최근 택배회사를 위장한 스미싱이 유포되고 있어 사용자들의 주의가 요구 됩니다.

보안 전문 업체 ‘이스트 시큐리티’ 에 따르면 금번 유포된 스미싱은 다음과 같은 문구를 사용하고 있으며 사용자가 스미싱 내 링크를 클릭하면 대한통운을 위장한 피싱 페이지로 이동하여 본인확인을 위한 정보 입력을 유도하는 것으로 확인되었습니다.

[그림1] 택배사 사칭 스미싱 문자

또한 유사 피싱 페이지와 다르게 입력한 번호를 검증하는 로직이 추가되어 임의의 번호를 입력하면 재입력 요청을 수행합니다. 번호는 총 3번 입력할 수 있으며 3번 모두 오류 발생 시 자동으로 실제 CJ 사이트로 이동됩니다.

[그림2] 피싱 페이지 메인화면 & 번호 입력 오류창

만약 사용자가 정상적인 전화번호를 입력 후 다음단계로 이동하면 이름과 생년월일을 입력하는 창이 활성화 되며 해당 정보 입력 시 실제 악성앱을 다운로드 할 수 있는 페이지로 이동합니다.

[그림3] 생년월일 입력 페이지

사용자가 해당 앱을 다운로드하여 휴대전화에 설치하게 되면 설치된 악성 앱은 자신을 보호하기 위하여 기기 관리자 권한을 요청합니다. 악성 앱이 해당 권한을 가지게 되면 휴대전화에 백신이 설치되어 있는 경우에도 치료 및 제거를 위해서는 악성 앱의 관리자 권한 해제가 필요하기 때문에 진단이 제한됩니다.

[그림4] 악성 앱 다운로드 페이지

설치가 완료된 악성앱을 실행하면 아무런 내용이 없는 화면이 나타나거나 실행이 제대로 되지 않는 것처럼 홈 스크린 화면을 표시하지만 백그라운드에서 동작되고 있으며 설정 된 애플리케이션 목록에서만 확인이 가능합니다.

해당 악성앱은 사용자 단말의 사진, 문자메시지 등 정보를 탈취하여 공격자에게 전송하기 때문에 정보유출 등으로 인한 2차 피해가 발생 할 수 있으며 추가 파일 설치 등의 방식으로 악성행위를 수행 할 가능성이 있어 사용자들의 각별한 주의가 요구 됩니다.

현재 알약M(모바일용 알약 솔루션)에서는 해당 파일들에 대해 Trojan.Android.SmsSpy 로 탐지 및 치료가 가능합니다.