해당 피싱사이트는 "레드톡"이라는 이름으로 피싱 사이트를 만들어 피해자에게 버튼클릭 유도 하여 앱 설치를 진행 하는 피싱 사이트이다. 채팅, 비밀 사진첩, 공유 저장소, 등의 사칭은 대부분 몸캠피싱에서 많이 사용 하는 형태이다.
몸캠피싱
몸캠피싱 피해과정은 SNS로 친구요청이나 데이팅 앱 등 친밀감을 쌓고 음란채팅으로 유도하여 피해자의 신체사진 및 영상 등을 확보하고 채팅 중에 음성이 안 들린다 또는 비밀성을 강조하며 악성 앱(음성 채팅, 갤러리, 클라우드, 보안) 설치 유도를 해서 모바일에 저장된 주소록(연락처) 정보를 빼거나 SNS를 통해 피해자의 지인에게 연락 가능한 정보를 수집한다. 수집한 정보를 이용하여 유포한다며 협박을 해서 금전을 요구하는 형태이다.
피해과정
채팅 앱 및 SNS -> 친밀감 형성 -> 피해자 욕구 충족(기프티콘, 금전, 성욕 등) -> 영상 및 사진 요구 -> 지인 연락처 확보(악성 앱 설치) -> 협박 및 금전요구
피싱 사이트 접속 화면
해당 피싱 사이트는 악성 앱설치 페이지가 바로 보이는게 되는데 이는 이전에 다른 페이지가 있을 것으로 생각 됩니다.
[악성 앱] 원클라우드 악성앱 분석 (24.06.19) 와 유사한 형태로 배포 되고 있습니다.
userAgent 정보를 확인해 특정 OS와 브라우저로 접속하게끔 페이지를 구성한것으로 확인됩니다.
agent 정보를 safari 와 Ios를 사용하면 설치 버튼이 보여지고, 최종적 IOS 앱 파일을 다운 받을 수 있습니다.
프로토콜을 보면 웹사이트를 이용하여 Apple 플랫폼에서 기업내부 전용앱 배포 하는 방식으로 악성앱을 설치하게 됩니다. 또한 기기에서 신뢰할 수 있는 인증서를 필요하기 때문에 인증서도 다운받을 수있습니다. 해당 방식은 앱 스토어에서 검증 하지 않기 때문에 상당히 위험 합니다.
애플 플랫폼에서 배포 방식
- .ipa 파일 배포: 악성 앱은 .ipa 포맷으로 되어 있으며, XML 매니페스트 파일과 함께 HTTPS 기반 웹 사이트에서 다운로드됩니다.
- 매니페스트 파일: 해당 파일은 악성 앱 설치를 트리거하며, 사용자가 웹 페이지에서 앱을 다운로드할 수 있도록 안내합니다.
- 인증서 요구: 기기에서 신뢰할 수 있는 인증서로 서명된 앱만 설치가 가능하며, Apple의 OCSP 서버에서 인증서의 유효성을 검증합니다.
다운 받은 매니페스트 파일인 .plist 파일을 보면 다운 받는 주소를 확인 가능합니다. 해당 주소로 들어가면 ipa 앱파일을 다운 받게 됩니다.
아이폰도 안드로이드처럼 피해를 방지하기 위해서는, 의심스러운 링크나 앱 설치 유도를 받았을 때 신뢰할 수 있는 출처가 아닌 경우 절대 설치하지 않도록 주의해야 합니다.
'Basic > 정보보안' 카테고리의 다른 글
[피싱] 계정 탈취를 노리는 텔레그램 피싱 사이트 주의 (3) | 2024.09.21 |
---|---|
[피싱] 스타벅스 채용 사기 주의 (24.07.05) (11) | 2024.07.05 |
크리덴셜 스터핑(Credential Stuffing) 공격 (2) | 2024.06.30 |
MITRE ATT&CK 정리 (1) | 2024.02.06 |
재혼 관련 청첩장 사칭 피싱 사이트(23.01.28) (4) | 2024.01.29 |