꿈을꾸는 파랑새

반응형

오늘은 가짜 질병관리본부 사칭 피싱 사이트 악성코드 유포에 대해 알아보겠습니다.
질병관리본부(Korea Centers for Disease Control & Prevention)는 국민의 보건향상을 위해 설립된 보건복지부 소속 기관이며 미국 질병통제예방센터(CDC)를 모델로 하여 만들어졌으며 기존의 국립보건원(Korea National Institute of Health)을 승격시켜 서울특별시 은평구 녹번동에 설립되었으나 2010년 12월 충청북도 청원군 오송읍 오송생명과학단지로 이전했으며 사스유행사태 당시 질병관리에 대한 중앙 컨트롤센터의 필요성을 제기하고 미국의 CDC를 본떠 질병관리본부를 출범하고 사고대책매뉴얼을 간행했으며 이후 메르스 사태 이후 질본 주도하에 지속적으로 블랙스완 에 대비한 시뮬레이션과 대응방안을 개발해왔고 그리고 질병관리본부에서 질병관리청으로 승격 예정이라고 하며 질병관리본부는 본부장을 1명 두며 정무직(차관급)으로 보임하며 그리고 국내에서는 유일한 생물안전도 4등급(BSL level 4)의 전염성 매개체를 실험할 수 있는 실험실을 청주 오송에 가지고 있습니다

그리고 코로나 19 외신들은 전체적으로 질병관리본부를 비롯한 대한민국의 대응 및 처리방법에 호평하고 있습니다. 코로나 19 의심증상이 있으며 1339로 전화를 하고 도움을 받으시는 것이 좋을 것 같습니다. 일단 코로나 19 상황에서 이런 상황을 악용해서 피싱 공격, 랜섬웨어 등 공격이 이루어지고 있습니다.

가짜 질본 사이트 및 정식 질본관리본부

오늘은 질병관리본부로 속이는 피싱 사이트에 대해 알아보겠습니다. 먼저 해당 사이트와 진짜 질병관리본부 사이트를 비교해 보겠습니다. 일단 겉으로 보기에는 다 똑같아 보이지만 피싱사이트는 질병관리본부 앱 다운로드 라는 이상한 부분이 있는 것을 볼 수가 있으며 여기서 다운로드를 클릭을 하면 악성앱이 나오는 것을 볼 수가 있습니다.

피싱사이트 및 질본관리본부 인증서 비교

그리고 해당 부분에 있는 기사를 클릭하면 가짜 사이트는 정보가 보이지 않고 그리고 당연히 공식적인 정부에서는 올바른 정보를 전해 줍니다. 그리고 MS 쪽에서는 제공하는 Internet Explorer, MS Edge 같은 경우에는 피싱사이트를 탐지를 하지 않고 있어서 일단은 피드백 기능으로 웹사이트를 신고했습니다. 구글 크롬, 파이어폭스 계열은 정상적으로 해당 사이트를 피싱사이트로 사이트를 차단하고 있습니다.

마이크로소프트 피싱 사이트 신고

그리고 피싱사이트 인데 인증서가 정상적으로 포함돼 있습니다. 일단 피싱 사이트와 진짜 정부 질병관리본부 사이트 인증서 차이점은 다음과 같습니다. 그리고 인증서 내용을 보면 다음과 같이 다른 부분이 있는지 확인을 할 수가 있습니다.

왼쪽 질병관리본부 사칭 사이트 인증서 오른쪽 정부 공식 질병관리본부인증서

가짜 사이트 인증서 내용
주체 이름
일반 이름: y-w(.)toX
발급자 이름
국가:CN
조직:TrustAsia Technologies, Inc.
조직 단위:Domain Validated SSL
일반 이름:TrustAsia TLS RSA CA
질병관리본부 인증서
주체 이름
국가:KR
시/도:Chungcheongbuk-do
구/군/시:Cheongju-si
조직:질병관리본부
일반 이름:*.cdc(.)go.kr
발급자 이름 
국가:US
조직:DigiCert Inc
조직 단위:www.digicert.com
일반 이름:Thawte RSA CA 2018
그리고 해당 가짜 사이트에 제공하는 질병관리본부 앱다운로드를 하면 kcdc(.)apk 이라는 악성코드가 다운로드가 되면 사용자가 다운로드를 해서 실행을 하면 스마트폰이 악성코드에 감염되는 구조로 되어 있습니다.

피싱사이트 악성코드 다운로드


그리고 해당 악성코드는 다음과 같은 악성권한을 같습니다.
android.permission.CALL_PHONE
android.permission.CHANGE_WIFI_STATE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_MMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.WRITE_SMS
그리고 해당 악성코드 앱은 해시 값은 다음과 같습니다.
MD5 ba5582c8e4f424d016d9491441ab4b8b
SHA-1 35848db1049ba7050e6a26a034316ea04379d179
SHA-256 7f8dbf7bbd94717eb9cff3f9b325d1afcf27a689c6600c869fbebbb945829da4
으며 지금(2020년05월4일)까지 탐지되는 업체들은 다음과 같습니다.
AegisLab:Trojan.AndroidOS.Boogr.C!c
Avast-Mobile:APK:RepSandbox [Trj]
ESET-NOD32:A Variant Of Android/Packed.Jiagu.D Potentially Unsafe
Ikarus:PUA.AndroidOS.Jiagu
K7GW:Trojan ( 005402101 )
Kaspersky:HEUR:Trojan.AndroidOS.Boogr.gsh
McAfee:Artemis!BA5582C8E4F4
Qihoo-360:Android/Trojan.DoS.ab4
Symantec:Trojan.Gen.MBT
Symantec Mobile Insight:AdLibrary:Generisk
Trustlook:Android.Malware.General (score:9)
ZoneAlarm by Check Point:HEUR:Trojan.AndroidOS.Boogr.gsh
그리고 악성 코드 동작은 다음과 같이 동작을 합니다.
파일 오픈
/data/app/com.dftgames.por-1.apk
/data/data/com.dftgames.por/.jiagu/libjiagu1025603425.so
/data/data/com.dftgames.por/shared_prefs/metaRow.xml
/data/data/com.dftgames.por/shared_prefs/multidex.version.xml
파일 쓰기
/data/data/com.dftgames.por/.jiagu/libjiagu1025603425.so
/data/data/com.dftgames.por/shared_prefs/multidex.version.xml
/data/data/com.dftgames.por/shared_prefs/metaRow.xml
파일 삭제
data/data/com.dftgames.por/shared_prefs/multidex.version.xml.bak
일단 의심스러운 이메일 등으로 오는 링크 들은 함부로 클릭을 하지 않고 기본적으로 브라우저에서 제공하는 피싱사이트 기능은 불편을 하더라도 항상 사용을 하시

는 것도 안전하게 인터넷을 사용하는 방법의 하나일 것입니다.

반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. 사이트를 정교하게 복제하여 앱 설치를 유도하는군요.
    저런 사이트의 운영자를 끝까지 추적하여 콩밥을 먹여야 하는데...
    잘못하면 눈 뜨고도 당하겠네요.

  2. Favicon of https://jongamk.tistory.com BlogIcon 핑구야 날자 2020.05.06 06:51 신고

    조심해야 할 것 같아요