안녕하세요 알약입니다.
최근 대한통운 택배를 사칭한 지능 타깃형 스미싱 공격이 지속적으로 등장하고 있어 사용자들의 주의가 필요합니다.
이 스미싱은 기존 스미싱과는 다르게 스미싱 문자를 받은 사람의 전화번호를 입력해야 본격적으로 악성 행위가 동작하기 때문에, 악성코드 분석가가 단순히 스미싱 사이트에 접속한다고 해서 해당 악성앱을 확인할 수는 없습니다.
공격 과정
공격자는 먼저 사전에 확보한 전화번호로 택배 관련 스미싱 문자를 공격대상에게 발송합니다. 이때 스미싱 문자를 발송하는 전화번호 리스트는 공격자의 서버에 저장되어 있습니다.
그 후 스미싱 문자를 수신한 이용자가 스미싱 URL을 클릭하면 스미싱 사이트로 연결이 되며, 해당 사이트에서 자신의 전화번호를 입력합니다.
이용자가 입력한 전화번호와 서버 DB에 저장되어 있는 전화번호와 비교를 하며, 전화번호가 일치시에만 실제 악성앱이 있는 화면으로 연결시킵니다.
또한 악성코드 분석가들의 분석을 피하기 위하여 3번이상 전화번호를 잘못입력 할 경우, 실제 정상적인 대한통운 웹 사이트(doortodoor.co.kr)로 연결시켜 스미싱인지 판단하지 못하도록 합니다.
현재 대한통운 공식 사이트 웹사이트에서도 계속 주의를 안내하고 있습니다.
알약에서는 해당 악성앱에 대하여 Trojan.Android.SmsSpy로 탐지중에 있으며, 변종에 대해서도 지속적으로 대응중에 있습니다.
감사합니다.
[악성코드 분석리포트] Backdoor.BlackEnergy (0) | 2016.02.24 |
---|---|
불법 한국영화 파일과 함께 유포되고 있는 악성CHM 파일 주의! (3) | 2015.12.24 |
애드웨어 업데이트로 퍼지는 파밍 주의! (0) | 2015.11.12 |
MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석 (0) | 2015.10.22 |
Xcode IDE 악성앱 이슈 관련 Xcode 버전 인증방법 (0) | 2015.09.23 |
댓글 영역