‘DHL’ 추적 SMS가 독일의 Android 사용자에게 일본의 C & C 서버를 통해 악성코드를 전송합니다

다음 번에 DHL에서 배송 또는 패키지의 임박한 배송에 대한 SMS를 받으면 주의하십시오. McAfee 블로그에 발표된 보고서에 따르면, DHL이 보낸 짧은 문자 메시지(SMS)가 실제로는 귀하의 패키지 추적 알림이라고 주장하며, 악성 Android 악성코드를 귀하의 스마트폰에 전달하고 있다고 보안 연구자들이 관찰했습니다. 이 특정 SMS 스팸은 지금까지 독일에서만 발견되었습니다.

독자들은 추적 알림을 스팸 방법으로 사용하는 것이 이메일 자체만큼 오래되었으며, RMS, DHL, FedEx 또는 UPS와 같은 대부분의 신뢰할 수 있는 운송업체가 무심코 피해자의 돈을 탈취하는 데 사용된다는 점을 주목할 것입니다. 그러나 연구자들은 이번이 SMS가 이 방법을 사용하여 Android에서 악성코드를 배포하는 데 사용된 첫 번째 사례라고 언급합니다.

McAfee Labs의 연구자들은 현재 이 추세가 독일 사용자들을 겨냥하고 있으며, 그들이 Dropbox에서 제공하는 클라우드 저장소에 저장된 악성코드를 수신하고 있다고 보고했습니다. 악성 파일은 “DHL.apk”라는 이름의 설치 패키지이며, Google의 URL 단축 서비스를 통해 마스킹된 공유 링크를 통해 전달됩니다.

McAfee에 따르면, 독일 SMS는 “Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über,”라는 내용과 악성 다운로드 링크가 뒤따릅니다. 번역하면, 이는 DHL 소포가 배달되었으며 제공된 링크를 통해 추적할 수 있다는 내용을 전달합니다. 이는 피해자가 링크를 클릭하고 악성코드를 다운로드하도록 유도하는 매우 좋은 동기를 제공합니다.

설치 후, 악성코드는 정상적인 악성코드가 해야 할 일을 수행합니다.

Google 서비스 프레임워크를 장악하고 이를 종료한 후 홈 화면에서 자신의 자리를 차지합니다. 첫 번째 실행 시, 사용자는 관리자 권한을 허용하라는 요청을 받습니다.

McAfee의 보안 연구자들은 이 악성코드를 Android/SmsHnd.A로 명명했습니다. 설치 후 사용자 권한을 얻은 악성코드는 명령 및 제어 서버와의 통신을 위한 백그라운드 서비스를 시작하며, 여기서 장치에서 무엇을 훔칠지에 대한 지침을 받습니다. 연구자들에 따르면, 이 악성코드는

• 민감한 장치 정보(전화번호, 장치 모델, IMEI 및 IMSI)를 유출할 수 있습니다.
• 원격 서버에서 제공된 데이터(전화번호 및 텍스트)를 사용하여 SMS 메시지를 보낼 수 있습니다.
• 모든 전화 및 SIM 연락처에 특정 텍스트 메시지를 보낼 수 있습니다.
• 연락처 목록을 훔칠 수 있습니다.

**

게다가, 사이버 범죄자들은 명령 및 제어 서버에서 수신한 정보(전화번호 및 텍스트)를 포함한 짧은 문자 메시지를 보낼 수 있도록 설계했습니다. 이는 주소록의 피해자 연락처에 악성코드를 전파하는 데에도 사용될 수 있습니다.

“이러한 행동 외에도, 감염된 장치에 SMS 메시지가 전송될 때마다(그러나 피해자의 연락처 목록에 있는 번호에서 전송된 것이 아닐 경우), 해당 메시지는 가로채어져 원격 서버로 전달됩니다.”

| | | |

| | 이미지 출처 McAfee 블로그 | |

이유 중 하나는 피해자가 온라인 뱅킹 계정에 로그인하기 위해 전송된 2단계 인증 코드를 가로채기 위함일 수 있습니다. McAfee 연구자들은 또한 원격 명령 및 제어 서버가 일본 어딘가에 위치하고 있으며 추가 조사가 진행 중이라고 밝혔습니다.