본문 바로가기

벌새::Analysis

전화번호 입력을 요구하는 택배 스미싱(Smishing) 문자를 이용한 악성앱 주의 (2015.5.30)

2014년 하반기경부터 전파되는 택배 스미싱(Smishing) 문자 중에서는 가짜 택배 웹 사이트로 접속을 유도하여 문자를 수신한 휴대전화 번호를 입력해야지 APK 악성 파일을 다운로드하는 변칙적인 사례가 발견되고 있었습니다.

[한진택배] 배송예약이 많아 1~2 배송문지연 배송정보 다시확인해주세요 h5fo.hiun3.com

최근에 유포된 한진택배 배송 지연 관련 스미싱(Smishing) 문자를 통해 자세하게 살펴보도록 하겠습니다.

수신된 스미싱(Smishing) 문자를 스마트폰 환경이 아닌 PC와 같은 다른 접속 환경으로 접속할 경우에는 자동으로 로젠택배 공식 사이트로 연결(※ 문자 내용과는 달리 한진택배로 연결되지 않습니다.)하여 분석을 방해하고 있으며, 해당 홈 페이지에서는 "운송장 번호 입력"을 통해 택배 조회 서비스를 제공하고 있습니다.

반면 정상적인 스마트폰 환경을 통해 스미싱(Smishing) 문자에 포함된 URL 주소를 통해 접속을 할 경우 가짜 로젠택배 웹 사이트로 연결되며, 상단에는 운송장 번호가 아닌 휴대전화 번호(010 - **** -****)를 입력하도록 구성되어 있습니다.

만약 유효하지 않은 전화번호를 입력할 경우 "입력번호오류다시 입력해주세요 (3회남음)"이라는 메시지 창이 생성됩니다.

문자 수신자의 전화번호를 입력한 경우 "휴대폰알수없는출처 어플을 설치하는 법"이라는 방법을 안내하는 페이지로 연결되어 "보안 → 알 수 없는 출처" 항목에 체크되어 있지 않은 스마트폰의 경우 설정을 변경하도록 유도하여 다음과 같은 APK 악성 파일을 다운로드하도록 합니다.

  • 010********.apk (SHA-1 : de81147f53f7621e45a51dbe346a276d4e09b13f) - AhnLab V3 Mobile : Android-Downloader/Bankun.4dad, 알약(ALYac) : Trojan.Android.Downloader.KRBanker

다운로드된 (전화번호).apk 악성 파일은 택배차 아이콘 모양을 하고 있으며, 실행시 다음과 같은 악의적인 행위를 수행합니다.

  • android.permission.ACCESS_WIFI_STATE
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.WAKE_LOCK
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_PHONE_STATE
  • android.permission.SEND_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.MODIFY_PHONE_STATE
  • android.permission.CALL_PHONE
  • android.permission.WRITE_CONTACTS
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • com.android.launcher.permission.UNINSTALL_SHORTCUT
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.RESTART_PACKAGES
  • android.permission.GET_TASKS
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.READ_LOGS
  • android.permission.VIBRATE
  • android.permission.MODIFY_AUDIO_SETTINGS
  • android.permission.INTERNET
  • android.permission.ACCESS_NETWORK_STATE

"한진택배." 애플리케이션 이름을 가진 해당 악성앱은 연락처 정보 확인, SMS 문자 메시지 수신/발송, 바로가기 아이콘 생성 및 삭제, 특정 프로세스 종료, 경고창 생성 등의 권한을 요구하고 있습니다.

설치가 완료된 경우 "한진택배." 바로가기 아이콘을 생성하지만 사용자가 악성앱을 실행할 경우 아이콘을 자동 삭제하여 자신의 존재를 숨깁니다.

실행된 "한진택배." 악성앱은 기기 관리자 활성화를 요구하며 허용시 화면 잠금 기능 수행 및 제거 버튼을 비활성화하여 삭제를 방해하므로 기기 관리자 활성화를 함부로 허용하지 않도록 매우 주의하시기 바랍니다.

성공적으로 설치가 이루어진 "한진택배." 악성앱은 스마트폰에 설치된 4종의 모바일 뱅킹 애플리케이션 검사를 수행합니다.

 

  1. NH 스마트뱅킹(nh.smart)
  2. 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking)
  3. 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank)
  4. 우리은행 원터치개인뱅킹(com.webcash.wooribank)

또한 "yiod4.y30icv.com" C&C 서버와 지속적인 통신을 통해 감염된 스마트폰에 표적이 되는 모바일 뱅킹앱이 존재할 경우 다음과 같은 메시지 창을 생성할 수 있습니다.(※ 테스트 당시에는 서버 연결이 이루어지지 않고 있습니다.)

  • 새로운 업데이트가 있습니다. 최신버전으로 보안강화하시기 바랍니다.
  • 새로운 업데이트가 있습니다.보다 더 안전한 스마트뱅킹을 사용하기위하여 최신버전을 다운받으시기 바랍니다.

이를 통해 사용자가 업데이트 창을 통해 확인 버튼을 클릭할 경우 기존에 설치된 모바일 뱅킹앱을 삭제한 후 동일한 이름과 아이콘 모양을 가진 가짜 모바일 뱅킹앱을 다운로드하여 설치할 수 있습니다.

 

  • 가짜 NH 스마트뱅킹(nh.smart) : h**p://yiod4.y30icv.com/***/KR_NHBank.apk (SHA-1 : 13d1b337c0b1a387a8bc997fa121f8b3ac1aeb18) - avast! : Android:Agent-AXX [Trj]
  • 가짜 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking) : h**p://yiod4.y30icv.com/***/KR_SHBank.apk (SHA-1 : fc2beb475504ea8f49d954fffddba5510c5c1efa) - Kaspersky : HEUR:Trojan-Banker.AndroidOS.Tebak.a
  • 가짜 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank) : h**p://yiod4.y30icv.com/***/KR_HNBank.apk (SHA-1 : 5448d22f354fe0bc195f1337db588506025328a3) - AhnLab V3 Mobile : Android-Trojan/Bankun.697c
  • 가짜 우리은행 원터치개인뱅킹(com.webcash.wooribank) : h**p://yiod4.y30icv.com/***/KR_WRBank.apk (SHA-1 : 3f579b7a5fcae33c4a4d81e2dbb5ab68e8ee8bce) - AhnLab V3 Mobile : Android-Trojan/SMSstealer.60c1

이렇게 다운로드 및 설치가 이루어진 모바일 뱅킹앱을 실행할 경우 공인인증서 유출, 과도한 개인/금융 정보 입력을 요구하는 방식으로 정보 유출이 이루어질 것으로 추정됩니다.

그러므로 "한진택배." 악성앱이 설치된 스마트폰 사용자는 기기 관리자에 등록된 항목을 비활성화한 후 설치된 애플리케이션 목록에서 악성앱을 찾아 제거하시기 바랍니다.

 

또한 추가적으로 다운로드되어 설치될 수 있는 모바일 뱅킹앱이 존재할 수 있으므로 모바일 백신을 통한 정밀 검사 또는 설치되어 있는 모바일 뱅킹앱을 찾아 모두 삭제한 후 Google Play에서 재설치를 하시기 바랍니다.

 

지속적으로 유포가 이루어지고 있는 택배 관련 스미싱(Smishing) 문자는 실제 택배 수령이 예정된 경우 쉽게 속을 수 있으므로 문자에 포함된 URL 주소를 클릭하여 APK 파일 다운로드 및 설치를 요구할 경우에는 절대로 실행하는 일이 없도록 주의하시기 바랍니다.

 

  • 기존에 방법에서 조금 진화한 느낌이들기도합니다

  • 아카리 2015.06.11 13:34 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다.
    주변 지인들과 공유해서 피해를 막아야 겠네요..
    그나저나 정말 소름돋네요..오늘 올려주신 사이트에 접속해서 아무 생각없이 휴대폰 번호까지 입력했었는데, 혹시 이게 번호 입력만으로도 개인정보 및 금융정보가 유츌이 되는것인지 궁금하네요..
    어플 설치는 다행히도 안했습니다..

    • 번호 입력을 요구하는 것은 아마 보안 업체를 견제할 목적이지 개인정보 수집은 아닐꺼라 생각됩니다.

      그리고 번호 입력을 통해 최종적으로 apk 파일을 다운로드하여 설치하도록 하는게 목표다보니 입력으로는 스마트폰에 영향을 주지 못합니다.

  • 기막힘 2015.07.01 10:46 댓글주소 수정/삭제 댓글쓰기

    헐...ㅠ 근데요 제가 이문자를 받았는데.. 다운을 받자 악성코드가 발견됐다고 보니 한진백배였어요 그래서 클릭도 안한채로 삭제를 눌렀는데 이런경우도 피해가 올수있나요?

    • 문제가 되는 문자를 단순히 받는다고 감염되면 이 세상에 남아나는 것은 아무것도 없습니다.

      스미싱 문자는 문자에 포함된 링크를 클릭하여 apk 파일이 다운로드되고 그것을 사용자가 직접 클릭해서 설치 화면까지 눈으로 확인하면서 설치해야지 감염이 완성되는 구조입니다.

  • 비밀댓글입니다

    • 이미 공격자가 쑥님의 전화번호를 기존에 수집하여 스미싱 문자를 발송하였을 가능성이 있으므로 조회를 목적으로 입력한 부분으로 해킹할 부분은 없다고 생각됩니다.

      단지 차후에도 유사한 스미싱 문자가 지속적으로 올 수 있으므로 문자 내용이 의심스러운 경우에는 문자에 포함된 URL 주소를 함부로 입력하지 마시기 바랍니다.

      또한 링크를 통해 접속한 웹 사이트에서 과도한 정보 요구 또는 apk 파일을 다운로드하는 경우에는 정보를 입력하거나 파일을 실행하는 일이 없도록 주의하시면 됩니다.

  • ㅠㅠㅠ 2015.07.09 21:04 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 스미싱문자 당한 후 이리저리 검색하다 이곳을 알게되었습니다.
    저는 url접속하고 전화번호 입력 후 apk파일까지 자동으로 다운이 받아졌습니다.
    이후에 백신이 차단하여 파일 다운 후 설치는 안되었고 v3, 알약을 돌려 악성파일 삭제 후에 공장초기화까지 하였는데 혹시 피해가 있을까요?? 휴대폰에 뱅킹어플이나 공인인증서는 없고 소액결제는 이미 차단된 상황입니다. 결제가 문제가 아니라 주변분들에게 피해가 갈까봐 염려됩니다. 처음 이런 일을 당해서 크게 당황스럽습니다. 혹시나 하여 불안한 마음에 여쭤보니 답장 꼭 해주시면 감사하겠습니다 ㅠㅠ

    • 단순히 apk 파일을 다운로드하는 행위까지는 감염으로 연결되지 않습니다.

      다운로드된 apk 파일을 사용자가 직접 실행하여 앱 설치 화면을 비롯한 동의를 거쳐야 최종적으로 감염이 이루어집니다.

      적어주신 내용에서는 백신에서 차단해서 제거되었다면 공장 초기화까지 할 필요도 없습니다.^^

  • ㅠㅠㅠ 2015.07.09 21:26 댓글주소 수정/삭제 댓글쓰기

    빠르고 친절한 답장 감사합니다!!! ㅠㅠㅠ 덕분에 한시름 놓았습니다. 좋은 정보 주셔서 정말 감사합니다!!!!!!!

  • 저이거문자들가서 번호입력하고 다운로드받고 설치했더니 인증번호가 막와서 이상하다싶어서 보안프로그램돌려서 악성코드제거하고 혹시몰라 초기화시키고 소액결제차단했는데 괸찮을까요ㅠ히필반품처리한택배기하나딱있었는데 ㅠ 걸려들줄이야 폰이다행인건 새로산거라서..인증서은행프로그램은 하나도 안깔렸었어요..빠른답주싱정말김사할게요ㅠ

    • 일반적으로 이런류의 악성앱은 모바일뱅킹을 표적으로 하므로 스마트폰에 관련앱이 없었다면 큰 영향은 없었으리라 생각됩니다.

      게다가 모바일 백신으로 치료하였고 공장 초기화까지 했다면 해결되었습니다.

  • Bbcometrue 2018.05.11 13:29 댓글주소 수정/삭제 댓글쓰기

    지금도 해주시는지 모르겠지만 제가오늘 cj택배 스미싱문자받고(하필 오늘 cj택배쪽에서 택배가 오기로 되어있어가지고) 그 사이트에 들어가서 전화번호 입력하고 이상한 어플이 다운로드 되었는데 그 어플은 설치는안하고 바로 삭제해버렸습니다 이런경우도 문제가 될까요?