피싱 앱 분석 2(대한통운, 우체국 택배수령인 스미싱)

문자발송을 통한 안드로이드 APK설치 안전할까 ? 

 

대한통운을 사칭해서,

택배 수령인이 없다 날짜 확인바란다는 문자를 보내 앱 설치 유도를 하는 

스미싱유도 문자가 있어 해당 내용  공유합니다. 

http://psgbfdc.qvwjk.xyz/rXTfrj.php

 

링크를 누르면 대한통운을 사칭한 사이트가 나타납니다. 

여기서  핸드폰 번호를 입력하면 앱설치를 유도합니다. 

* 해당 페이지 소스를 확인해보았는데, 악성코드는 발견 못했네요.

단순히 접속만 했다면 큰  문제는 없으니 안심하세요^^ 

 

이번엔 다운로드받은 스미싱 앱을 분석해보겠습니다. 

DevicePolicyManager 는 간단하게 관리자 권한으로

보통 스미싱앱에서는 삭제를 어렵게 하기위해 적용합니다.

앱아이콘이 사라지고, 삭제도 일반적인 방법으로 안됩니다.

혹 설치를 했다면 아래링크 3번째 방법을  통해 제거하세요. 

http://www.itworld.co.kr/news/104324

 

이전에 분석한 피싱앱과 동일하게 SMS를 감시하고 서버로 전달하도록 되어있네요.

특이한점은 xinxian!- 라는 문자를 받을 경우 특정 문자를 전달하도록 구성되어 있는 점이네요. 

 

직접설치는 하지  않아 모르겠지만,  SMS 인증코드를 전달하기 위한 용도로 보입니다.

흔히 본인인증을 하기 위해 SMS코드를 많이 발송하는데 이 앱을 설치했다면 인증코드가 피싱범들한테 전달되겠죠 ? 

 

혹 문자 내용 중 xinxian!- 가 있다면 브라우저를 통해 

앱을 다운로드 받지 않았는지 확인해보세요! 

 

해당코드 중 SMS_BlockState 라는 값을 변경하는데 이부분은 아래에  이어서 ~~

SMS_BlockState라는게 중간쯤 보이는데, 

해당값을 통해  걸려오는 전화를 끊어버리도록 구성되어 있습니다. 

 

전체흐름을 요약하면, 

xinxian!- 문자를 전달 받으면 걸려오는 전화를 자동으로 끊어  버리도록 

되어 있습니다.

 

앱에서 전송하는 곳을 담당하는 부분으로  GPS , File, 문자열 등등 

사용자의 각종정보를 빼오도록 되어있네요. 

 

최근에 스미싱앱을 보면 택배를  타겟으로 하는게 많던데 

보통 대형택배사들은 PlayStore에 정식으로 앱이  등록되어  있으니 

PlayStore가 아닌 앱 다운로드를 유도한다면 피싱을 의심하세요.

 

이번에 분석한 앱은 지난번 보단 기능(?)이  떨어지지만  

그래도 설치를  한다면  피해가 발생할 수  있으니 조심하세요!

 

Android API  23 (마쉬멜로우) 버전 부터  중요 permission은 사용자의 명시적인 승인을 얻어야 

사용이  가능합니다.

 

그래서  이상한 앱이 설치되더라도  권한승인만  하지 않으면 큰 문제는 발생하지 않으니 

브라우저를 통해  다운로드 받은 앱이 이상하다면  권한을 승인하지 말고 삭제하세요. 

 

요약.

1. 번호인증을 했다면 단순 전화번호 수집정도는 가능

2. 실제로 악용하기 위해선 앱 설치가 필요

3. 앱설치를 했더라도 권한승인을 안하면 큰문제는 없음 ( API 23 이상 ) 

 

그러니 너무 불안해 하지 마세요. 

'휴대폰 번호'는 입력하면 서버에 저장하게 할 수 있어 털릴 수 있지만 실제로 악용하려면 앱설치/권한승인까지 해주어야 하기때문에 앱만 설치 하지 않았다면 안심해도 됩니다.

 

그럼 한분이라도 도움이 됐길바라요!

 

https://runlife.tistory.com/174

택배배송 URL / 택배 사칭 스미싱, 피싱 앱 분석 후기[bit.ly ]