본문 바로가기
스미싱(Smishing), "사용자 정보(통신사,휴대전화번호,주민등록번호)"를 입력해야 다운로드 되는 악성 어플리케이션 주의 9월달에 확인 된 스미싱 문자 중에서 "사용자 정보(통신사,휴대전화번호,주민등록번호)"를 입력해야 악성 어플리케이션이 다운로드 되는 경우가 확인되었다. 이전에 소개했던 캡챠 코드(CAPTCHA)를 이용한 유포 방식과 비슷한 양상이다.보안업체 및 스미싱 탐지 어플리케이션을 우회하려고 의도적으로 만든 것이다. 그래도 이렇게 꾸준하게 변하는 애들은 그나마 보안업체 및 스미싱 탐지 어플리케이션을 신경쓰고 있다는 것이니 기분은 나쁘지 않다.(니놈들 때문에 우리도 꾸준히 성장한다!!) 아래의 내용은 실제 스미싱 문자를 수신받은 문자 내용이다.- 임OO귀하의 민사소송건이 접수되었으니 확인바랍니다. http://me2.do/GXo9B5RL ㄴ http://me2.do/GXo9B5RL ㄴ http://police.cq... 2014. 10. 14.
스미싱(Smishing), DES 암호화를 이용한 "Fake Classes.dex" 악성 어플리케이션 주의 지난 6월 18일경 2014년 브라질 월드컵 관련 스미싱 문구들이 발견되어서 포스팅을 준비하다가 이상한 APK 파일을 보게 되었다. 분석을 다 하고 나니, 비슷한 경우가 이전에도 있었던것으로 보인다. (이전에는 "ypt.db" 파일이 아닌 "ds" 파일로 유포가 되었던거 같다.) [분석봇님 블로그] DES로 암호화한 스미싱 파일 분석하기[FireEye Blog] What are you doing? – DSEncrypt Malware 아래의 내용은 실제 브라질 월드컵 스미싱 문자를 수신받은 문자 내용이다.- 브라질 월드컵 거리응원 ‘무한도전’이간다 함께 참여합시다 sbsfune.krsbs.com - 월드컵 거리응원 교통통제 미리체크 확인 sbsfune.krsbs.com - 브라질 월드컵 거리응원장소 어디 .. 2014. 6. 25.
공다팩(GongDa Exploit Kit), 단축URL(Short URL)을 이용한 안드로이드(APK) 다운로드 시도 주말에 자주 보이는 공다팩(GongDa Exploit Kit)으로 인하여 DBD(Drive-By-Download) 되는 APK가 이제는 단축URL(Short URL)을 사용하기 시작했다. 단축 URL을 쓰는 이유는 디텍션 시스템들에서 자신들의 APK URL이 쉽게 노출 되어서 그런 듯 싶다. □ 관련 내용 공다팩(GongDa Exploit Kit), PC(EXE) 악성코드도 모자라 안드로이드(APK)까지 다운로드 시도 [VirusLab] DBD APK 유포방식에서 구글 단축 URL 도입 이번에 확인 된 URL은 아래와 같다. http://www.websmedia.co.kr/biz/v/index.html -> GongDa Exploit Kit ㄴ http://goo.gl/UsibrF -> Short URL.. 2014. 4. 25.
스미싱(Smishing), "피싱(Phishing) 사이트"를 통한 악성 어플리케이션 다운로드 주의 금일 탐지 된 스미싱 문자를 확인하던 중 피싱(Phishing) 사이트를 통해 악성 어플리케이션이 다운로드 되는것이 확인되었다. 큰 이슈는 아니지만 차후 기록용으로 간단하게 포스팅 한다. 이번 피싱 사이트의 내용은 아래에서 간략하게 설명한다. 아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다. - 3D가상성형어플 출시 이벤트 가상성형사진 올리고 공짜수술받자 3d****.com ※ 현재 유포서버가 동작 중이라 일부 사이트 주소를 모자이크 처리 ※ 알약 안드로이드에서는 해당 파일을 Trojan.Android.KRBanker 로 탐지 중이다. ※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람!! 사용자가 받은 스미싱 문자.. 2014. 2. 8.
스미싱(Smishing), "나무 클라우드(NamuCloud)" 서버를 이용한 스미싱 메시지 주의 금일 탐지 된 스미싱 문자 중에서 "나무 클라우드(NamuCloud)" 서버를 이용한 악성 어플리케이션 다운로드를 확인하였다. 이전에 "SK T Cloud(티 클라우드)"를 이용해서 배포를 하더니, 그쪽에 대응을 시작하니 다른 클라우드 서버로 이동한 것으로 보인다. 이전 티 클라우드 관련 내용은 아래의 링크에서 확인하면 된다. 스미싱(Smishing), SK "T Cloud(T클라우드)" 서버를 이용한 스미싱 메시지 주의 이번 나무 클라우드의 내용은 아래에서 설명하겠다. 아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다. - 대박웃김 ㅎㅎ 꼭! 보세요 2014good.in - 1월 동창회 정기모임 안내입니다. khiboks.info 꼭! 참석하세요 - 페이스북친구 요청이 되였습니다 khiboks.in.. 2014. 2. 4.
스미싱으로 전파 된 "친절한 악성 인터넷뱅킹 어플리케이션" 스미싱으로 전파 된 녀석들 중에서 아주 친절하게 인터넷 뱅킹 은행사를 대신하여 "개인정보 강화서비스" 를 해준다고 한다 ㅎㅎ 해당 파일들의 특징은 리소스에 뱅킹앱의 이미지 파일을 담고 있는 것인데, 이것 또한 친절하게 써두었다. ※ 모든 그림에 들어간 문구는 "은행명"을 제외하곤 모두 동일하다. "안녕하세요. 대한민국의 꿈과 희망을 키우는 우리나라 대표은행 OOOO 입니다. 항상 OOOO 은행을 이용해주시는 고객님들께 감사 드립니다. OOOO 인터넷뱅킹 개인정보 강화서비스 OOOO 고객님만을 위한 개인정보 강화서비스 개인정보 유출로 인한 피해사례 때문에 고객님들의 개인자산 안전을 위하여 전면 개인정보 강화 제도를 실시하고 있습니다. 인터넷뱅킹 고객님들을 위한 OO은행 특별 개인정보 강화서비스 입니다. 이.. 2014. 1. 28.
스미싱(Smishing), SK "T Cloud(T클라우드)" 서버를 이용한 스미싱 메시지 주의 (추가) 금일 탐지 된 스미싱 문자 중에서 "SK T Cloud(티 클라우드)" 서버를 이용한 악성 어플리케이션 다운로드를 확인하였다. 아주 대담한 녀석들이다!! SK 이통사 클라우드 서버에 악성파일을 업로드 하다니!! 이로서 SK T Cloud(티 클라우드)에 헛점이 있는 것도 함께 밝혀졌다. (이 문제는 바이러스랩 블로그에 기재되었으니, SK통신사에 전달되었으니 차후 수정 될 것 같다) [VirsLab Blog] T Cloud 서버를 이용한 스미싱 공격 등장 ※ 추가내용(2014-01-29) 2014년 1월 29일 SK T Cloud(티클라우드)에서는 악성 어플리케이션을 다운로드 받지 못하도록 조치하고 있다. APK를 받으려고하면 다운로드를 할 수 없다는 팝업창을 보여준다. 자세한 내용은 아래에서 설명하겠다... 2014. 1. 27.
스미싱(Smishing), 이중 URL로 사용자를 현혹시키는 스미싱 메시지 주의 현재까지 모든 스미싱 문자 메시지는 하나의 URL을 사용해왔다. 하지만 이번에 발견 된 스미싱 문자 메시지는 사용자를 더 완벽하게 속이기 위하여 이중으로 URL을 보내는 것으로 보인다. 자세한 내용은 아래에서 설명하겠다. 아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다. 조용희~보세요~~** https://be**.*** 기항후하지원19금영상~ Wudi0123.*****.net ※ 아직 유포 중인 URL이라 일부 수정 ※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람 (사실 계속 On으로 켜둬야 맞는거임 ㅡ.ㅡ;;) 위의 내용을 보면 URL이 2개가 표기되어 있는 것을 알 수 있다. 첫번재 URL - "조용희~보세.. 2014. 1. 9.