포스팅 내용

악성코드 분석 리포트

'n번방 전체회원 신상공개' 문자메시지로 현혹하는 스미싱 공격 등장



안녕하세요? 이스트시큐리티 ESRC입니다.


최근 크게 이슈가 되고 있는 'n번방 사건' 관련 스미싱(Smishing) 공격이 확인되어 사용자들의 각별한 주의가 필요합니다.


'n번방 사건'은 2018년 하반기부터 2020년 3월까지 텔레그램 및 기타 메신저 앱을 이용해 벌어진 대규모 디지털 성범죄/성착취 사건이며, 피해자 중 미성년자가 대거 포함되어 있어 더욱 더 큰 충격을 주고 있는 희대의 범죄 사건입니다.


관련기사 : http://news.zum.com/articles/59100653


공격자들은 이러한 희대의 범죄 사건에 쏠리는 사람들의 관심을 이용하여 스미싱 공격에 활용하고 있습니다. 3/29 오후부터 유포되기 시작한 스미싱 내용은 다음과 같습니다. 



TTN(속보)N번방 전체회원 신상공개 https://bit.ly/xxxxxxx





공격자는 한참 이슈가 되고 있는 n번방 관련 회원의 신상공개에 대해 사람들의 많은 관심이 쏠리고 있는 것을 정확히 인지하고 있으며 이를 공격에 활용했습니다.


일단 해당 스미싱을 접한 사용자 중 호기심에 링크를 클릭하여 악성앱을 다운로드/설치하게 되면, 사용자의 안드로이드 스마트폰이 감염됩니다. 



[그림 1] 스미싱 메시지를 통해 추가설치되는 악성앱 설치화면



일단 악성앱에 감염된 스마트폰은 공격자가 원하는 기기관련 정보 및 사용자 관련 정보를 수집하여 사용자 모르게 특정 주소로 전달하는 한편, 공격자가 의도한 악성행위 역시 함께 수행합니다.


악성앱을 통해 공격자가 수행하는 악성행위 및 수집정보는 다음과 같습니다.



- 기기정보 탈취

- SMS 탈취

- 연락처 탈취

- 통화기록 탈취

- 통화 녹음

- 비디오 녹화

- 설치 앱 리스트 탈취

- 위치정보 탈취

- 추가 앱 다운로드



[그림 2] 스마트폰 기기 정보 탈취 코드



[그림 3] SMS 탈취 코드



[그림 4] 비디오 녹화 코드



[그림 5] 통화 녹음 코드



사회적으로 이슈화되고 있는 n번방 전체회원 신상공개라는 허위 문자메시지 정보에 현혹되어 URL 링크를 클릭해 앱을 설치할 경우 자신의 신상정보가 해킹 당하는 피해를 입을 수 있습니다. 따라서 자극적인 문구에 함부로 접근하지 않도록 주의가 요구됩니다.



정리



스미싱 공격자들은 국내 정치, 사회 이슈 등을 교묘히 이용해 지속적인 공격으로 활용하고 있습니다. 따라서 사용자들은 이런 문자에 현혹되지 않도록 주의하고, 아래의 보안 수칙을 지킬 수 있도록 당부 드립니다.


1. 신뢰할 수 있는 알약M과 같은 모바일 백신 프로그램을 설치하고, 정기적으로 검사 수행하기

2. 출처가 불분명한 경로를 통한 APK 앱 설치 금지

3. 의심스러운 내용의 문자 메시지에 포함된 URL은 절대로 클릭하지 않기


이스트시큐리티에서는 한국인터넷진흥원(KISA)후후와 함께 스미싱 관련 공격을 효과적으로 차단하기 위해 공동 대응을 진행하고 있습니다. 또한, 알약M에서는 관련 악성코드를 “Spyware.Android.Agent”로 진단하고 있습니다. 





티스토리 방명록 작성
name password homepage