경찰청 교통민원24 피싱 사이트 분석-민원24 압류(예고)통지서 발송 완료(2025.5.17)

오늘은 민원 24 압류(예고)통지서 발송 완료로 문자로 오는 피싱 사이트 인 grsv(.)enizx(.)site(2025.5.17)에 대해 알아보겠습니다. 일단 이번 피싱 문자 들은 다음과 같이 법규위반과속운자동차벌점보고서 같은 걸로 문자로 왔지만 압류(예고)통지서 발송완료 
[Web발신][교통-(민원24)] 압류(예고)통지서 발송완료 
hxxps://clck(.)ru/3M7hbP
[Web발신]
[교통-(민원24)] 압류(예고)통지서 발송완료
hxxps://hrdcx(.)enizx(.)site
[Web발신][교통-(민원24)] 압류(예고)통지서 발송완료
hxxps://frscvx(.)enizx(.)site
[Web발신] [교통-(민원24)] 압류(예고)통지서 발송완료
hxxps://unsox(.)nsoez(.)site
[Web발신]
[교통-(민원24)] 압류(예고)통지서 발송완료
hxxps://grscvx(.)enizx(.)site
로 오고 있습니다. 일단 예전에는 벌점에서 압류(예고)통지서로 변경이 된 것을 확인할 수가 있었습니다.

경찰 이파인 피싱 사이트 인증서

피싱 사이트

hxxps://clck(.)ru/3M7hbP

교통 민원 피싱 사이트 PASS 인증 시스템

예전 안드로이드 인지 iOS 인지 환경을 확인했는데 이제는 그런 것 없이 작동을 하면 그냥 웹 소스를 보면 진짜 이파인(efine) 주소를 당겨 오는 것을 확인할 수가 있습니다.
아래에 보면 교통민원24 로그인 방식을 선택할 수가 있는 것을 확인할 수가 있으며 
간편 인증, 금융인증서 로그인, 공동인증서 (구 공인)로그인, 디지털원패스 로 로그인을 하는 것을 확인할 수가 있지만, 이제는 PASS 인증을 흉내를 내는 것이 특징입니다.
여기서 어느 것을 선택하든지 다 작동이 되면 HTTP Debugger Pro 로 보면 최종적으로 다음 사이트에 개인정보가 날아가는 것을 확인할 수가 있습니다.

가짜 PASS 정보 입력

개인정보 수집 사이트

hxxps://grsv(.)enizx(.)site/api/submit_data(.)php

HTTP Debugger Pro 본 피싱 사이트

그리고 HTTP Debugger Pro 보면 다음과 같이 정확하게 사용자가 입력한 정보를 확인할 수가 있고 대한민국의 안보와 안녕을 위협하는 꿀꿀이 김정은을 입력해 보았습니다.

POST /api/submit_data(.)php HTTP/1.1
Host: grsv(.)enizx.site
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:139.0) Gecko/20100101 Firefox/139.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Referer: hxxps://grsv(.)enizx(.)site/pass.html
Content-Type: application/json
Origin: hxxps://grsv(.)enizx(.)site
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=4
Accept-Encoding: gzip, deflate
Content-Length: 108
{"phone":"0101234578","telecom":"KT 알뜰폰","name":"김정은","birth":"820105","gender":"1","rrn":null}

인 것을 확인할 수가 있습니다.
즉 어떤 통신사를 선택하더라도 해당 부분은 PSSS 인증 시스템 진짜를 흉내 내는 피싱 사이트 입니다.
그리고 사이트 전체를 보면 이상하게 중국 정부 및 바이두가 있는 것을 확인할 수가 있었습니다.

최종적으로 악성코드 다운로드 하기

이렇게 진행을 하면 다음과 같은 내용을 확인할 수가 있습니다.
모바일 앱 다운로드
중요한 알림 :
업데이트 적용으로 말미암아 Google Play 프로텍트 인식되지
않는 경우가 있습니다.
아래와 같이 조작합니다.
알림 앱 검사 권장됨 시 클릭 세부정보 더 보기 선택검사 없이 설치.
국민연금 고객센터: 국번없이 1355
54870 전북특별자치도 전주시 덕진구 기지로 180 (만성동, 국민연금)인 것을 확인할 수가 있는데 아마도 구글 보안 시스템 중 하나인 Google Play 프로텍트 의식을 하는 것 같고 그리고 보면 경찰청인데 뜬금없이 국민연금 이 나오는 것으로 보아서 국민연금으로 사기 치려고 하는 것 같은데 악성앱을 실행을 하면

경찰청교통민원24 피싱 앱

다. 여기서 교통단속이든 교통 민원이든 어는 것을 누르든지 신용카드 번호, 신용카드 유효 기간, CVC 코드, 비밀번호를 물어보는데 뭐~그냥 나는 사기꾼이니 당신의 돈은 저의 돈입니다. 라는 뜻입니다.

경찰청교통민원24 피싱 앱 신용카드 정보 수집

은행 계좌 번호를 등록하라고 하는 것을 보면 아마도 은행 계좌, 계좌 비밀번호, 은행명을 물어보는 것을 보면 그냥 나는 당신의 돈을 가져가겠다고 하는 것을 확인할 수가 있었습니다. 진짜 교통 민원 24 는 간편 인증은 카카오 톡, KB 국민은행,페이코,삼성 Pass,네이버,신한은행 인증으로 해결할 수 있고 금융정보도 네이버 같은 서비스 등을 이용할 수가 있는 것을 확인할 수가 있지만

악성코드 다운로드 사이트 내부 구조

해당 악성코드를 바이러스토탈(VirusTotal)에 업로드 했을 때에는 탐지하는 보안 업체들은 2군데만 탐지하는 것을 확인할 수가 있었습니다.
파일명:nps.apk
사이즈:23 MB
MD5:d388f7cae5254c8dca3d4c919e2d20a0
SHA-1:4d4d5494b94f54a7312d6ca9922799fef0bfda11
SHA-256:ca26ed462efc573573668531257955055262606125c2229eb48225c68541b93a
BitDefenderFalx:Android.Riskware.SmsSpy.IA
Trustlook:Android.Malware.General (score:7)
즉 피싱범들도 보안 앱을 탐지를 우회하는 새로운 방식을 선택한 것 같습니다.
여기서 피싱범 들이 사용하는 도메인 중국의 22net 쪽을 사용하고 있습니다.
즉 다음과 같이 정상적인 주소가 아니면 거르면 됩니다.
[국외발신]CJ대한통운:귀하의 배송이 보류중입니다. 주소를 업데이트해 주세요. 
[사이버경찰청] 귀하의 수사협조 사전 통보 48시간내 사건확인 요망 혐의내용 : 
[국제발신][*경찰청안내문자]사전고지서가 도착하였습니다. 내용보기
한국우편에서 발송된 소포가 도착했습니다. 주소 정보가 불완전하여 배송이 불가능합니다. 확인해주세요. 링크에 있는 주소는 12시간 이내에 발송됩니다. 
("예"로 답하신 후 SMS를 종료하고 SMS 활성화 링크를 다시 열거나 링ㄹ크를 복사하여 Safari에서 열어주세요.)
한국우편팀, 좋은 하루 보내세요! 
즉 간단하게 단축 주소로 오는 것을 거르면 되고 최근 삼성 oneui 7 버전에서는 한국인터넷진흥원(KISA) 하고 경찰청에서 악성으로 분류한 메세지와 전화번호는 앱에서 자동 차단을 하는 방법도 있는데

이것도 설정해도 기출변형 문제로 덤비면 의미 가없지만 사후약방문(死後藥方文) 이 되지 않게 하는 것이 제일 좋은 방법입니다. 악성코드는 신고는 하고는 싶지만, 악성코드 신고하는 것이 귀찮아서 Avast하고 최근에 안랩 에는 신고 하는 걸로 나머지 귀찮으면 솔직히 진짜 일일이 신고하는 것 귀찮아요. 일단 바이러스토탈에 업로드 했으니 해당 악성코드는 보안업체 분들이 처리 부탁하겠습니다.