택배 예상 발송일로 위장한 스미싱 주의

택배사 명칭을 직접적지 않고 택배 도착 예상 날짜를 적는 신규 패턴 확인

기존 스미싱 문자 패턴을 달리 보내는 패턴으로 피해 발생 우려가 있어…

 

최근 아시아권에 스미싱을 보내는 조직인 RoamingMantis / MoqHao 조직이 최근 수신되는 문자 패턴을 변경해 직접적인 택배사 이름을 말하는것이 아닌, 택배물에 대한 예상 배송일 관련으로 문자를 보내는 정황을 파악했다.

 

관련해서 아래 내용을 참고하여 유사 사례를 참고하여 스미싱 피해를 예방하는것이 좋다.

 

 

 

 

스미싱 문자

 

배달물예상배송일 을 포함한 스미싱 문자
배달물예상배송일 을 포함한 스미싱 문자

 

최근 수신되는 패턴은 위 형태처럼 배달물예상배송일 이라는 단어와 함께 수신된 날 기준으로 택배를 받을 날짜를 짧은 기간(수신일 기준 하루 내지 사흘 정도)로 작성하여 문자 수신이 되는것이 특징이다.

 

스미싱 사이트 화면
스미싱 사이트 화면

 

사용되는 링크는 단축 URL(bit.ly) -> tumblr -> 스미싱 사이트(xyz / top 형태의 주된 도메인 사용)로 연결되는 특징을 가지고 있다.

tumblr 에서 Android / iOS 브라우저 여부를 체크하고 실제 스미싱 사이트로 연결되어, PC에서는 User-Agent 변경을 하지 않으면 tumblr 사이트에서 멈춰있어 정상적인 사이트 처럼 생각할 수 있다.

 

 

 

악성앱 설치

스미싱 문자 설치 1
스미싱 문자 설치 1
스미싱 문자 설치 2
스미싱 문자 설치 2

 

CJ 대한통운 이란 이름을 사용하는 악성코드는 과거 RoamingMantis / MoqHao 조직들이 자주 사용했던 수법이며, Chrome 을 사용했다가 다시 CJ 대한통운 형태로 사용하는것을 확인했다.

 

Virustotal : https://www.virustotal.com/gui/file/bd0d7b5abe9af5c71949ba3ed29894df81bc7f6c8dcc2280f312c1f758a73135/detection

 

 

 

사용자 주의사항

  1. 출처를 알 수 없는 링크는 함부로 클릭하지 않는다.
  2. 택배사는 절대로 핸드폰 번호나 이름, 생년월일을 묻지 않으므로 이점을 유의한다.

참고 : https://blog.supersu.kr/security/smartphone/fake-delivery-smishing-warning