명품 구매 대행으로 위장하고 있는 스미싱 사이트-GLOBAL몰(2023.1.4)

오늘은 명품 구매 대행으로 위장하는 피싱사이트인 GLOBAL 몰(2023.1.4)에 대해 글을 적어보겠습니다. 더 정확하게 이야기하면 스미싱(Smishing) 이라고 해야겠습니다. 개인적으로 다음과 같은 문자를 받았습니다.
[국외결제] 
고객님
해외직구
해외인증:73**
937.300원 처리 완료되었습니다. 이상거래감지 본인 아닐시
문의:02-977-XXXX

해외 결제 스미싱

문자가 왔으며 해당 번호로 전화하면 유창한 한국인 어차피 구인 사이트에서 돈을 벌려고 본인 아니게 보이스피싱을 하고 있겠지만 한 중년여성의 목소리가 나왔고 그리고 예전 수법은 IP 주소를 불러주어서 유도하는 방식이지만 이제는 카카오톡에서 1:1 채팅을 이용하기 시작을 하고 전화로 이름 넣으라 하면 그리고 누구 맞느냐 이런 식으로 물어보고 난 뒤 해당 악성코드가 첨부된 APK 파일을 다운로드 하라고 합니다.

물론 압축파일로 돼 있기 때문에 사용자가 일일이 풀어야 하면 그리고 악성코드를 설치하기 위해서 구글 안드로이드 외부 앱 설치를 막아 놓았지만, 해당 외부 앱을 설치하기 위해서 강제로 설치하는 방법을 가르쳐 줍니다.

GLOBAL몰 피싱 앱 실행

여기서 악성코드를 설치하고 실행을 하면 이제부터 본격적으로 시작되는 것이죠. 일단 개인적으로는 샘플을 확보를 했으면 먼저 해쉬값은 다음과 같습니다.
파일명:7 (4).apk
사이즈:23.9 MB
CRC32:0838cf31
MD5:59886e158785f6cb1b8eb093798e4bc6
SHA-1:66202890d80a9d16164bb3e8eca0b5bf3ce370d8
SHA-256:f3b6646cf0b045768ba74ce4f99f5a869e77c5fa802c30a41562d1b4356e4c20
SHA-512:fe5dd87344e5d7dab1a84da4fa6cffd8c403607363728162609e45b98002ff3d2c9f9cb419e3348f009b3f80fabd08a242be03000e478a167997b3b4555b6efc

GLOBAL몰 로그인 화면

일단 파일명 자체가 이상한 것을 확인할 수가 있으며 일단 해당 악성코드를 설치하면 다음과 같이 뭐 또 설치를 하라~권한을 달라고 할 것입니다. 어차피 보이는 페이지는 피싱 사이트 입니다. 피싱 사이트 주소는 다음과 같습니다.

http://ma.coupang-shop(.)vip/

즉 악성코드는 서명도 되지 않아져 있어서 그냥 패스
그럼 어차피 피싱 사이트만 분석하면 됩니다.
일단 메인 페이지에 접속하면 명품 브랜드 들이 있는 것을 볼 수가 있습니다.

일단 보면 여성 귀걸이, 여성 목걸이, 여성 반지들이 있는 것을 확인할 수가 있으면 해당 제품? 들을 눌러주면 실제로 구매를 할 수가 있게 구성이 돼 있고 그 판매 가격을 볼 수가 있으며 그리고 다른 상품을 클릭하면 실제로 작동 한번 그리고 구매를 하려고 하면 GLOBAL몰 gift 포인트 충전 요구를 하면 카카오 톡 오픈채팅으로 유도해서 악성코드 설치를 하려고 유도를 할 것이라고 추측이 됩니다.

GLOBAL몰 피싱 사이트 메인화면

구매자 조회를 시도하면 다음과 같이 이름, 생년월일, 전화번호를 입력하라고 할 것인데 여기서 문제는 생년월일을 입력하는데 무슨 주민등록번호 첫 번째 자리까지 입력하라고 합니다. 여기서 보면 대충 만든 것을 확인할 수가 있으며 어차피 가짜로 입력하면 다음과 같은 결과를 얻을 수가 있습니다.

GLOBAL몰 피싱 사이트 개인정보 입력

구매자: 호날두
상품명: 베르사체 여성 귀걸이 Logo hoop earrings P00595582
결제완료: 936,300원
호날두 고객님 주문하신 상품은 물류창고 배송 준비 중입니다.
배송 시 고객님휴대폰으로 EMS 물류 배송번호가 발송됩니다.
문의사항은 고객센터로 문의하세요. 

GLOBAL몰 피싱 사이트 개인정보 입력 결과

그리고 다른 이름 입력을 해도 똑같이 화면을 볼 수가 있습니다.
배송 조회 결과
구매자: 강날두
상품명: 베르사체 여성 귀걸이 Logo hoop earrings P00595582
결제완료:936,300원
강날두고객님 주문하신 상품은 물류창고 배송 준비 중입니다.
배송시 고객님휴대폰으로 EMS물류 배송번호가 발송됩니다.
문의사항은 고객센터로 문의하세요. 

GLOBAL몰 피싱 사이트 배송정보 수정

한마디로 답은 정해져 있다. 이런 식이라고 할까요?
배송치 수정을 입력 시 배송치가 나오는 데 배송지는 택배 등이 있는 곳임
경기도 김포시 ???읍 ????로 20
즉, 답은 정해져 있다는 너는 대답 해라 방식입니다.

GLOBAL몰 gift 포인트 충전 요구

그리고 바이러스토탈 2023-01-04 07:15:14 UTC 기준 탐지하는 보안 업체들은 다음과 같습니다.
Avira (no cloud):ANDROID/SpyAgent.FLRA.Gen
BitDefenderFalx"Android.Riskware.Dropper.XN
Cynet:Malicious (score: 99)
DrWeb:Android.Spy.1080.origin
ESET-NOD32:A Variant Of Android/TrojanDropper.Agent.GLA
F-Secure:Malware.ANDROID/SpyAgent.FLRA.Gen
Fortinet:Android/Agent.GLA!tr
Google:Detected
Ikarus:Trojan-Dropper.AndroidOS.Agent
K7GW:Trojan ( 00598cfa1 )
Kaspersky:HEUR:Trojan-Banker.AndroidOS.Fakecalls.af
McAfee:Artemis!5BD44E72C08E
Microsoft:TrojanDropper:AndroidOS/SAgent.B!MTB
QuickHeal:Android.Trojan.A (Suspicious)
Sophos:Android Packed App (PUA)
Trustlook:Android.PUA.DebugKey
ZoneAlarm by Check Point:HEUR:Trojan-Banker.AndroidOS.Fakecalls.a

Eset Mobile Security 악성코드 탐지

그리고 해당 피싱 사이트는 너무 깨끗하기 때문에 보안 업체에서 탐지를 못 하고 있습니다. 그러면 바로 구글 세이프 서치,Symantec Sitereview,마이크로소프트 스마트스크린, ESET, Emsisoft 에 신고를 진행했고 참고로 해당 피싱 사이트는 회원가입도 되니 가입하시면 안 됩니다. 私見으로는 최근부터 이야기하고 있지만 안랩에서 만든 V3는 훌륭한 제품입니다.

[소프트웨어 팁/보안 및 분석] - 해피몰 사칭 피싱 사이트 및 악성코드 유포-happy1110.apk(2021.11.10)

해피몰 사칭 피싱 사이트 및 악성코드 유포-happy1110.apk(2021.11.10)

다만, 개인적으로는 해외 악성코드 및 구글 플레이 스토어에 있는 악성코드는 잘 탐지를 못 하는 것 같습니다. 어떤 백신 앱을 사용을 하는 것은 개인의 자유이겠지만 개인적으로 해외쪽 백신 앱을 추천을 하면 그리고 제일 중요한 것은 안드로이드 스마트폰을 사용한다고 하면 기본적으로 외부앱을 설치를 하려고 하면 반드시 안드로이드 운영체제에서 경고 메시지가 나올 것입니다.

그럼 설치를 하지 않는 것이 최상의 조건이면 그리고 제일 중요한 것은 돈을 벌려고 아르바이트를 하든 뭐~하든 상관은 없지만, 성인이며 최소한 이런 행동이 보이스피싱범 하고 같이 범죄를 저지르는 행동이기 때문에 전화 알바 같은 것을 하지 않는 것이 나중에 법적으로 처벌될 수가 있습니다.