꿈을꾸는 파랑새

오늘은 스미싱을 통해서 안드로이드를 사용하는 분들 스마트폰들은 랜덤.APK를 자동 다운로드를 하면 아이폰 같은 경우에는 네이버 피싱 사이트를 통해서 네이버 계정 탈취를 하는 것 스미싱에 대해 분석을 간단하게 해보겠습니다. 일단 해당 부분은 스마트폰 문자로 전파를 되고 있으며 앞서 이야기한 것처럼 안드로이드는 랜덤.APK 파일을 자동 다운로드,아이폰은 네이버 계정 탈취 피싱 사이트를 넘어가는 방법을 사용하고 있습니다.
일단 제가 받은 문자의 내용은 다음과 같습니다. 스미싱 문자 내용은 다음과 같습니다.
천일 배포 완료 확인 요청 asq(.)kr/NnpibJAcd4wL7E 이라는 문자를 받았습니다.
그리고 해당 문자에 포함된 링크를 클릭하면 저는 다음과 같이 연결이 되었습니다.
asq(.)kr/NnpibJAcd4wL7E->http://lvzdtqmqcu.duckdns(.)org/?gmjskyoezr->랜덤.APK(안드로이 )
asq(.)kr/NnpibJAcd4wL7E->http://srfroxfriv.duckdns(.)org/(네이버 피싱 사이트)
asq(.)kr/NnpibJAcd4wL7E->윈도우 10 20H2(빌드 번호:19042.572) 작동 안 함(윈도우 환경 작동 안 함)
그리고 웹사이트에 접속하면 다음과 같은 메시지를 볼 수가 있습니다.
더 나은 서비스 체험을 위해 한층 개선된 chrome 최신 버전을 업데이트 하시기 바랍니다.

스미싱 문자스미싱 문자

라는 메시지를 볼 수가 있는데 예전에 구글 크롬 사칭했던 방식과 같습니다. 해당 구글 크롬 같은 부분은 구글 스토어 에서 다운로드 하는 것이 안전합니다. 저 같은 경우 자동다운로드 되는 악성코드는 pBkFcUmW.apk 이었습니다. 이름은 Сhrоme이며 "package_name": "hlfr.mlfmv.yodmm"입니다.
안드로이드 악성코드 권한은 다음과 같습니다.
안드로이드 악성코드 권한
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW"/>
<uses-permission android:name="android.permission.SYSTEM_OVERLAY_WINDOW"/>
<uses-permission android:name="android.permission.CHANGE_NETWORK_STATE"/>
<uses-permission android:name="android.permission.GET_ACCOUNTS"/>
<uses-permission android:name="android.permission.CALL_PHONE"/>
<uses-permission android:name="android.permission.MODIFY_AUDIO_SETTINGS"/>
<uses-permission android:name="android.permission.DISABLE_KEYGUARD"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="zcjms.scobl.vlot"/>
<uses-permission android:name="psuf.huiwp.cgoyxrp"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>

안드로이드 악성코드 유포 사이트 및 악성코드 다운로드안드로이드 악성코드 유포 사이트 및 악성코드 다운로드

<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_MMS"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.WRITE_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.DISABLE_KEYGUARD"/>
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.CHANGE_WIFI_STATE"/>
<uses-permission android:name="android.permission.READ_PROFILE"/>
그냥 스마트폰에 있는 개인정보 다 털리는 것을 볼 수가 있습니다. 이번에는 프로필 읽는 것이 추가된 것을 확인할 수가 있었습니다.

악성코드 안드로이드 권한악성코드 안드로이드 권한

해쉬값:
MD5:8b58dd65715b89652a23297e7877e60a
SHA-1:0a16b94ff8c21b59551e8fe8c9dfd10f534d88b0
SHA-256:76bc32839a04678abf39977b91c81f75f689f2f8c593f89a89c7ce8089cbd76a
Activities
yzoz.qxActivity
yzoz.cpActivity
Services
yzoz.coService
Receivers
yzoz.vvsReceiver
yzoz.vxReceiver
yzoz.boReceiver

안드로이드 악성코드 내부 모습안드로이드 악성코드 내부 모습

이며 2020-10-31 05:10:33 UTC(바이러스토탈 검사 시간) 기준 바이러스토탈 결과입니다.
Avast-Mobile:Android:Evo-gen [Trj]
DrWeb:Android.Banker.419.origin
ESET-NOD32:A Variant Of Android/TrojanDropper.Agent.GLK
Fortinet:Android/Agent.FGK!tr
K7GW:Spyware ( 00521e371 )
Kaspersky:HEUR:Trojan-Banker.AndroidOS.Agent.eq
Sophos AV:Andr/Xgen2-UM
Sophos ML:Andr/Xgen2-UM
Trustlook:Android.PUA.DebugKey
ZoneAlarm by Check Point:HEUR:Trojan-Banker.AndroidOS.Agent.eq
그리고 악성유포 사이트 정보는 다음과 같습니다.

구글 크롬 위장 악성코드 도멘인 정보구글 크롬 위장 악성코드 도멘인 정보

악성코드 유포 사이트 정보
Domain:Lvzdtqmqcu.duckdns.org
IP Address:147(.)78.221.3
Hostname: 47(.)78.221.3
Nameservers:
ns2.duckdns(.)org 54(.0191.117.119
ns1.duckdns(.)org 54(.)187.92.222
ns3.duckdns(.)org2 26(.)169.94
Location For an IP: Lvzdtqmqcu.duckdns(.)org
Continent:North America (NA)
Country:United States  
IP Location Find In United States (US)
Capital:Washington
State:California
입니다.

네이버 피싱 사이트네이버 피싱 사이트

그리고 여기서 아이폰 스마트폰으로 접속하면 네이버 계정 탈취를 하려고 피싱 사이트로 접속이 됩니다.
접속 경로는 다음과 같습니다.
아이폰 사용자 분들 네이버 계정 탈취하기 위해서 만들어 놓은 피싱 사이트
http://srfroxfriv.duckdns(.)org
그리고 웹 소스를 열어보면 다음과 같은 언어 코딩으로 돼 있습니다.
웹 소스 확인
<!DOCTYPE html>
<html lang="zh-Hans">
<head>
처럼 돼 있고 NAVER 登录:네이버 로그인
<input type="hidden" id="id_error_msg" name="id_error_msg" value="请输入ID!">
<input type="hidden" id="pw_error_msg" name="pw_error_msg" value="请你输入密码!">
请输入ID:아이디를 입력하세요
请你输入密码:비밀번호
보임, 해당 언어는 당연히 zh-Hans 등은 당연히 중국어입니다.


네이버 피싱 사이트 웹소스네이버 피싱 사이트 웹소스

그리고 해당 사이트에 접속해서 로그인을 시도하기 위해서 ID, 비밀번호를 입력하면 정상적으로 로그인이 이루어지지 않고 메인 화면만 보이는 것을 볼 수가 있습니다. 그리고 와이어샤크로 해당 패킷을 보면 일단 당연히 암호화되지 않은 사이트인 관계로 해당 입력한 비밀번호가 보입니다.

네이버 계정 탈취 와이어샤크 트래픽 캡처네이버 계정 탈취 와이어샤크 트래픽 캡처

그리고 마찬가지로 로그인을 시도 시 네이버 암호 피싱 함
POST /data/PostData HTTP/1.1
Host: srfroxfriv(.)duckdns.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 105
Origin: http://srfroxfriv(.)duckdns.org
DNT: 1
Connection: keep-alive
Referer: http://srfroxfriv(.)duckdns.org/
Upgrade-Insecure-Requests: 1
localechange=&encpw=&enctp=1&svctype=1&smart_LEVEL=1&bvsd=&encnm=&locale=zh-Hans_CN&url=&id=haha&pw=hahahHTTP/1.1 302 Found
Date: Sat, 31 Oct 2020 06:15:44 GMT
Server: Kestrel
Content-Length: 0
Location: /
여기서 haha 가 ID이며 패스워드는 pw:hahah 입니다. 도멘인 정보를 보면 다음과 같습니다.

네이버 피싱 사이트 도메인 정보네이버 피싱 사이트 도메인 정보

Domain: Srfroxfriv(.)duckdns.org
IP Address:69.197(.)188.43
Reverse DNS:43.188(.)197.69.in-addr.arpa
Hostname: pdp.buckup24(.)win
Nameservers:   
ns2.duckdns(.)org >> 54.191(.)117.119
ns1.duckdns(.)org >> 54.187(.)92.222
ns3.duckdns(.)org >> 52.26(.)169.94
Location For an IP: Srfroxfriv(.)duckdns.org
Continent:North America (NA)
Country:United States
IP Location Find In United States (US)
Capital:Washington
State:Arizona
일단 해당 피싱 사이트는 브라우저는 구글 크롬, 마이크로소프트 엣지, 파이어폭스 백신 프로그램(안티바이러스): V3 Lite,앱체크 최신업데이트 상태에서 접속을 해보니까. 어느 곳도 탐지를 못 해서 일단 개인적으로 다음 피싱 전문사이트 신고 완료 Stopbadware(구글 크롬, 파이어폭스,오페라등 피싱 사이트 및 악성코드 유포 사이트 차단 서비스 제공),시만텍,Google Safebrowsing,eset,Smartscreen(마이크로소프트)
피싱 사이트 및 악성코드 유포 사이트 신고 시간: 2020.10.31 06:38:22 UTC
했습니다. 아마도 조만간 관계자 분들이 확인하고 사이트를 차단하리라 생각이 됩니다.

일단 기본적으로 백신프로그램, 백신앱, 브라우저에 있는 기본적으로 피싱,악성코드 유포 사이트 차단을 하는 기능을 비활성화하지 말고 그리고 제일 중요한 것은 문자에서 단축주소로 오는 것은 클릭 금지 그리고 안드로이드 스마트폰 같은 경우에는 정식 스토어가 아닌 곳에서 다운로드 되는 앱들은 설치를 하지 말아야 하면 피싱사이트로 연결이 된다면 최소한 http로 적용되고 있기 때문에 초록색 자물쇠 모양이 없고 주소로 가짜인 것을 볼 수가 있습니다.

그리고 가끔 https 로 돼 있다고 해도 인증서 발급 기관을 잘 보시면 될 것입니다.

문자로 로그인이 문제 있네. 택배 왔는데 네가 안 받아감 등의 문자는 그냥 스킵이 중요하면 공식 택배 업체에서 오는 문자들은 자신이 주문한 상품 그리고 택배 기사님 대략 몇 시에 방문한다는 것과 그리고 택배가 오면 택배 기사님의 목소리를 들을 수가 있으면 택배 공식 링크도 제공되고 있고 그리고 통신사에서는 스팸 차단 앱(무료) 과 스팸 차단 부가기능(무료)으로 제공을 하고 있으니까 해당 기능을 적극적으로 활용하는 것도 도움이 될 것입니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band