상세 컨텐츠

본문 제목

대량 유포중인 경찰청교통민원 24(이파인) 사칭 스미싱 주의!

악성코드 분석 리포트

by 알약4 2022. 11. 15. 16:13

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
이번주 초부터 현재까지 경찰청교통민원24를 사칭한 스미싱이 대량으로 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 

현재 대량으로 유포중인 스미싱은 다음과 같은 문구로 유포중입니다. 

 

 

[교통24(이파인)]어린이 보호구역 보도 미정차.처벌통지서발송완료 http://xx.xx
[교통24(이파인)]자동차위반벌점처분고지서 발송 완료 http://xx.xx

 


만일 사용자가 스미싱 문자 내 링크를 클릭하면, 공격자가 제작해 놓은 경찰교통민원24(이파인) 피싱 페이지로 이동하며, 조회를 위해서는 휴대폰 정보를 입력해야 한다며 휴대폰번호 입력을 유도합니다.   

 

 

[그림 1] 피싱 페이지 메인화면

 


공격자는 사용자들의 의심을 피하기 위하여 다음과 같은 트릭을 씁니다. 

 

- 스미싱 문자에 포함된 피싱 페이지 링크를 웹브라우저에서 접속 시 실제 경찰청 교통민원 24페이지로 리디렉션
- 휴대폰 정보 입력란에 입력된 데이터값을 검증하여, 스미싱 문자를 수신하지 않은 사용자의 휴대폰 번호 입력 시 다음 단계로 이동하지 않음

 

 

[그림 2] 이름 및 생년월일 입력 유도 페이지

 

 

사용자가 휴대폰 번호 입력 후 조회를 누르면, 이름과 생년월일 입력을 유도합니다. 해당 단계에서는 입력된 값에 대한 검증과정은 없으며, 랜덤한 값 입력 후 확인하기 버튼을 누르면 악성앱을 내려주는 페이지로 이동합니다. 

 

 

[그림 3] 악성 앱 다운로드 페이지

 


다운로드 받은 악성앱을 설치하면  다음과 같은 권한을 요구합니다. 

 

 

[그림 4] 앱 권한

 

 

- SMS : 사용자의 SMS에 접근하여 SMS 발송, 열람, 삭제와 같은 행위를 할 수 있다. 
- 전화 : 사용자의 전화에 접근하여 발신,수신,가로채기와 같은 행위를 할 수 있다.
- 주소록 : 사용자의 주소록에 접근하여 저장되어 있는 연락처 정보를 열람, 추가, 삭제와 같은 행위를 할 수 있다.
- 저장 : 사용자 휴대폰에 저장되어 있는 파일들에 접근하여 파일열람, 탈취, 삭제와 같은 행위를 할 수 있다.

 

악성앱의 이모티콘은 실제 이파인 앱과 유사하게 제작되어 사용자들이 구별하기 어렵습니다. 

[그림 5] 정상앱(좌)과 악성앱(우)

 


악성앱을 실행하면 삼성계정정보 입력화면이 뜨며 계정정보 입력을 유도합니다. 이후 단계적으로 신분증/면허증 사진, 신용카드 정보, 금융(은행)정보 입력, 보안카드 사진, 인증서 입력을 요구하며 이렇게 입력한 정보들은 모두 공격자의 서버로 전송됩니다. 

 

 

[그림 6] 악성 앱 실행 과정

 


다양한 개인정보의 입력을 요구하다보니 입력단계에서 사용자들이 이상함을 느껴 중단하는 경우가 있습니다. 하지만 단계별로 데이터를 전송하기 때문에 입력을 중단하더라도 현재까지 입력한 정보들은 고스란히 공격자에게 전송됩니다.

개인정보 입력이 모두 끝나면 인증완료 화면이 뜨며, 10분의 카운트다운이 시작되는데, 해당 화면은 아무런 의미가 없으며 단지 사용자의 대기를 유도하기 위한 화면으로 공격이 종료되었음을 의미합니다. 

최근 백신증명서 쿠브앱(Coov)과 모바일 신분증을 위장한 악성앱이 발견되었는데 확인결과 이파인 악성앱과 아이콘만 다른 동일한 악성앱으로 확인되었습니다. 

 

[그림 7] 정상앱(좌)과 악성앱(우)

 

 

스미싱을 통해 악성앱을 유포하고 개인정보 탈취를 시도하는 공격이 지속되고 있습니다. 

 

사용자 여러분들께서는 어떠한 경우에도 금융정보 및 신분증 정보와 같은 과도한 개인정보를 요구하는 경우는 없다는 점을 반드시 기억해주시기 바라며, 출처가 불분명한 사용자에게서 수신한 문자 내 링크 클릭 혹은 전화번호로 콜백을 지양하셔야 합니다. 또한 앱은  반드시 구글 플레이와 같은 공식 경로로만 내려받으시길 권고 드립니다. 

 

만일 실수로 악성앱을 설치하였다면 바로 삭제를 하시거나 알약M과 같은 신뢰할만한 모바일 백신 설치 및 검사를 진행하여 삭제하시기를 바랍니다. 

 

▶ 스마트폰이 해킹 당했어요. 어떻게 해야 하나요?

 

현재 알약M에서는 해당 악성앱에 대하여 Trojan.Android.Smsspy로 탐지중에 있습니다. 

 

 


 

관련글 더보기

댓글 영역