스미싱(Smishing), "사용자 정보(통신사,휴대전화번호,주민등록번호)"를 입력해야 다운로드 되는 악성 어플리케이션 주의

반응형




9월달에 확인 된 스미싱 문자 중에서 "사용자 정보(통신사,휴대전화번호,주민등록번호)"를 입력해야 악성 어플리케이션이 다운로드 

되는 경우가 확인되었다.


이전에 소개했던 캡챠 코드(CAPTCHA)를 이용한 유포 방식과 비슷한 양상이다.

보안업체 및 스미싱 탐지 어플리케이션을 우회하려고 의도적으로 만든 것이다.


그래도 이렇게 꾸준하게 변하는 애들은 그나마 보안업체 및 스미싱 탐지 어플리케이션을 신경쓰고 있다는 것이니 기분은 나쁘지 않다.

(니놈들 때문에 우리도 꾸준히 성장한다!!)


아래의 내용은 실제 스미싱 문자를 수신받은 문자 내용이다.

- 임OO귀하의 민사소송건이 접수되었으니 확인바랍니다. http://me2.do/GXo9B5RL

 ㄴ http://me2.do/GXo9B5RL

 ㄴ http://police.cq.co.kr/

 ㄴ http://police.cq.co.kr/file998.php

 ㄴ http://police.cq.co.kr/autonum.php

 ㄴ http://police.cq.co.kr/010-1111-1111/android..apk (입력한 전화번호가 폴더로 생성되며 이후 APK 파일을 다운로드)


※ 현재는 링크가 모두 차단되어 Full URL 공개!!



경찰청에서도 해당 스미싱 유포에 대해 공지를 하였다.


실제 사이트에 접속을 하면 아래와 같이 "서울지방경찰청"을 사칭하였으며, 사용자에게 "통신사, 휴대전화번호, 주민등록번호"

등을 기재하게 만든다.




모든 기재가 완료 되면, 사용자에게 android..apk 파일을 떨궈 준다.



사용자가 입력 한 정보는 제작자가 만들어 둔 autonum.php 서버로 전달 된다.

POST /autonum.php HTTP/1.1

Host: police.cq.co.kr

Connection: keep-alive

Content-Length: 67

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Origin: http://police.cq.co.kr

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.101 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://police.cq.co.kr/file998.php

Accept-Encoding: gzip,deflate

Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4,und;q=0.2


tel=skt&tel2=010&tel2-1=1111&tel2-2=1111&card1=880303&card2=1112568



실제 다운로드 된 악성 어플리케이션 android..apk 는  알약 안드로이드에서 "Trojan.Android.KRBanker" 로 탐지 하고 있다.

댓글(2)

  • 2014.10.14 19:05 신고

    호오.... 첨에는 아무 것도 안뜨던데 저렇게 바꼈네요....;;

    그리고 바탕화면을 모자이크 처리하신 이유가????????? 설마!?

Designed by JB FACTORY