 코드이며 주석 처리된 다른 코드의 일부를 보여주고 있습니다.



[그림 4] 택배 사칭 스미싱의 랜딩 페이지 소스 코드



택배 사칭은 두 가지의 코드가 존재하며 사칭하는 택배 회사만 다릅니다. 



[그림 5] 택배 사칭 스미싱의 랜딩 페이지 내에 존재하는 다른 랜딩 페이지들



랜딩 페이지들을 살펴보면 모두 피해자의 전화번호를 요구하고 있으며 만약 전화번호가 피해자의 것과 다를 경우 악성 앱을 다운로드하지 못하도록 되어있습니다. 이는 백신 회사 등에서 악성 앱을 수집하기 어렵게 하여 유포되는 악성 앱의 생존성을 향상시키기 위한 것으로 판단됩니다. 


이렇게 치밀하게 이루어지는 스미싱 공격이라 하더라도 주의를 기울이면 충분히 피해를 막을 수 있습니다. 스미싱 문자 내의 링크를 클릭하여 랜딩 페이지에 도달하더라도 악성 앱을 다운로드하거나 설치를 하지 않으면 피해를 입지 않습니다. 



스미싱 예방법과 대응 방법



스미싱 공격의 예방법과 대응 방법에 대해 알아보겠습니다.

  • 스미싱 문자 예방
1) 출처가 불분명한 문자를 수신한 경우 문자 내의 링크 클릭 자제
2) 링크를 클릭 하였다면 정상 사이트와 일치하는 지의 여부를 확인
3) 휴대폰 번호, 아이디, 비밀번호 등의 정보는 신뢰된 사이트에서만 입력

  • 악성 앱 감염 시 대응 방법
1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행
2) 악성 앱을 설치 하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제
3) 백신 앱이 악성 앱을 탐지하지 못했을 경우
A. 백신 앱의 신고하기 기능을 사용하여 신고
B. 수동으로 악성 앱 삭제 


스미싱 제대로 알고 대처하면 피해를 예방할 수 있습니다.




티스토리 방명록 작성
name password homepage