오늘은 2011년 예금보험공사는 영업정지된 제일저축은행을 P&A 방식으로 매각하였는데 KB 금융지주가 인수하여 2012년 1월 KB 저축은행을 출범했고 2013년 10월 예한솔저축은행(구 경기저축은행)을 인수하였고 2014년 1월 흡수합병 하였던 KB 저축은행 피싱사이트 및 악성 앱이 유포 중입니다. 일단 해당 피싱사이트에 들어가 보면 정말로 쓸데없어진 피싱 사이트이라는 것을 볼 수가 있습니다. 개인적으로 국내 사정을 잘 모르는 외국인 이 만들 것 같습니다. 일단 기본적으로
다음 이미지에 보이는 것처럼 왼쪽이 가짜 즉 피싱 사이트 이면 오른쪽이 진짜 KB 저축은행 사이트입니다.
가짜 사이트에서는 다음과 같이 맨 마지막에 보면 대출상담신청을 위하여 본 프로그램을 다운하시길 바랍니다. 라는 것이 있으며 해당 부분에 마우스를 올려 넣거나 해당 악성코드 앱을 다운로드 및 설치를 유도하는 과정을 보이고 있습니다. 그리고 해당 피싱사이트 소스를 보면 ./KB.apk 이라는 것을 다운로드 하게 되어져 있습니다. 물론 백신 프로그램에서 해당 웹사이트들에 접속하면 너 피싱사이트에 접속했다. 우리가 접속 차단했다는 것을 볼 수가 있습니다. 일단 V3 쪽은 해당 사이트를 차단하는 것을 볼 수가 있습니다.
악성코드가 접속하는 방법은 다음과 같습니다.
KB 저축은행 피싱 사이트 및 악성코드 유포중
http://102.129.249.12?->http://102.129.249.12?/KB.apk
일단 2020년6월16일 17:50 기준 정식으로 진단하는 제품들은 다음과 같습니다.
AegisLab:Trojan.AndroidOS.Fakenocam.C!c
Alibaba:TrojanSpy:Android/Fakenocam.57af1846
Avira (no cloud):ANDROID/Spy.Agent.nutdk
CAT-QuickHeal:Android.Wroba.GEN32961
Cynet:Malicious (score: 85)
DrWeb:Android.BankBot.664.origin
ESET-NOD32:A Variant Of Android/Spy.Agent.BAK
F-Secure:Malware.ANDROID/Spy.Agent.nutdk
Fortinet:Android/Fakenocam.B!tr
K7GW:Trojan ( 00550f0b1 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b
KB 저축은행 피싱 사이트 및 악성코드 유포 웹 소스
McAfee:Artemis!118705F70D21
Microsoft:Trojan:Script/Wacatac.C!ml
Symantec:Trojan.Gen.MBT
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b
해쉬값
MD5:118705f70d21a5c683ca99b3879c93bb
SHA-1:476551cdb7888c49455f84aaefd7ebe5d3ef596f
SHA-256:239f7de26393e6c82988abcf0867994bc829886a75758ec1fbebeb8a577193e1
KB 저축은행 피싱 사이트 및 악성코드 V3 차단
악성코드 권한
android.permission.ACCESS_COARSE_LOCATION
android.permission.AUTHENTICATE_ACCOUNTS
android.permission.BLUETOOTH
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_WIFI_STATE
android.permission.DISABLE_KEYGUARD
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WRITE_CALL_LOG
파일 오픈
/data/misc/keychain/pins
/data/data/com.kbstar.kbbizz/shared_prefs/is_first_time.xml
/data/data/com.kbstar.kbbizz/shared_prefs/value.xml
/data/app/com.kbstar.kbbizz-1.apk
파일삭제
/data/data/com.kbstar.kbbizz/shared_prefs/is_first_time.xml.bak
/data/data/com.kbstar.kbbizz/shared_prefs/value.xml.bak
IP 트랙픽
104.27.183.6?:2095 (TCP)
입니다. 이런 것을 방지하려면 기본적으로 백신앱을 설치를 하고 실시간 감시, 최신 갱신을 해야 하면 스마트폰 문자로 오는 출처가 모르는 링크는 클릭하지 말아야 합니다. 그리고 제일 중요한 것은 공식 제공 스토어가 아니면 스마트폰에서 앱을 다운로드 및 설치를 하는 것은 하면 안 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Adobe Flash Player(어도비 플래쉬 플레이어) 공식적으로 2020년12월31일 종료 (0) | 2020.06.26 |
---|---|
신한저축은행 사칭 피싱사이트 유포중 (14) | 2020.06.25 |
가짜 맥아피로 위장한 안드로이드 악성코드-mcafeeprotect (8) | 2020.06.24 |
노골적인 제목을 가진 카페 게시글을 통한 네이버 계정 탈취 주의(2020.6.18) (6) | 2020.06.23 |
[주위]가짜 경찰청 폴-안티스파이 3.0 유포 중 (6) | 2020.06.16 |
Windows 10 KB4557957 및 KB4560960 누적 업데이트 (6) | 2020.06.11 |
Mozilla Firefox(파이어폭스) 저장된 비밀번호를 일반 텍스트 내보낼 수 있는 기능 추가 (6) | 2020.06.10 |
파이어폭스 77.0.1(Firefox 77.0.1) 보안 업데이트 (4) | 2020.06.05 |