서울지방경찰청을 위장하여 유포중인 스미싱 주의!

안녕하세요. ESRC(시큐리티 대응센터)입니다.
서울지방경찰청을 위장하여 스미싱이 유포되어 사용자들의 주의가 필요합니다. 

 

[서울지방경찰청] 보이스피싱 및 해킹 예방프로그램 (설치완료후 위험한앱감지 클릭) hxxp://xx.xx.xxx.xxx/

사용자가 해당 스미싱 문자에 포함된 ip주소를 클릭하면 악성 앱이 내려옵니다. 

악성 앱은 피싱아이즈라는 앱을 위장하고 있습니다. 

* 피싱 아이즈 앱이란 경찰청 및 금융사 제휴를 통한 금융사기 피해예방 앱

 

 

[그림 1] 피싱아이즈 사칭 악성 앱 메인페이지

 

악성앱이 사용자 휴대폰에 설치되면, 다음과 같은 메인페이지를 보여줍니다. 

 

 

[그림 2] 위협감지 앱 페이지

메인화면에서 보이는 의심검사를 누르면, 실제 위험앱을 스캔하여 탐지한것처럼 보이는 화면을 띄워 사용자의 의심을 피하며, 다른 메뉴들도 실제 앱처럼 꾸며놓았습니다. 

 

 

[그림 3] 악성 앱 세부 페이지

 

 

해당 악성앱은 다음과 같은 권한을 요구하며 다양한 악성행위를 합니다. 

 

 

[그림 4] 요구하는 권한들

 

우선, 사용자 모바일 내 알약M, 후스콜, 후후-유플러스, 후후 앱이 설치되어 있는지를 확인 후, 해당 앱들을 삭제합니다. 

 

 

[그림 5] 앱 스캔 및 삭제 코드

 

또한, 문자내역 열람, 녹음, 위치확인, 카메라 촬영, 가짜전화걸기 등 다양한 악성행위가 가능하며, 앱 내부에 금융안내 멘트 녹음파일이 포함되어 있어 보이스피싱에 활용이 가능합니다. 

 

사용자 여러분들께서는 낯선 사람들에게서 온 문자메세지에 포함된 링크의 클릭을 지양하시고, 반드시 구글플레이를 통하여 앱을 내려받으시기 바랍니다. 

 

현재 알약M에서는 해당 악성앱에 대하여 Trojan.Android.Banker로 탐지중에 있습니다.