꿈을꾸는 파랑새

오늘은 NK 농협 은행으로 속이는 피싱 사이트에 대해 알아보겠습니다. 일단 해당 피싱사이트에서는 악성코드가 배포하고 있으며 해당 사이트에 대해 알아보겠습니다. 일단 유포되고 있는 사이트는 다음과 같습니다.
hxxp://154.206.173.20?/nhbank7
일단 nhbank7이라는것을 추측을 해보면 약 7번 정도 변경이 되지 않았나 생각이 됩니다. 일단 기본적으로 이런 피싱 사이트는 SMS 즉 문자 등으로 유포를 되고 있고 유포가 되고 있더라도 단축주소를 사용하기 때문에 단축주소는 의심을 해보아야 합니다.
2020년6월27일 기준으로 진단하는 보안 업체들은 다음과 같습니다.
Avast-Mobile:Android:Evo-gen [Trj]
CAT-QuickHeal:Android.Wroba.GEN34019
DrWeb:Android.Banker.360.origin
ESET-NOD32:A Variant Of Android/Spy.Agent.BAZ
Fortinet:Android/Agent.BAZ!tr
K7GW:Trojan(00550f0b1 )
Kaspersky:HEUR:Trojan-Banker.AndroidOS.Wroba.aw
Sophos AV:Andr/Axent-AG
ZoneAlarm by Check Point:HEUR:Trojan-Banker.AndroidOS.Wroba.aw

NK 농협 은행으로 속이는 피싱 사이트


일단 국내 업체들은 아직은 탐지가 되지 않았고 있으나 다음에 추가될 수가 있습니다. 일단 악성코드 권한은 다음과 같습니다.
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.AUTHENTICATE_ACCOUNTS
android.permission.BLUETOOTH
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_WIFI_MULTICAST_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.DISABLE_KEYGUARD
android.permission.INTERNET
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WRITE_CALL_LOG
android.permission.WRITE_CONTACTS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.WRITE_SMS
서비스
com.nh7202006293.service.SmartService
com.nh7202006293.receiver.FloatingWindow
com.nh7202006293.support.MyService
수신
com.nh7202006293.service.RestartService
com.nh7202006293.receiver.MyBroadReceiver
입니다. 그리고 해시 값은 다음과 같습니다.
MD5:9bc367b17290861b9d2419ee6896c6eb
SHA-1:910d6d39f227d1efd9ab4c4351f4da6a88a77d2f
SHA-256:465d7f91f1ec63c30569f0c4e19e0250c6bb38e74b3f4077bb569dff8224f3e4
일단 본인인증이라는 부분을 눌러주면 nhbank.apk를 다운로드를 하게 하고 사용자가 설치하고 실행을 하면 악성코드에 감염되고 그리고 개인정보를 빼가는 방식입니다. 일단 이런 피싱사이트에 당하지 않으려면 주소를 잘 확인하는 습관과 단축 주소는 함부로 클릭을 하는 것은 자제 및 공식사이트에서 다운로드 및 설치를 하는 것이 안전합니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://xuronghao.tistory.com 공수래공수거 2020.07.02 05:35 신고

    NH 농협은행 피싱 사이트로군요
    조심 또 조심해야겠습니다.

    • Favicon of https://wezard4u.tistory.com Sakai 2020.07.02 23:49 신고

      해당 사이트에서 지금도 새로운 악성코드로 변경이 되고 있습니다.

  2. Favicon of https://jongamk.tistory.com 핑구야 날자 2020.07.02 06:55 신고

    조심 또 조심 해야 할 것 같아요

    • Favicon of https://wezard4u.tistory.com Sakai 2020.07.02 23:49 신고

      항상 모르는 주소는 클릭 금지 단축 주소 클릭 하는 습관을 버려야 하면 주소 를 잘 확인해 보아야 합니다.

  3. 사기를 치기 위해 별의 별 사이트를 다 만드네요.
    이런 사이트를 만드는 사람은 콩밥을 오랫동안 먹여야 하는데...

    조심하는 수밖에 없겠네요.

    • Favicon of https://wezard4u.tistory.com Sakai 2020.07.02 23:50 신고

      대부분 외국에서 활동을 할 가능성도 있으며 그리고 그 나라들이 중국에서 만들어지고 있습니다.물론 100%는 아니지만요.