해외결제를 위장한 스미싱 지속적 유포중!

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.
해외 결제를 위장한 스미싱이 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 

해외결제를 위장한 스미싱은 오래전부터 유포되던 스미싱 방식으로, 유포되는 스미싱 내용은 유사하나, 그 공격방식이 꾸준히 고도화 되고 있습니다. 

ESRC에서도 이미 해당 스미싱과 관련하여 이미 포스팅 한 적이 있습니다. 

▶ 해외 결제를 위장한 스미싱 문자 주의! (21.09.10)
▶ "해외 카드 결제가 승인되었습니다" 해외직구족 겨냥한 스미싱 공격 발견 (17.04.06)


이번에 발견된 스미싱은 다음과 같은 내용으로 유포되었습니다. 

 

[그림 1] 해외결제를 위장한 스미싱

 

[국제발신] [해외결제] 확인코드:9**8 [KRW 959,000] 결제가 완료되었습니다. 배송관련 고객센터 070-7893-****

 

만일 해당 문자를 수신한 사용자가 해당 문자를 실제 문자메세지로 오인하여 고객센터에 전화를 하면 확인코드 4자리를 물어봅니다. 

하지만 수신한 문자에서는 확인코드 중 일부가 마스킹 처리되어 있어 확인이 불가능하며,  확인이 불가하다고 답변하면 ip주소를 불러주며 해당 ip주소로 접속을 하라고 유도합니다. 

공격자가 불러준 ip주소로 접속하면 다음과 같은 화면이 뜹니다. 

 

 

[그림 2] 피싱 사이트 메인 화면

 

 

피싱 사이트는 실제 구매대행 사이트처럼 제작되어 있어, 사용자들이 실제 구매대행 페이지로 오인하기 쉽습니다. 

 

사용자가 실시간 배송조회하기를 누르면 다음과 같이 앱 다운로드 페이지로 이동하여 앱 설치를 유도합니다. 

 

 

[그림 3] 악성 앱 설치 유도 화면

 

 

사용자가 해당 앱을 설치하면 다음과 같은 권한을 요구하며, 배터리사용량 최적화 중지와 접근성 허용을 요구합니다.

 

 

[그림 4] 악성앱이 요구하는 권한목록

 

 

[그림 5] 악성앱 설치 후 추가로 사용자에게 요구하는 화면

 

 

다양한 메뉴들이 있지만, 해당 메뉴들을 클릭하면 모두 로그인 페이지로 이동하여 사용자의 로그인을 유도합니다. 

 

 

[그림 6] 로그인 페이지

 

 

사용자가 로그인을 하기위하여 계정정보를 입력하면, 입력한 계정정보는 공격자의 서버로 전송됩니다. 만일 사용자가 ID/PW 찾기를 클릭하면 고객센터로 연락하라는 팝업창이 뜹니다.

 

 

[그림 7] 회원가입 페이지

 

 

사용자가 회원가입 메뉴를 눌러 정보를 입력하면, 입력한 정보들 모두 공격자의 서버로 전송되게 됩니다. 

 

구매대행 앱을 위장한 악성앱이 사용자 휴대폰에 설치되면 개인정보 탈취와 별개로 다음과 같은 악성행위를 합니다. 즉, 사용자가 앱에서 아무런 정보를 입력하지 않아도 사용자 휴대폰 내의 정보들이 탈취될 수 있다는 것입니다. 

 

 

- 개인 정보 탈취 시도 (ID, PW, 신상정보)
- sms 탈취
- 앱 리스트 탈취
- 안티백신 (알약M, whowho 삭제)
- 연락처 탈취
- 위치정보 탈취
- 통화 목록 탈취
- 공격자 명령 수행
- 기기 정보 탈취

 

C&C정보

hxxp://am.payshop[.]store/login.php
hxxp://61.218.17[.]222/
hxxp://61.218.17[.]222/99754106633f94d350db34d548d6091a.zip
hxxp://103.233.250[.]10/
hxxp://103.233.250[.]10:7777

 

 

현재 알약M에서는 해당 악성앱에 대해 Trojan.Android.KRBanker 로 탐지중에 있습니다.