해외결제를 위장한 해외 토토 사이트 지속적 유포중!

​

해외결제를위장한해외 토토 사이트이지속적으로유포되고있어사용자들의주의가필요합니다.

해외결제를위장한해외 토토 사이트은오래전부터유포되던해외 토토 사이트방식으로,유포되는해외 토토 사이트내용은유사하나,그공격방식이꾸준히고도화되고있습니다.

ESRC에서도이미해당해외 토토 사이트과관련하여이미포스팅한적이있습니다.

▶해외 결제를 위장한 해외 토토 사이트 문자 주의! (21.09.10)
▶"해외 카드 결제가 승인되었습니다" 해외직구족 겨냥한 해외 토토 사이트 공격 발견 (17.04.06)


이번에발견된해외 토토 사이트은다음과같은내용으로유포되었습니다.

[국제발신][해외 토토 사이트]확인코드:9**8[KRW959,000]결제가완료되었습니다.배송관련고객센터070-7893-****

만일해당문자를수신한사용자가해당문자를실제문자메세지로오인하여고객센터에전화를하면확인코드4자리를물어봅니다.

하지만수신한문자에서는확인코드중일부가마스킹처리되어있어확인이불가능하며,확인이불가하다고답변하면ip주소를불러주며해당ip주소로접속을하라고유도합니다.

공격자가 불러준 ip주소로 접속하면 다음과 같은 화면이 뜹니다.

피싱 사이트는 실제 구매대행 사이트처럼 제작되어 있어, 사용자들이 실제 구매대행 페이지로 오인하기 쉽습니다.

사용자가 실시간 배송조회하기를 누르면 다음과 같이 앱 다운로드 페이지로 이동하여 앱 설치를 유도합니다.

사용자가 해당 앱을 설치하면 다음과 같은 권한을 요구하며, 배터리사용량 최적화 중지와 접근성 허용을 요구합니다.

다양한 메뉴들이 있지만, 해당 메뉴들을 클릭하면 모두 로그인 페이지로 이동하여 사용자의 로그인을 유도합니다.

사용자가 로그인을 하기위하여 계정해외 토토 사이트를 입력하면, 입력한 계정해외 토토 사이트는 공격자의 서버로 전송됩니다. 만일 사용자가 ID/PW 찾기를 클릭하면 고객센터로 연락하라는 팝업창이 뜹니다.

사용자가 회원가입 메뉴를 눌러 정보를 입력하면, 입력한 정보들 모두 공격자의 서버로 전송되게 됩니다.

구매대행 앱을 해외 토토 사이트 악성앱이 사용자 휴대폰에 설치되면 개인정보 탈취와 별개로 다음과 같은 악성행위를 합니다. 즉, 사용자가 앱에서 아무런 정보를 입력하지 않아도 사용자 휴대폰 내의 정보들이 탈취될 수 있다는 것입니다.

-개인해외 토토 사이트탈취시도(ID,PW,신상해외 토토 사이트)
-sms탈취
-앱리스트탈취
-안티백신(알약M,whowho삭제)
-연락처탈취
-위치해외 토토 사이트탈취
-통화목록탈취
-공격자명령수행
-기기해외 토토 사이트탈취

C&C해외 토토 사이트

hxxp://am.payshop[.]store/login.php
hxxp://61.218.17[.]222/
hxxp://61.218.17[.]222/99754106633f94d350db34d548d6091a.zip
hxxp://103.233.250[.]10/
hxxp://103.233.250[.]10:7777

현재 알약M에서는 해당 악성앱에 대해Trojan.Android.KRBanker로 탐지중에 있습니다.