관리 메뉴

Heizelnut의 IT이야기

[Android] 대구지법 문자메시지 스미싱 본문

IT_Engineer/Security

[Android] 대구지법 문자메시지 스미싱

Heizelnut 2013.09.26 21:58



요즘 스미싱이 넘쳐나는 가운데 최근에 보지못한 스미싱이 저에게 직접 날라와 주셔서(?) 한번 급하게 뜯어봤습니다.


일단 저 주소가 어디에 위치해있는지 whois로 검색해보았는데요



호스팅업체를 통해서 26일(포스팅 당일날임)에 만들어진 도메인이네요.

약간 공격자가 허술한건지 아니면 저 계정도 해킹을 당한건지 모르겠네요.

(해당 호스팅업체에는 신고메일을 보낸상태)

+ 2013/09/27 현재 해당 도메인 사이트는 초기화되었네요.


일단 접속을 하게 되면 0BxG-9337y9WdU2F3UE1hcTI0azg.apk 란 어플을 다운받게 됩니다.



권한들이 후덜덜하네요. 게다가 앱 이름이 "Google Play"입니다.

(근데 허술하게 아이콘은 앱개발시 기본으로 주어지는 아이콘이네요;;)


설치를 하고 실행을 해보면 하하.. 기기 관리자를 활성하겠냐면서 서비스를 등록하는군요.



활성화를 해보았습니다. 그리고 Google Play가 뜹니다.

나가서 어플 서랍을 보니 최초의 설치된 허접한(?) 아이콘의 악성코드 어플이 보이지 않습니다.

네 아이콘만 어플서랍에서 숨긴것입니다.



실행앱에서 보시면 서비스로 돌고 있는것을 알 수 있습니다.


apk를 급하게 분석을 해보니 장치내의 특정 정보를 수집해서 

heremon6519@gmail.com 이쪽으로 보내더군요.


자세한건 아직 다 뜯어보지못했습니다만 메일로 무언가 보내는 기능밖에 없는듯 했습니다.

GCM(Google Cloud Messaging)을 이용한거보니 뭔가 원격코드도 있을듯 한데 자세히 보진 못했네요.


이미 설치를 하셨다면 "환경설정 - 보안 - 기기관리자 " 에서 "Google_Service_Admin" 를 체크해제 하신 후 "애플리케이션" 목록에서 찾아 삭제해주시면 됩니다.


항상 이런류의 1차 예방은 URL을 누르지 않는것이며 

2차 예방은 "환경설정 - 보안" 에서 "알 수 없는 앱" 이 체크가 해제되어있어야 한다는 것입니다. 


* 유용한 정보라면 광고 한번씩 클릭 부탁드립니다^^;


신고
0 Comments
댓글쓰기 폼