더치트를 위장하여 유포중인 스미싱 주의!
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
금일 오전부터 더치트를 위장하여 스미싱이 유포중에 있어 사용자들의 각별한 주의가 필요합니다.
더치트란 주로 비대면 거래 전 상대방의 평판을 확인하거나, 사기를 당한 후 추가 피해자를 막기위해 사기를 친 사람의 정보를 공유하는 국내 최초의 사기피해 정보공유 사이트 입니다.
[Web발신]
(광고) 안녕하세요.
금융사기 피해방지 서비스 더치트 입니다.
귀하에 대한 피해사례가 1건 등록되었습니다. (3자 사기 등에 연락처가 사용된 경우, 명의자 정보가 다를수 있습니다.)
2일 이내에 피해사례 삭제요청이 없는 경우, 거래주의 정보로 안내될 수 있습니다.
본 메세지는 선의의 피해방지를 위한 목적으로, 피해사례의 진위여부 검증을 위해 전송되었습니다.
오해나 허위로 등록된 피해사례인 경우, 즉시 삭제요청해 주시기 바랍니다.
환불 등 증빙자료를 첨부해 주시면, 즉시 피해사례가 비공개처리 됩니다.
1) 등록된 피해사례는 피등록자의 1차 소명 시간이 종료되는 24시간후부터 검색결과에 반영됩니다. 최대 2일의 소명시간이 종료되면 외부채널의 검색결과에도 반영될 수 있습니다.
소명기간 종료 2일 전.
귀하의 금융거래와 통화발신이 제한될 수 있습니다.
▶ 「피해사례 등록」 확인 안내
홈페이지 : ***.kr/8**
무료수신거부 08087*****
유포중인 스미싱의 내용은 다음과 같으며, 금융 거래와 통화 발신이 제한될 수 있다며 공포감을 유발합니다.
사용자가 문자 메시지 내 링크를 클릭하면 공격자가 제작해 놓은 피싱 페이지로 이동합니다.
피싱 페이지 내에는 사용자 브라우저를 체크 기능 및 개발자 도구 차단 기능이 적용되어 있습니다.
사용자가 페이지 내 APP열기 클릭 시 악성 apk가 다운로드 되며, 내려온 apk 설치 시 다양한 권한들을 요구 후 더치트 예방이라는 아이콘으로 사용자 휴대폰에 설치됩니다.
android.permission.SEND_SMS
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_CONTACTS
android.permission.GET_ACCOUNTS
android.permission.WRITE_CONTACTS
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.INTERNET
android.permission.AUTHENTICATE_ACCOUNTS
com.google.android.c2dm.permission.RECEIVE
android.permission.ACCESS_WIFI_STATE
android.permission.POST_NOTIFICATIONS
android.permission.WAKE_LOCK
android.permission.ACCESS_NETWORK_STATE
android.permission.FOREGROUND_SERVICE
[표1] 악성앱 요구 권한
사용자 휴대폰에 설치가 완료되면 브라우저 창을 띄워 마치 데이터를 로딩하는 듯한 화면을 보여주다가 현재 기기에서는 이용할 수 없다며 자동으로 앱을 삭제하는 것처럼 위장합니다.
하지만 실제로 삭제된 것은 아니며 아이콘을 없애고 백그라운드에서 동작하며 마치 해당 앱이 자동으로 삭제된 것처럼 사용자를 속여 사용자의 휴대폰에서의 생존률을 높히려고 시도합니다.
현재 알약M 에서는 해당 악성앱에 대해 Trojan.Android.Agent로 탐지중이며, 유사 변종에 대해서도 지속적인 모니터링을 진행중에 있습니다.