✅ 보고서 제목:
티몬(TMON), 위메프(WEMAKEPRICE) 스미싱 앱에 대한 간략한 개요
✅ 보고서 요약:
- 최근 티몬, 위메프 환불 지연사태를 악용하는 스미싱 사례가 식별되어 해당 악성 앱을 확보 및 분석을 진행하였습니다.
- 해당 악성 앱은 기기 정보, 연락처, 메시지 내역, 이미지를 탈취 할 뿐만 아니라 인증서(NPKI) 정보를 탈취하는 것이 특징입니다.
📌 조금 더 상세한 악성앱 분석 내용은 어떻게 되나요?
- 최근 티몬, 위메프 환불 지연사태와 같은 사회적 이슈를 악용하여 유포되는 악성앱을 확인했으며 해당 앱을 수집하고 초동 분석을 진행합니다.
- 악성 앱 유포지 접속 결과, 한국소비자원을 사칭한 앱이 유포되고 있으며, 다운로드 되는 앱은 경찰청의 아이콘을 가지고 있습니다.
- 해당 앱을 설치하고 실행하면 지속성을 유지하기 위해 배터리 최적화 제외 권한을 요청하며, 악성 행위에 필요한 위험권한들을 요청합니다.
- READ_PHONE_STATE: 전화 상태 확인
- READ_CONTACTS, WRITE_CONTACTS: 연락처 정보 읽기 및 쓰기
- READ_SMS, SEND_SMS: 메시지 읽기 및 전송
- READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE: 저장소 읽기 및 쓰기
- 이후 기기 정보, 연락처, 메시지 내역, 이미지를 C2서버로 전송하며 해당 악성 앱에서 사용되는 C2 도메인은 아래와 같습니다.
- hxxps://pindirect.mca[.]lol
- hxxps://skt.mca[.]lol
- hxxps://tplus.mca[.]lol
- hxxps://lg.mca[.]lol
- 추가로 감염된 기기 내에 "NPKI/yessign" 경로가 존재하는 경우 NPKI 디렉터리를 전체를 압축해 "/storage/emulated/0/NPKI.zip" 경로에 저장하고, 해당 파일을 C2 서버로 전송합니다.
- 또한 MQTT 프로토콜을 통해 C2서버에서 inst 필드로 특정 값을 수신할 경우, 지정된 악성행위를 수행하며 각 값에 따라 수행되는 악성행위는 아래와 같습니다.
- 1: 연락처 정보(이름 및 전화번호) 업로드
- 2: data 필드로 수신된 번호의 연락처를 삭제
- 3: 메시지 내역(수신자 정보 및 문자내용) 업로드
- 5: 이미지 파일 업로드
- 8: content, phoneNumber 필드를 추가로 수신해 문자 content값을 phoneNumber로 지정된 번호에 메시지 강제 전송
- 24: 설치된 모든 앱의 정보(아이콘, 앱 이름, 버전, 패키지 명, 설치 시각, 업데이트 시각) 업로드
- 30: name, phoneNum 필드를 추가로 수신해 연락처에 추가
- 41: 현재 볼륨 정보 업로드
- 42: data필드를 추가로 수신해 1일 경우 음소거, 1이 아닐경우 볼륨을 5로 설정
- 44: 계정 정보 업로드
✅ 위협 탐지 권장 사항 및 조치 방안:
스미싱 앱에 대한 구체적인 분석 및 조치 방안은 아래 링크를 통해 접수해 주세요.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact