꿈을꾸는 파랑새

오늘은 교통위반 벌점 처분고지서 경찰 민원 모바일 피싱 사이트 인 jkyxc.emvu group에 대해 글을 적어 보겠습니다.
교통범칙금 통지 문자 사칭해서 스마트폰 개인정보를 빼가는 악성코드인. 경찰청 교통민원 24(이파인),경찰 민원 모바일에 대해 알아보겠습니다. 일단 기본적으로 해당 스미싱 공격은 기본적으로 너 교통범칙금 있으면 여러 가지 문자형식으로 이파인을 사칭을 하고 있습니다.
휴대폰 전화번호 적는 곳 나오니까 거기 번호 넣으면 그걸 확인을 할 수가 있는 악성코드 나옴 그거 설치를 하면 교통범칙금 확인 가능이라고 하면서 설치 순간 스마트폰의 개인정보를 빼가는 방식을 사용하고 있습니다.
일단 해당 문자 내용은 다음과 같습니다.

[Web 발신]
[교통민원24]법규위반과속운자동차벌점보고서
[Web 발신][교통민원 24] 교통법규위반행위 벌점 6점 처벌 고지서 발송 완료
[web발신]
[교 통24(이파인)]교 통위반
벌점처분고지서 발송완료
[web발신]
[182교통(이파인)]과속운전자동차범칙벌점통지서
[Web발신]교 통24(이파인)차량위반금지령표지처분고지서 발송 완료
였지만 이제는 다음과 같은 것들이 추가되었습니다.
[Web발신]교통 법 규위반4건 미처리
위반운전행위벌점처분고지서
[Web발신][사이버경찰청]카카오 문자메시지 다른 이용자 모욕 처분 통지서
[교통민원24] 차량신호위반 범칙금 감점 처벌 고지서 발송 완료.www.efine(.)om/
2.[교통민원24]위반도로교통법시행령의과태료고지서발송완료.www.efine(.)com
3.(교통민원24)교통신호 미준 수범칙금 및 벌점 (미처리) 조회바랍니다.

유포 사이트

app(.)appliveko(.)com/index(.)htm

입니다.

교통민원 24(이파인) 피싱 사이트 및 진짜 교통민원 24(이파인) 구글 플레이 스토어
교통민원 24(이파인) 피싱 사이트 및 진짜 교통민원 24(이파인) 구글 플레이 스토어

일단 메인 화면에 접속하면 예전처럼 어설프게 전화번호를 넣어달라, 이름을 입력해 달고 해서 apk 파일 다운로드 및 설치를 하게 유도하는 것이 아니고 이번에는 구글 플레이 스토어 하고 비슷하게 사이트를 만들어 놓았고 클릭을 해서 악성코드를 설치하게 변경이 되었습니다. 이제 변화에 바람이 불어서 해당 부분을 통해서 사용자들을 더욱더 쉽게 낚시하려고 하는 것 같습니다.
일단 가짜 구글 플레이 스토어 내용을 보면 다음과 같습니다.
새로운 기능
안드로이드 보안 정책 변경에 따른 어플리케이션 대응 조치
인증서 저장 폴더 변경으로 인하여 인증서 가져오기를 사용하여야 합니다.
주민등록증 모바일 확인서비스 추가
간편인증(토스) 추가
모바일 신청서비스 2종 추가(여권분실신고, 국가기술자격검정 필기(실기) 시험합격확인)
모바일신분증(간편로그인) 추가
코로나19 예방접종증명서 추가
안심상속 소상공인 진흥공단 재산조회 추가
행복출산 KTX, SRT 다자녀 할인 추가
맘편한 임신 SRT 임산부 할인 추가
기타 오류 수정 및 보안기능 적용
돼 있고 일부 이런 앱은 어떠세요? 는 구글 플레이 스토어 기능을 불러오기 때문에 사용자가 속을 수가 있습니다.

교통민원 24(이파인) 피싱 사이트 및 진짜 교통민원 24(이파인) 구글 플레이 스토어 리뷰 비교
교통민원 24(이파인) 피싱 사이트 및 진짜 교통민원 24(이파인) 구글 플레이 스토어 리뷰 비교

그리고 나름대로 자체 리뷰도 돼 있는 것을 확인할 수가 있습니다. 여기서 눈치가 빠른 분들은 해당 리뷰 답글 달린 것을 보면 쉽게 확인을 할 수가 있습니다. 즉 피싱 사이트는 행정안전부로 돼 있지만, 진짜는 경찰청에서 댓글을 달고 있습니다.
해당 악성코드를 획득을 시도했으나 실패해서 일단 웹 소스만 분석하겠습니다.

피싱 사이트 에 포함이 된 웹 사이트
피싱 사이트 에 포함이 된 웹 사이트

<script>
function body_click(){
	window.open("https://"+window.location.hostname+"/down.php");
}
</script>

자바 스크립트 설명

1.window.location.hostname을 사용하여 현재 웹 페이지의 호스트 이름을 가져옴
호스트 이름은 현재 페이지가 호스팅되는 서버의 도메인을 나타냄
2.호스트 이름을 사용하여 hxxps://와 down(.)php라는 경로를 조합하여 새로운 URL 주소 을 생성
3.window.open() 함수를 호출하여 새로운 URL을 새 창 또는 새 탭으로 열고 해당 함수를 실행하면 사용자의 브라우저에서 현재 웹 페이지의 호스트 이름을 기반으로 down(.)php 페이지를 열게 됨
일단 최근 들어서 피싱 사이트 들도 이제 예전처럼 단순하게 비밀번호를 입력하게 하는 것이 아니라 구글 플레이 스토어 와 똑같은 사이트를 만들어서 사용자를 속이는 작업을 하는 것 같습니다. 즉 기본적인 보안 수칙을 잘 지키는 것이 안전하게 스마트폰 등을 사용하는 방법입니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band