1577-4989 라는 전화번호로 다음과 같은 문자메시지가 왔습니다.
번호는 조회해보니 서울시 강남구의 '사고팔고부동산'의 번호였습니다. 사칭한 번호인 듯 합니다.
[신세계몰] 05/03 15:12 결제금액:55000원/
결제내역확인 dwz.im/mX6
피싱(스미싱)메시지라는건 당연히 눈치챘지만 일단 궁금해서 조사를 해봤습니다.
먼저 dwz.im의 주소는 다음과 같은 중국어 사이트로 연결되어 있습니다.
이 사이트는 겉보기로는 긴 이름의 사이트 주소를 짧게 줄여주는 사이트인 것 같습니다.
사이트 자체는 범인과 직접적인 관련은 없어보이지만 중국어를 사용 가능한 사람이 범인이라고 추측할 수 있겠습니다.
dwz.im/mX6이라는 저 링크를 클릭하면 danal.zip이라는 파일을 다운로드하게 됩니다.
다운로드 시 연결되는 IP주소는 126.19.85.93으로 일본에 할당되어 있습니다.
이 주소가 진짜 범인의 주소인지는 확실하지 않네요. 빌린 서버일 가능성이 있습니다.
이걸 실행하면 Danal이라는 이름의 어플리케이션을 설치하도록 묻습니다. 아마 이름은 사칭이라고 생각됩니다.
쓰레기가 만든 어플답게 온갖 권한을 전부 요구합니다. 사진 찍기와 녹음까지 요구하네요.
- 요금이 부과되는 서비스: SMS 메시지 보내기
- 위치: 네트워크 기반의 대략적인 위치, 자세한(GPS) 위치, 테스트를 통해 위치 정보제공자로 가장
- 메시지: SMS 수신
- 네트워크 통신: 인터넷에 최대한 액세스
- 저장: SD 카드 콘텐츠 수정/삭제
- 하드웨어 제어: 사진과 동영상 찍기, 오디오 녹음
- 시스템 도구: 파일시스템 마운트 및 마운트 해제, 휴대전화가 절전 모드로 전환되지 않도록 설정
- 네트워크 통신: 네트워크 상태 보기
- 하드웨어 제어: 진동 제어, 카메라 플래시 제어
- 시스템 도구: 부팅할 때 자동 시작
어플리케이션을 설치한 후 실행을 하면 기기 관리자 활성화를 요구합니다.
권한을 승인하고 나서는 리소스를 보아하니 아마 무슨 확인 버튼 같은게 떠야 할 것 같은데
가상 디바이스라서 그런지 제대로 작동하는 것 같진 않았습니다.
아무튼 이 어플리케이션을 설치하고 실행시킨 이후에는 삭제도 제대로 되지 않는 것 같습니다. 물론 재부팅 해도 삭제되지 않았습니다.
기기 관리자를 활성화하지 않았더니 삭제는 가능했습니다.
기기관리자의 해제는 안드로이드의 환경설정 메뉴에서 보안(또는 위치 및 보안) 메뉴로 들어가시면 기기관리자 항목이 있습니다.
거기에서 체크된 표시를 해제해주시면 기기관리자 권한이 해제됩니다.
이런 모양의 확인 버튼이 떠야 할 것 같습니다.
리소스 내에는 다날의 이미지 뿐만 아니라 알약 안드로이드의 이미지도 포함되어있는 걸로 보아 알약으로도 사칭하고 있는 것으로 보입니다.
악질이네요.
신세계몰, Danal, 이스트소프트, 사고팔고부동산 등 네 개의 회사에도 피해를 주는군요.
무슨 정보를 빼가는지 정확하게 알아보지는 못했지만 아무튼 조심하시기 바랍니다.
'그 외 > 유용한 정보' 카테고리의 다른 글
| [Windows 10] 이 앱은 사용자 보호를 위해 차단되었습니다. (17) | 2015.09.08 |
|---|---|
| 인터넷이 갑자기 일부만 정상적으로 연결되지 않을 때 (DNS_PROBE_FINISHED_NXDOMAIN) (28) | 2014.06.19 |
| 쉽게 헷갈리는 한글 맞춤법 몇 가지 (0) | 2013.12.31 |
| 알파스캔 모니터 OSD 잠금 설정 변경 (5) | 2013.07.24 |
