본문 바로가기
IT 보안소식

스미싱(Smishing), "피싱(Phishing) 사이트"를 통한 악성 어플리케이션 다운로드 주의

by 잡다한 처리 2014. 2. 8.
반응형


금일 탐지 된 스미싱 문자를 확인하던 중 피싱(Phishing) 사이트를 통해 악성 어플리케이션이 다운로드 되는것이 확인되었다.
큰 이슈는 아니지만 차후 기록용으로 간단하게 포스팅 한다.

이번 피싱 사이트의 내용은 아래에서 간략하게 설명한다.

아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다.

- 3D가상성형어플 출시 이벤트 가상성형사진 올리고 공짜수술받자 3d****.com

※ 현재 유포서버가 동작 중이라 일부 사이트 주소를 모자이크 처리

※ 알약 안드로이드에서는 해당 파일을 
Trojan.Android.KRBanker 로 탐지 중이다.

 


※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 
알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람!!


사용자가 받은 스미싱 문자에 있는 URL을 클릭하게 되면, 아래와 같이 "한국아이닷컴 모바일" 사이트로 접속을 하게 된다.
하지만 해당 사이트는 스미싱 제작자가 임의로 만들어 둔 "피싱 사이트" 이다.

자세히 살펴보면, 좌측 상단에 "한국아이닷컴"의 배너 그림이 아닌 "뉴스컬처" 배너 그림이 삽입되어 있는 것을 알 수 있다.



 

사용자는 해당 사이트가 임의로 만들어진 "피싱사이트"라는 것을 모르고 기사내용을 클릭하게 되면,
스크립트에 의해 "
newsculture.apk" 파일명의 악성 어플리케이션 파일을 다운로드 받게 된다.



해당 파일은 미국에 있는 서버로 확인 된다.




※ 참고로 정상적인 "한국 아이닷컴 모바일" 사이트는 아래 그림과 같이 정상적인 배너 그림이 삽입되어 있다.
또한 "한국아이닷컴 모바일"의 사이트 주소는 http://m.hankooki.com 이다.


댓글