본문 바로가기
IT 보안소식

스미싱(Smishing), "앱박스(app.box.com)" 서버를 이용한 스미싱 메시지 주의

by 잡다한 처리 2014. 4. 1.
반응형


3월 26일 탐지 된 스미싱 문자 중에서 "앱박스(app.box.com)" 서버를 이용한 악성 어플리케이션 다운로드를 확인하였다.

티 클라우드(SK T Cloud), 나무 클라우드(NamuCloud), 드롭박스(DropBox) 에 이어 4번째 클라우드 서버를 사용한 것이다.


티 클라우드, 나무 클라우드는 국내 서비스라 사용이 편했지만 서비스사의 빠른 대응으로 더 이상 스미싱 제작자들이 사용하지
않고 있다. 하지만 드롭박스와 앱박스는 아무래도 외국 서비스라 보안에 대한 대응이 빠르지 않은 것이 사실이다.


이로 인해 외국계 클라우드 서버 사용은 앞으로도 지속될 것으로 보인다.


이전 클라우드 서버를 이용한 스미싱 포스팅은 아래의 링크에서 확인하면 된다.


이번 앱박스(app.box.com)의 내용은 아래에서 설명하겠다. 

아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다.

- 민방위 2014비상소집훈련 대상자입니다.일정 필히확인해주세요http://goo.gl/qy****
- 박OO님 민방위 2014비상소집훈련 대상자입니다.일정 필히확인해주세요http://goo.gl/zV****
- 차OO님 민방위 2014비상소집훈련 대상자입니다.일정 필히확인해주세요http://goo.gl/zV****
- 김OO님 민방위 2014비상소집훈련 대상자입니다.일정 필히확인해주세요http://goo.gl/zV****

※ 현재 유포서버가 살아있기 때문에 Mosaic URL 로 공개!!

해당 악성 어플리케이션 SAFEkorea.apk알약 안드로이드에서 Trojan.Android.SMS.Stech 로 탐지 된다.



※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 
알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람!!




스미싱 제작자들이 해당 앱박스 클라우드를 쓰는 이유 중에 하나는 파싱이 어렵기 때문에 보안업계에서 사용하는 자동 다운로드
시스템으로 수집이 어렵기 때문이 아닐까 생각도 든다.

아래의 코드 처럼 앱박스 클라우드는 각각의 키값을 가지고 있기 때문에 다운로드를 받기 어렵다.

<HTML>

<HEAD>

<TITLE>Moved Permanently</TITLE>

</HEAD>

<BODY BGCOLOR="#FFFFFF" TEXT="#000000">

<H1>Moved Permanently</H1>

The document has moved <A HREF="https://app.box.com/s/qq5y2bw****xdqs1is1">here</A>.

</BODY>

</HTML>


댓글