악성코드 분석 리포트

더치트를 위장하여 유포중인 스미싱 주의!

알약4 2024. 4. 30. 16:39

 

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

금일 오전부터 더치트를 위장하여 스미싱이 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 

 

더치트란 주로 비대면 거래 전 상대방의 평판을 확인하거나, 사기를 당한 후  추가 피해자를 막기위해 사기를 친 사람의 정보를 공유하는 국내 최초의 사기피해 정보공유 사이트 입니다. 

 

 

[Web발신]

(광고) 안녕하세요. 

 

금융사기 피해방지 서비스 더치트 입니다. 

 

귀하에 대한 피해사례가 1건 등록되었습니다. (3자 사기 등에 연락처가 사용된 경우, 명의자 정보가 다를수 있습니다.)

 

2일 이내에 피해사례 삭제요청이 없는 경우, 거래주의 정보로 안내될 수 있습니다. 

 

본 메세지는 선의의 피해방지를 위한 목적으로, 피해사례의 진위여부 검증을 위해 전송되었습니다. 

 

오해나 허위로 등록된 피해사례인 경우, 즉시 삭제요청해 주시기 바랍니다. 

 

환불 등 증빙자료를 첨부해 주시면, 즉시 피해사례가 비공개처리 됩니다. 

 

1) 등록된 피해사례는 피등록자의 1차 소명 시간이 종료되는 24시간후부터 검색결과에 반영됩니다. 최대 2일의 소명시간이 종료되면 외부채널의 검색결과에도 반영될 수 있습니다. 

 

소명기간 종료 2일 전. 

 

귀하의 금융거래와 통화발신이 제한될 수 있습니다. 

 

▶ 「피해사례 등록」 확인 안내

 

홈페이지 :  ***.kr/8**

무료수신거부 08087*****

 

 

 

유포중인 스미싱의 내용은 다음과 같으며, 금융 거래와 통화 발신이 제한될 수 있다며 공포감을 유발합니다. 

 

사용자가 문자 메시지 내 링크를 클릭하면 공격자가 제작해 놓은 피싱 페이지로 이동합니다.

 

 

[그림 1] 악성 앱 다운로드 페이지

 

 

피싱 페이지 내에는 사용자 브라우저를 체크 기능 및 개발자 도구 차단 기능이 적용되어 있습니다. 

 

[그림 2] PC브라우저 다운 시 실패

 

 

사용자가 페이지 내 APP열기 클릭 시 악성 apk가 다운로드 되며, 내려온 apk 설치 시 다양한 권한들을 요구 후 더치트 예방이라는 아이콘으로 사용자 휴대폰에 설치됩니다. 

 

android.permission.SEND_SMS
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_CONTACTS
android.permission.GET_ACCOUNTS
android.permission.WRITE_CONTACTS
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.INTERNET
android.permission.AUTHENTICATE_ACCOUNTS
com.google.android.c2dm.permission.RECEIVE
android.permission.ACCESS_WIFI_STATE
android.permission.POST_NOTIFICATIONS
android.permission.WAKE_LOCK
android.permission.ACCESS_NETWORK_STATE
android.permission.FOREGROUND_SERVICE

[표1] 악성앱 요구 권한

 

[그림 3] 악성앱 아이콘

 

 

사용자 휴대폰에 설치가 완료되면 브라우저 창을 띄워 마치 데이터를 로딩하는 듯한 화면을 보여주다가 현재 기기에서는 이용할 수 없다며 자동으로 앱을 삭제하는 것처럼 위장합니다. 

 

하지만 실제로 삭제된 것은 아니며 아이콘을 없애고 백그라운드에서 동작하며 마치 해당 앱이 자동으로 삭제된 것처럼 사용자를 속여 사용자의 휴대폰에서의 생존률을 높히려고 시도합니다. 

 

 

[그림 4] 앱 자동삭제 위장 피싱 페이지

 

 

 

 

현재 알약M 에서는 해당 악성앱에 대해 Trojan.Android.Agent로 탐지중이며, 유사 변종에 대해서도 지속적인 모니터링을 진행중에 있습니다.