CKMall 해외결제 문자를 통한 KRbanker 악성어플리케이션 주의

반응형
728x90

 

안녕하세요 처리의 블로그입니다.

2021년 10월 19일부터 불특정 다수에게 아래와 같은 스미싱 문자메시지가 전달되고 있어 한번 알아보려 합니다.

"○○○님 [CKMall] 해외결제 969,000원 본인아닐시 신고요망 고객센터 070-7893-1230"

출처 : https://hummingbird.tistory.com/6891

 

제가 직접 받은 문자메시지가 아니지만, 확인 된 내용에 따르면 사용자가 결제금액을 확인하기 위해 070-7893-1230에 전화를 하게 되면 상담사가 특정 URL을 불러준다고 하네요.

실제 070-7893-1230 자체도 현재 스팸으로 등록되어 있습니다.

스팸 데이터 베이스 자료 (http://www.missed-call.com)

 

상담사가 불러주는 URL은 hxxp://43.242.131.4 인데, 현재도 접속이 가능하네요 그렇다고 접속해보지는 마세요!! 

URL에 접속 하면 아래와 같이 CK Mall에서 보낸것 처럼 허위로 사이트를 만들어두고 배송조회를 클릭하면 APK를 다운로드(ck1018.apk) 받는 식으로 진행이 되네요.

CK Mall을 사칭 한 홈페이지 화면

 

개인적으로 웃긴건 CK Mall(http://ckmall.co.kr)을 사칭하면서도 홈페이지는 타오반점(https://www.taobanjeom.com)을 따라한것으로 보이네요.

악성 어플리케이션 제작자가 만든 홈페이지
타오반점 홈페이지 화면

 

다시 본론으로 오자면, 실제 APK를 받는 주소는 hxxp://43.242.131.4/apk/43.242.131.4/ck1018.apk 입니다.

ck1018.apk 다운로드 화면

 

그리고 실제 CK Mall에서도 해당 문자메시지에 대한 공지를 하고 있었네요. 
문자를 받은 사람들이 아마 CKMall에 문의를 해서 공지를 한건지, 아니면 외부유출이 있었는지는 아직 확인되진 않았습니다.

CK Mall 실제 공지 화면

 

다운로드 된 ck1018.apk를 분석하려고 살펴보았는데 대부분의 코드들이 난독화가 되어있고 이걸 해제하려면 시간이 매우 걸리기 때문에 간단하게만 봐볼께요.

일단 AndroidManifest 내용을 보면, Package Name은 com.livelihood.tools, Main Activity는 dYbx.x7fg.N6js 입니다. Permissions 정보를 쭉 살펴보면 대부분 사용자의 개인정보를 털어가는 KRbanker에서 자주 사용하던 퍼미션들이여서 이 apk 파일도 Banker 쪽으로 의심을 하게 되네요.

android.permission.PROCESS_OUTGOING_CALLS 
android.permission.ACCESS_COARSE_LOCATION 
android.permission.BLUETOOTH 
android.permission.CAMERA 
android.permission.INTERNET 
android.permission.BLUETOOTH_ADMIN 
android.permission.WRITE_CONTACTS 
android.permission.WRITE_CALL_LOG 
android.permission.READ_CALL_LOG 
android.permission.WRITE_EXTERNAL_STORAGE 
android.permission.RECEIVE_SMS 
android.permission.ACCESS_FINE_LOCATION 
android.permission.CALL_PHONE 
android.permission.READ_PHONE_STATE 
android.permission.READ_SMS 
android.permission.SYSTEM_ALERT_WINDOW 
android.permission.CHANGE_WIFI_STATE 
android.permission.RECORD_AUDIO 
android.permission.READ_CONTACTS 
android.permission.CHANGE_NETWORK_STATE 
android.permission.REQUEST_DELETE_PACKAGES 
android.permission.ACCESS_COARSE_UPDATES 
android.permission.MANAGE_OWN_CALLS 
android.permission.BOOT_COMPLETED 
android.permission.RECEIVE_USER_PRESENT 
android.permission.REQUEST_INSTALL_PACKAGES 
android.permission.ACCESS_NETWORK_STATE 
android.permission.GET_TASKS 
android.permission.ACCESS_BACKGROUND_LOCATION 
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS 
android.permission.READ_EXTERNAL_STORAGE 
android.permission.RECEIVE_BOOT_COMPLETED 
android.permission.BROADCAST_STICKY 
android.permission.FOREGROUND_SERVICE 
android.permission.SYSTEM_OVERLAY_WINDOW 
android.permission.VIBRATE 
android.permission.ACCESS_LOCATION_EXTRA_COMMANDS 
android.permission.ACCESS_WIFI_STATE 
android.permission.WAKE_LOCK 
android.permission.MODIFY_AUDIO_SETTINGS 
android.permission.ANSWER_PHONE_CALLS

 

파일 내부를 더 살펴보니, 역시나 금융권 로고들이 보이고 사용자를 속이기 위한 허위 홈페이지들도 보이네요.

금융권 관련 아이콘 리스트
사용자를 속이기 위한 허위 금융권 홈페이지

 

요즘은 ISP 업체에서도 자체적으로 스미싱 관련 주소를 막고, 백신 어플리케이션들을 통해 스미싱을 막고 있지만 제작자들은 지속적으로 교묘하고 치밀힌 스미싱 문자들과 악성 앱을 만들고 있으니 의심되는 문자를 수신하였을 경우에는 전화나 문자메시지에 적힌 주소(URL)를 클릭하지 마시고 한국인터넷진흥원(☎ 118)로 신고하면 안전하게 확인 할 수 있습니다.

그것도 귀찮다면 제 블로그 댓글로 보내주시면 제가 빠르게 확인 후 알려드릴 수 있습니다^^

반응형

댓글(8)

  • 2021.10.21 03:45 신고

    주소 바뀌었고 악성코드 내부도 많이 변경 된것 같네요.

  • Ssss
    2021.10.22 17:03

    오늘 문자받아 전화했다 앱을 깔았어요...어떻게해야하나요??? ㅜㅠ

    • 2021.10.22 17:16 신고

      앱을 다운로드만 하시건지, 설치까지 하신건지요? 만약 설치만 했다면 그나마 다행이신데 설치하시고 은행어플이나 그런곳에 들어가시진않으셧나요?

  • 2021.10.22 17:04 신고

    알약설치하시고 검사해보세요 KRbanker로 탐지되는게 있을겁니다

    • 2021.10.22 17:13

      바로 앱을 삭제하긴했는데요...핸드폰에 악성앱이 깔렸을까요?? 설치하고 거기서 배송조회하라고해서 이름, 연락처,생년월일 치고 검색했어요~~~ ㅜㅠ 그거 조회만으로도 결제가 될까요? ㅜㅠ

Designed by JB FACTORY