​스마트폰의 링크 분석 보급이 보편화되고 연락 수단의 편리함이 삶에 밀접하게 연관됨에 따라 결혼, 부고 등 알림 문자를 카카오톡이나 메시지를 통해 지인들에게 일괄적으로 보내는 행태가 몇 년째 유지되고 있다. 하지만 이런 알림 문자를 통한 각종 경조사의 정보 안내에 대해 최근 피싱 사례가 매우 가파른 속도로 늘고 있으며 피싱 문자의 수신자들은 타인의 경조사라는 안내 문자에 대해 가볍지 않게 받아들이는 경향이 있어 피해 또한 매우 큰 폭으로 늘고 있다.​따라서 이번 게시글에서는 수신자의 휴대폰에 악성코드를 설치하게 하는 모바일 부고장 피싱 사이트에 대해 게시하고자 한다.모바일 부고장 피싱 사이트 컨텐츠 분석문자 예시[그림 1] 모바일 부고장 피싱 공격 문자 예시먼저 공격자들은 [그림 1]에서 볼 수 있듯 문자 메시지나 카카오톡 링크 분석 등을 통해 가족의 별세를 빌미로 한 피싱 사이트 링크를 피해자에게 전송한다. 해당 문자를 받은 피해자가 링크를 클릭하여 접속하게 되면 악성코드를 다운받도록 하는 가짜 부고장 사이트로 이동하게 된다.​​[그림 2] 악성코드 유포용 가짜 모바일 부고장 페이지[그림 2]의 웹 페이지는 악성코드 유포의 목적을 가진 가짜 모바일 부고장 링크의 한 예시이며, 해당 페이지는 페이지 전체가 이미지로 구성되어 있으며, 해당 이미지와 연결된 script에 의해 악성코드가 다운로드되는 형태를 띄고 있다.​​[그림 3] 사이트의 이미지 전체가 다운로드 코드 동작 버튼으로 동작해당 사이트의 이미지는 해당 이미지의 “열기” 버튼뿐 아니라 이미지 전체가 버튼의 역할을 하고 있으며, 해당 이미지를 클릭할 시 ‘onclick=“down()”’ 코드가 실행되는데, 해당 코드에 대한 대략적인 개요는 다음과 링크 분석 같다.모바일 부고장 피싱 사이트 악성 행위 분석[그림 4] 악성코드 다운로드 확인 메시지 박스 사진을 클릭하면 먼저 악성코드 다운로드 확인 메시지 박스가 실행되며, 해당 박스에서 ‘확인’ 버튼을 클릭하게 되면 악성코드 다운로드가 실행되는데 그 과정은 다음과 같다.​[그림 5] 악성코드 설치 코드[그림 6] 악성 apk에 대한 정보 획득 JSON script 페이지메시지 박스에서 ‘확인’ 버튼을 클릭했다면 우선 windows 객체를 확인한 뒤 객체가 정의될 시에는 ‘~/get-info’의 sub-url을 통해 다운로드 받을 악성 apk에 대한 정보를 [그림 6]과 같이 JSON script의 형태로 획득하고, 해당 apk를 피해자의 휴대폰에 다운로드하게 된다. 만약 해당 사이트에서 JSON script를 받아올 수 없는 환경이라면 해당 코드에서는 ‘~/down-app’ sub-url로 사용자를 이동, 해당 url에서 링크 분석 자동으로 설정한 악성 apk를 다운받게 한다.​확인 결과 두 조건식에서 서로 다른 사이트로 이동되어 다운로드되는 악성 apk 두 개는 완전히 동일한 파일은 아닌 것으로 확인되었다.모바일 부고장 피싱 사이트 악성 apk 분석피싱 사이트에 접속하게 되면, “모바일 부고장_V12.apk”를 다운받게 된다.[그림 7] apk 다운로드HASHVALUEMD5195365341425294be7cc37d54a24baa6SHA170039ab0c0448d15043b6c4297b716dede385d0cSHA28d76001e3c515da4d8419f497f48a6e7fa2ee41c7249d7ec3ad1e3717b404e3f[표 1] 모바일 부고장_V12.apk 해시​해당 apk 내에 존재하는 AndroidManifest.xml을 추출하면, 아래와 같이 바이너리 형태로 추출이 된다. 따라서, AndroGuard 툴을 이용해 Manifest를 추출하였으며, 해당 결과는 그림 4에서 나타난다.​[그림 8] AndroidManifest.xml 내용[그림 9] AndroGuard를 Manifest 추출[그림 10] Manifest 추출 결과바이너리 형태의 Manifest는 내용을 확인할 수 없었지만, AndroGuard로 추출한 Manifest에서는 앱이 사용하는 권한, Activity 정보, Receiver, Service 등의 정보를 확인할 수 있다.​아래는 앱에서 링크 분석 사용하는 권한과 MainActivity에 대한 정보를 나타낸다.[그림 11] 전체 사용 권한PERMISSIONDESCRECEIVE_BOOT_COMPLETED부팅 시, 앱 자동실행BIND_DEVICE_ADMINDevice 관리자 API 사용SET_ALARM알람 설정INTERNET네트워크 사용BROADCAST_SMS문자 메시지 수신 처리BROADCAST_WAP_PUSH문자 메시지 수신 처리SEND_RESPOND_VIA_MESSAGE수신 전화 및 메시지 처리BIND_JOB_SERVICEJOB(스케줄러) 권한[표 2] 주요 권한​[그림 12] MainActivity디코딩 후 “C:\Users\[사용자]\AppData\Roaming\default.txt”에 저장한다.​​또한 아래 그림은 앱 실행 시에 권한을 요청하는 화면이다.​ [그림 13] 전화 권한 요청 [그림 14] 연락처 접근 권한 요청 [그림 15] 문자 메시지 송/수신 권한 요청 [그림 16] 저장소 권한 요청[그림 17] 백그라운드 동작 요청네트워크 연결이 끊긴 상태에서 앱을 실행했을 때는, logcat 기록을 통해 아래 url들에 접속을 시도하고 있는 것을 확인할 수 있었다.​​​[그림 19] okmunj.live 접속 시도 다음과 같이 해당 악성 apk 링크 분석 내 xml file의 내용과 웹 접속을 시도하는 행위 등에 대해서 분석하였다. 또한 추후 별도의 연재 글에서 해당 악성 apk의 상세 코드 분석 내용을 게시할 예정이다.​맺음지인의 부고라는 다소 무거운 알림 문자인 이유로 피해자들은 해당 메시지나 웹 페이지가 피싱이라고 의심하는 동시에 이것이 실제일 수도 있다는 노파심에 해당 페이지에서 악성 apk를 다운받은 후 실행시키게 된다. 부고장의 url이 정상적인 url이 아니거나 해당 웹 페이지에서 알 수 없는 파일을 다운로드 할 시에는 악성 행위를 하는 피싱 페이지의 가능성이 매우 높으므로 해당 페이지에 접속하지 말고 악성 파일을 다운로드했을 시에는 해당 파일을 설치/실행하지 말고 즉시 파일을 삭제해야 한다.​​​Analyst누리랩 박광유 / 프로, 윤태현 / 프로누리랩의 AskURL이 네이버를 링크 분석 사칭한 로그인 피싱 사이트를 신속하게 탐지하고 분석했습니다~! 자세한 내용은 바로가기에서 확인하세요!!Analysis - URL URL - Status Title - Tags normal Basis for final judgment(By ‘Generative AI’) Domain Domain information does not exist. Certificate Certificate information does not exist. Screenshotaskurl.io​