"수입물품 세금확인" 보이스피싱으로 이어지는 스미싱 문자 메시지

안녕하세요 처리의 블로그입니다.

8월달에 스미싱 문자가 오더니, 이어서 보이스피싱으로 이어지는 스미싱 문자가 오네요!!
(아이 행복해 *^-^*)

[국제발신]
김OO님
수입물품 세금확인
미납세금:892,624원
토관번호46**57
자동처리예정
민원실:029030421

국민건강보험 스미싱 문자 화면

 

제가 이런 보이스 피싱 관련 문자를 매우 기다렸거든요.
이유는 이전 포스팅을 보시면 해당 내용을 녹음하지 못해서 매우 아쉬웠거든요 ㅋㅋㅋ

해외결제 스미싱 문자는 계속 된다.

이전 포스팅에는 상담사와 전화통화 시 네이버에 IP주소를 적는 방식으로 악성 사이트에 접속해서 APK를 다운로드 유도하였는데, 이번에는 국민 메신저인 "카카오톡"을 이용해서 악성 사이트에 접근을 시키고 있습니다.

자세한 내용은 아래부터 설명하겠습니다.

일단 메시지에 적힌 민원실이라는 곳에 전화를 해서 이런 통화를 했습니다.
(드디어 녹음에 성공!! 아직 편집을 못해서 문구로만 미리 공유 드려요!!)

나 : 문자 때문에 전화 했는데요  사기꾼 : 어떤 문자 받으셨어요? 나 : 세금 확인요  사기꾼 : 선생님 성함이 어떻게 되실까요? 저희 한번 도움 드릴께요 나 : OOO 이요  사기꾼 : "잠시만요, 네 선생님 본인 명의로 800만원 이상 가량의 해외 물품을 구매하신걸로 확인되시구요  그로인해 세금 안내문자 들어갈 걸로 확인되는데요. 이거 선생님께서 구매하신거 아니세요?" 나 : 네 아니에요  사기꾼 : 그러면 선생님 최근 3년 이내에 휴대폰 분실하셨다거나, 수리 맡기신 적은 있으세요? 나 : 아니요 없어요  사기꾼 : 없으세요, 휴대폰 기종이 삼성이세요 아이폰이세요? 나 : 삼성이요  사기꾼 : 삼성이세요, 어 일단은 선생님 본인께서 구매하신게 아니시라면 개인정보 유출로 선생님 명의가 도용이 되신걸로 의심이 가시거든요.일단 세금 부과되신 부분 피해보상 받으실 수 있도록 그리고 추후에 금적으로 피해 안보시도록 문자내역 확인하고 금융감독원에 신고접수 해드릴까요? 나 : 아 그렇게 해주세요  사기꾼 : 우선은 방금 전에 받으신 문자를 캡쳐나 복사하셔서 저희 관세청 민원센터 카카오톡으로 보내주셔야 하는데, 통화중에 문자내역 캡쳐는 가능하세요? 나 : 잠시만요 나 : 어떻게 해야되죠?  사기꾼 : 일단 문자 캡쳐하시고 나서 카카오톡 들어가시면 말씀해주세요.  나 : 그러니까 캡쳐를 어떻게 해야해요? 사기꾼 : 문자를 꾹 누르시며는 복사 나오세요? 나 : 아 네네 나와요  사기꾼 : 네네, 그리고 복사한번 하시고 나서 카톡 들어가시면 말씀해주세요. 그러면 제가 안내 도움 드릴께요 나 : 아네 들어가 있어요  사기꾼 : 아이디 추가 방식 아실까요?  나 : 네 알아요  사기꾼 : 아이디 추가로 들어가주시구요, 제가 관세청 아이디 불러드릴께요 나 : 잠시만요  사기꾼 : 아이디 제가 불러드릴껀데, 영문 소문자 k 그리고 3267 나 : 소문자 k요?  사기꾼 : 네 그리고 3267, 확인 한번 누르시면 관세청 친구 추가라고 나오시죠? 나 : 네네  사기꾼 : 네네 친구추가 한번 클릭 해 주시구요, 밑에 1:1 채팅 클릭하시면 대화창 나오시죠?  사기꾼 : 대화창에 일단 선생님 성함을 보내주시고요,  나 : 여기다가 제 이름만 쓰면되요?  사기꾼 : 네 성함을 보내주시구요  나 : 네 보냈어요  사기꾼 : 그리고 방금전에 캡쳐하신 문자 내용을 보내주시고 말씀해주세요 나 : 네 잠시만요  사기꾼 : 네 확실히 본인 명의로 세금안내문자 받으신거 확인되시고요, 선생님 본인께서 본인명의로 직접 어떤 물품이 구매되셨는지 확인을 해보신 후에 확실히 선생님께서 구매하신게 아니시라면 저희가 금융감독원에 신고접수 넣어드릴껀데 저희가 저희 관세청 홈페이지 보내드렸어요 카톡으로 보이실까요? 나 : 네 보여요  사기꾼 : 본인이 하는데까지만 안내 도움 드릴껀데 한번 클릭하시고 들어가면 홈페이지 나오시죠? 저희 관세청 홈페이지 나 : 네 나와요  사기꾼 : 홈페이지 보시면 개인통관 고유부호발급 보이세요? 나 : 잠시만요  사기꾼 : 지금 컴퓨터로 하시는거에요? 나 : 네네네  사기꾼 : 컴퓨터로 하시면 안되시는데…. 나 : 아 모바일로 해야되요?  사기꾼 : 선생님 본인 명의로 하셔야 되시거든요 그리고.....뚜뚜뚜뚜 끊어짐

 

이렇게 카카오톡 친구추가를 이용하여 악성 사이트를 공유하고 접속해서 APK 파일을 다운로드 받게 하는 수법을 사용하고 있습니다. 아주 영악하고 간사한 놈들이네요!!

카카오톡 친구 추가로 본인 인증하는 화면

본인 확인이 끝나면, 링크를 하나 건네줍니다.

관세청을 사칭 한 피싱 페이지 전달 화면

링크는 역시 관세청 허위 사이트입니다.

관세청 사칭 피싱 사이트 화면

정상 관세청의 간편 본인인증 서비스 화면

통화목록에서 보셨듯이 "개인통관고유부호발급"을 클릭해서 "간편 본인인증서비스"를 통해 실명인증을 하게 되면 파일이 다운로드 됩니다.

악성 어플리케이션 다운로드 화면

다운로드 된 APK 파일의 정보는 다음과 같습니다.

파일명	Customs.apk
MD5	CC822C85B617E58E25C65416CE1FF140
SHA1	29A57027F039D62B47F86FEB96635DB2532DF354
SHA256	461CA1E5D0843A3B54B238FF8AA24020AEB48B8BD58BA929C127D699056A358E

다운로드 받은 Customs.apk 파일은 모바일 관세청을 사칭한 앱으로써 사용자가 "개인통관 고유부호발급"을 확인하게 해서 잘못 된 세금을 신고하는 것처럼 보여지지만, 실제로는 2개의 어플리케이션을 더 설치하는 드롭퍼역활이며 설치 된 2개의 어플리케이션 "개인정보보안", "키보드보안" 이 사용자의 단말기 정보 및 개인정보를 훔쳐가는 역활을 수행 합니다.

악성 어플리케이션 실행 화면

추가 악성 어플리케이션을 설치하는 화면

추가 설치 된 악성 어플리케이션의 권한 리스트 화면

해당 APK 파일은 코틀린(Kotlin) 언어로 작성되어 분석하기에 시간이 조금 걸릴 것 같아 차후에 한번 분석해보는걸로 해야겠습니다.  일단 코틀린(Kotlin) 언어로 작성 된 APK는 안드로이드 스튜디오의 Kotlin - Show Kotlin Bytecode를 사용해 바이트코드로 바꾸고 Java Decompile 로 보면 보일것으로 판단됩니다.

코틀린 언어로 작성 된 악성 어플리케이션

 

만약 이런 문자를 확인하고 어플까지 설치하셨다면, 모바일 보안제품을 설치하셔서 꼭 검사를 받으시고 피해가 의심된다면 아래의 방법으로 문의하셔서 상담을 받으시기 바랍니다.

* 스미싱 상담 및 신고방법
- 국번없이 118
- KISA 인터넷보호나라 www.boho.or.kr -> 상담 및 신고 -> 스미싱 신고