9월달에 확인 된 스미싱 문자 중에서 "사용자 정보(통신사,휴대전화번호,주민등록번호)"를 입력해야 악성 어플리케이션이 다운로드
되는 경우가 확인되었다.
이전에 소개했던 캡챠 코드(CAPTCHA)를 이용한 유포 방식과 비슷한 양상이다.
보안업체 및 스미싱 탐지 어플리케이션을 우회하려고 의도적으로 만든 것이다.
그래도 이렇게 꾸준하게 변하는 애들은 그나마 보안업체 및 스미싱 탐지 어플리케이션을 신경쓰고 있다는 것이니 기분은 나쁘지 않다.
(니놈들 때문에 우리도 꾸준히 성장한다!!)
아래의 내용은 실제 스미싱 문자를 수신받은 문자 내용이다.
- 임OO귀하의 민사소송건이 접수되었으니 확인바랍니다. http://me2.do/GXo9B5RL
ㄴ http://me2.do/GXo9B5RL
ㄴ http://police.cq.co.kr/
ㄴ http://police.cq.co.kr/file998.php
ㄴ http://police.cq.co.kr/autonum.php
ㄴ http://police.cq.co.kr/010-1111-1111/android..apk (입력한 전화번호가 폴더로 생성되며 이후 APK 파일을 다운로드)
※ 현재는 링크가 모두 차단되어 Full URL 공개!!
경찰청에서도 해당 스미싱 유포에 대해 공지를 하였다.
실제 사이트에 접속을 하면 아래와 같이 "서울지방경찰청"을 사칭하였으며, 사용자에게 "통신사, 휴대전화번호, 주민등록번호"
등을 기재하게 만든다.
모든 기재가 완료 되면, 사용자에게 android..apk 파일을 떨궈 준다.
사용자가 입력 한 정보는 제작자가 만들어 둔 autonum.php 서버로 전달 된다.
POST /autonum.php HTTP/1.1
Host: police.cq.co.kr
Connection: keep-alive
Content-Length: 67
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://police.cq.co.kr
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.101 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://police.cq.co.kr/file998.php
Accept-Encoding: gzip,deflate
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4,und;q=0.2
tel=skt&tel2=010&tel2-1=1111&tel2-2=1111&card1=880303&card2=1112568
실제 다운로드 된 악성 어플리케이션 android..apk 는 알약 안드로이드에서 "Trojan.Android.KRBanker" 로 탐지 하고 있다.
'IT 보안소식' 카테고리의 다른 글
판도라TV(PANDORA.TV), 외부 해킹으로 인한 고객정보 11만건 개인정보 유출 사건(2014-10-13) (0) | 2014.10.16 |
---|---|
안랩(Ahnlab), 윈도우 보안 업데이트 이후 제품 업데이트 및 실행 오류 해결 방법 (0) | 2014.10.15 |
구글 크롬(Google Chrome), 38.0.2125.101 업데이트 (0) | 2014.10.13 |
[사이트 변조] 제이쿼리(JQuery)함수를 이용한 악성코드 다운로드 방식 주의!! (2) | 2014.10.07 |
네이트온(NateOn), 네이트온 5.1.12.0 업데이트 안내 (2014-10-01) (0) | 2014.10.06 |
댓글