경찰청 교통민원 24를 위장한 스미싱 주의!

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

최근 '질병관리청', '건강검진' 키워드로 스미싱이 대량으로 유포되고 있는 가운데, 경찰청을 위장한 스미싱이 유포되어 사용자들의 주의가 필요합니다. 

 

이번에 유포되고 있는 스미싱은 "[Web발신] 차량 벌점 위반 처벌 발송 완료 http:// "라는 문구로 유포되며, 사용자가 스미싱 문자에 포함되어 있는 링크를 클릭하면 다음과 같은 순서로 사용자 정보를 유출합니다. 

 

휴대폰 번호  > 이름 및 생년월일 > 악성 APK 전달 >  금융정보 유출

 

공격 흐름은 다음과 같습니다. 

 

악성 URL을 클릭하면 다음과 같은 랜딩 페이지로 이동합니다. 

 

 

[그림 1] 첫 랜딩 페이지

 

 

랜딩 페이지는 경찰청 교통민원 24를 위장하고 있으며, 휴대폰 번호 입력을 유도하며, 휴대폰 번호를 입력하면 다음과 같은 이름 및 생년월일 입력 페이지로 넘어가 개인정보 작성을 유도합니다. 만약 사용자가 제대로 입력하지 않으면 다음과 같은 안내창을 띄웁니다.

 

 

[그림 2] 휴대폰 번호 인증 후 넘어가는 페이지 및 오류화면

 

 

이름 및 생년월일까지 입력하면 악성 APK 다운로드 페이지로 접속하여 다운로드 및 설치를 유도합니다. 

 

 

[그림 3] 악성 APK 다운로드 화면

 

사용자가 악성 앱을 설치하면 사용자의 개인정보 및 금융정보 탈취를 시도합니다. 

 

금일 발견된 경찰청 교통민원 24 스미싱은, 최근에 '건강검진', '코로나 19' 등의 키워드로 지속적으로 유포중인 스미싱과 사용하는 악성 앱이 동일하며, 사용자 정보탈취 페이지 역시 디자인만 살짝 수정한 동일 페이지라는 것을 알 수 있습니다. 

 

▶ 건강검진, 질병관리청 사칭 스미싱 악성 앱 Spyware.Android.Agent 분석

 

스미싱 공격이 다양한 문구로 유포되는 만큼 사용자들의 각별한 주의가 필요하며, 출처 불분명한 사용자에게서 온 문자 내 링크는 클릭하지 말아야 합니다. 또한 알약M과 같은 모바일 백신 설치를 통해 실수로 악성 앱을 설치했다 하더라도 백신이 악성 앱을 삭제할 수 있도록 해야합니다. 

 

현재 알약M에서는 해당 악성 앱에 대해 Spyware.Android.Agent로 탐지 중에 있습니다.