대량 유포중인 경찰청교통민원 24(이파인) 사칭 위너 토토 주의!
이번주초부터현재까지경찰청교통민원24를사칭한위너 토토이대량으로유포중에있어사용자들의각별한주의가필요합니다.
현재 대량으로 유포중인 위너 토토은 다음과 같은 문구로 유포중입니다.
[위너 토토24(이파인)]어린이보호구역보도미정차.처벌통지서발송완료http://xx.xx
[위너 토토24(이파인)]자동차위반벌점처분고지서발송완료http://xx.xx
만일 사용자가 위너 토토 문자 내 링크를 클릭하면, 공격자가 제작해 놓은 경찰교통민원24(이파인) 피싱 페이지로 이동하며, 조회를 위해서는 휴대폰 정보를 입력해야 한다며 휴대폰번호 입력을 유도합니다.
[그림 1] 피싱 페이지 메인화면
공격자는사용자들의의심을피하기위하여다음과같은트릭을씁니다.
-위너 토토문자에포함된피싱페이지링크를웹브라우저에서접속시실제경찰청교통민원24페이지로리디렉션
-휴대폰정보입력란에입력된데이터값을검증하여,위너 토토문자를수신하지않은사용자의휴대폰번호입력시다음단계로이동하지않음
[그림 2] 이름 및 생년월일 입력 유도 페이지
사용자가휴대폰번호입력후조회를누르면,이름과생년월일입력을유도합니다.해당단계에서는입력된값에대한검증과정은없으며,랜덤한값입력후확인하기버튼을누르면악성앱을내려주는페이지로이동합니다.
[그림 3] 악성 앱 다운로드 페이지
다운로드 받은 악성앱을 설치하면 다음과 같은 권한을 요구합니다.
[그림 4] 앱 권한
-SMS:사용자의SMS에접근하여SMS발송,열람,삭제와같은행위를할수있다.
-전화:사용자의전화에접근하여발신,수신,가로채기와같은행위를할수있다.
-주소록:사용자의주소록에접근하여저장되어있는연락처정보를열람,추가,삭제와같은행위를할수있다.
-저장:사용자휴대폰에저장되어있는파일들에접근하여파일열람,탈취,삭제와같은행위를할수있다.
악성앱의이모티콘은실제위너 토토앱과유사하게제작되어사용자들이구별하기어렵습니다.
[그림 5] 정상앱(좌)과 악성앱(우)
[그림 6] 악성 앱 실행 과정
다양한 개인정보의 입력을 요구하다보니 입력단계에서 사용자들이 이상함을 느껴 중단하는 경우가 있습니다. 하지만 단계별로 데이터를 전송하기 때문에 입력을 중단하더라도 현재까지 입력한 정보들은 고스란히 공격자에게 전송됩니다.
개인정보입력이모두끝나면인증완료화면이뜨며,10분의카운트다운이시작되는데,해당화면은아무런의미가없으며단지사용자의대기를유도하기위한화면으로공격이종료되었음을의미합니다.
최근백신증명서쿠브앱(Coov)과모바일신분증을위장한악성앱이발견되었는데확인결과위너 토토악성앱과아이콘만다른동일한악성앱으로확인되었습니다.
[그림 7] 정상앱(좌)과 악성앱(우)
위너 토토을 통해 악성앱을 유포하고 개인정보 탈취를 시도하는 공격이 지속되고 있습니다.
사용자 여러분들께서는 어떠한 경우에도 금융정보 및 신분증 정보와 같은 과도한 개인정보를 요구하는 경우는 없다는 점을 반드시 기억해주시기 바라며, 출처가 불분명한 사용자에게서 수신한 문자 내 링크 클릭 혹은 전화번호로 콜백을 지양하셔야 합니다. 또한 앱은 반드시 구글 플레이와 같은 공식 경로로만 내려받으시길 권고 드립니다.
만일 실수로 악성앱을 설치하였다면 바로 삭제를 하시거나 위너 토토M과 같은 신뢰할만한 모바일 백신 설치 및 검사를 진행하여 삭제하시기를 바랍니다.
현재 위너 토토M에서는 해당 악성앱에 대하여Trojan.Android.Smsspy로 탐지중에 있습니다.
