전체상품목록 바로가기

본문 바로가기

 
신규가입 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [이스트시큐리티] '카카오 P','송금키워드를 이용하여 유포중인 스미싱 주의!
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2024-02-01
  • 추천 추천하기
  • 조회수 107


 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.

'카카오P','송금' 등의 키워드를 이용하여 사용자의 클릭을 유도하는 스미싱이 유포되고 있어 사용자들의 각별한 주의가 필요합니다.

 

[Web발신] 친구님이 카카오P에서 ******님께 5만원을 송금했습니다. 

안전한 송금 입니다. 친구에게 송금여부를 직접 확인해보세요. 

 

●금액 : 50,000원

●기한 : 2024-01-20 23:59:59까지

 

아래 링크를 통해 송금을 받아주세요. 

hxxps://xg**.kr/***

 

-------------------------

 

이 메세지는 카카오P 클릭참여를 통해 지원되는 이벤트로 발송되었으며, 메세지를 받은 전화번호로만 금액을 수령할 수 있습니다.

 

 

스미싱 문자에는  '친구가 카카오P에서 5만원을 송금했습니다'라는 문구와 함께 링크가 포함되어 있어 사용자의 클릭을 유도합니다. 

 

문자메세지 내 링크를 클릭하면 피싱 페이지로 이동하는데, 마치 실제 신규 서비스 런칭 페이지처럼 정교하게 제작되어 있습니다.

[그림 1] 피싱 페이지

 

 

사용자가 피싱 페이지 하단에 [참여하러가기] 버튼을 누르면 '카카오P 참여를 위해해 확인을눌러주세요'

라는 팝업이 뜨며, 확인을 누르면 apk가 다운로드 됩니다. 

 

 

[그림 2] 사용자 휴대폰에 설치된 악성앱

 

 

사용자가 내려받은 apk를 실행하면 다음과 같이 바탕화면에 '카카오픽' 이름의 악성 앱이 생성되며 실행 시 전화, SMS, 주소록, 미디어파일

등과 같은 권한들을 요구합니다.  

 

[그림 3] 권한 요구 화면

 

 

사용자가 권한을 모두 허용하여 정상적으로 apk가 설치되면 정상 구글 페이지를 띄우며, 

휴대폰에서 자신의 아이콘을 숨김과 동시에 백그라운드에서 android SDK version, Build의 Brand, model, IMEI, 전화번호 등의 정보들을 수집하여

공격자 서버로 전송합니다. 

 

[그림 4] 악성앱이 보여주는 정상 구글 페이지

 

 

[그림 5] 단말기 정보 탈취 코드

 

 

 

수집한 정보들은 공격자 서버로 전송되며, 통신 성공 시 추가 악성 동작을 수행합니다. 분석 시점에는 해당 서버 접근이 차단된 상태였습니다.

 

[그림 6] 원격지 통신 패킷 일부

 

 

이후 SMS 내용, 주소록, 위치정보, 사진첩, 공인인증서와 같은 민감 정보들을 추가 탈취하여 공격자 서버로 전송합니다. 

 

[표1] 악성동작 분류 표
구분함수탈취정보
PhoneApi phones 핸드폰 정보 
getSMSByServer 원격지에서 전송한 정보 
getCallForwardNumByServer  
getCallChangetNumByServer  
postCurrentCalling  
BasicsApi uploadMessages SMS 메시지 정보 
getDisIp 원격지에서 받은 ip 및 location 정보 전송 
getremotesms  
token device id 와 "" token 
uoloadDisIp ip, location 정보 
upliadAccount 계정정보 
uploadAllApp 설치된 앱 정보 
uploadClallLogs  
uploadContacts 연락처 정보 
uploadLocation  
UsersApi login  
postToClient device id 와 날짜 
update 특정 email, password 정보 전송 
FileApidownLoadFile  
uploadAudios  
uploadFile NPKI.zip 파일 
uploadFiles  
uploadImageFile  
uploadImages 특정 jpeg 파일 이름 및 데이터 
uploadVideos 외부저장소의 비디오 이름 및 데이터 
uploadVideosFile  

 

 

[그림 7] 수집한 공인인증서 탈취 코드

 

이렇게 탈취한 각종 정보들을 조합하여 2차 피해를 발생시킬 수 있는 만큼 사용자 여러분들의 각별한 주의가 필요합니다. 

 

사용자 여러분들께서는 수상한 sms 내 포함되어 있는 링크 클릭을 지양해 주시기 바라며,

\실수로 링크를 눌러 apk를 내려받았다 하더라도 설치를 하지 않았다면 아무런 피해가 없으니 바로 삭제해 주시기 바랍니다. 

 

현재 알약M에서는 해당 악성앱에 대해 Spyware.Android.Agent로 탐지중에 있습니다.

 

 






                         더 자세한 내용은 02-716-1915 로 문의 바랍니다

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close