스미싱(Smishing), "클립투넷(clip2net.com)" 서버를 이용한 스미싱 메시지 주의

5월 13일 탐지 된 스미싱 문자 중에서 "클립투넷(clip2net.com)" 서버를 이용한 악성 어플리케이션 다운로드를 확인하였다.

티 클라우드(SK T Cloud), 나무 클라우드(NamuCloud), 드롭박스(DropBox), 앱박스(app.box.com) 에 이어 5번째 클라우드 서버를

사용한 것이다.

이번 클라우드 서버도 외국 서비스라 국내 서비스보다는 처리 대응이 느리다.

확실히 앞으로 스미싱 제작자들은 국내 클라우드 서버는 안쓰고 외국계 클라우드 서버만 사용 될 것으로 보인다.

이전 클라우드 서버를 이용한 스미싱 포스팅은 아래의 링크에서 확인하면 된다.

• 스미싱(Smishing), "나무 클라우드(NamuCloud)" 서버를 이용한 스미싱 메시지 주의

• 스미싱(Smishing), SK "T Cloud(T클라우드)" 서버를 이용한 스미싱 메시지 주의 (추가)

• 스미싱(Smishing), "앱박스(app.box.com)" 서버를 이용한 스미싱 메시지 주의

이번 클립투넷(clip2net.com)의 내용은 아래에서 설명하겠다. 

아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다.

- 주말에 가족 모임 같이 놀로오세요 tw.gs/S3z6AZ

가정의 달을 맞이하여 "주말 가족 모임" 을 타겟으로 작성 된 문구로 판단된다.

※ 현재 유포서버가 살아있기 때문에 Mosaic URL 로 공개!!

해당 악성 어플리케이션 korea.apk는 알약 안드로이드에서 Trojan.Android.SMS.Stech 로 탐지 된다.

※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 
알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람!!

스미싱 제작자들이 해당 클립투넷 클라우드 서버를 쓰는 이유 중에 하나는 파싱이 어렵기 때문에 보안업계에서 사용하는 

자동 다운로드 시스템으로 수집이 어렵기 때문이 아닐까 생각도 든다.

그나마 클립투넷 클라우드는 시스템을 추가하는데 크게 문제는 없어보인다^^

<div class="image-title"> korea.apk - <span>315Kb</span></div>

<div class="image-btn">

<a class="image-down-file" href="http://clip2net.com/clip/m******/1399955488-1d3b7-315kb.apk?nocache=1&fd=1">

<img src="./File korea.apk_files/ico-down-file.png" alt="">Download File</a>

</div>

<div class="image-qr">

<img src="./File korea.apk_files/pic6.gif" alt="">

</div>

그리고 해당 어플리케이션은 ApkProtect 난독화로 암호화 되어 있기 때문에 이전에 소개했던 툴로 암호화를 해제시키야 한다.

• 안드로이드(Android), "APK Protect"로 무장한 어플리케이션 암호화 해제 툴 공유