1577-4989 라는 전화번호로 다음과 같은 문자메시지가 왔습니다.

번호는 조회해보니 서울시 강남구의 '사고팔고부동산'의 번호였습니다. 사칭한 번호인 듯 합니다.

[신세계몰] 05/03 15:12 결제금액:55000원/

결제내역확인 dwz.im/mX6

  

 

피싱(스미싱)메시지라는건 당연히 눈치챘지만 일단 궁금해서 조사를 해봤습니다.

먼저 dwz.im의 주소는 다음과 같은 중국어 사이트로 연결되어 있습니다.

이 사이트는 겉보기로는 긴 이름의 사이트 주소를 짧게 줄여주는 사이트인 것 같습니다.

사이트 자체는 범인과 직접적인 관련은 없어보이지만 중국어를 사용 가능한 사람이 범인이라고 추측할 수 있겠습니다.

 

 

 

dwz.im/mX6이라는 저 링크를 클릭하면 danal.zip이라는 파일을 다운로드하게 됩니다.

다운로드 시 연결되는 IP주소는 126.19.85.93으로 일본에 할당되어 있습니다.

이 주소가 진짜 범인의 주소인지는 확실하지 않네요. 빌린 서버일 가능성이 있습니다.

이걸 실행하면 Danal이라는 이름의 어플리케이션을 설치하도록 묻습니다. 아마 이름은 사칭이라고 생각됩니다.

 

쓰레기가 만든 어플답게 온갖 권한을 전부 요구합니다. 사진 찍기와 녹음까지 요구하네요.

  - 요금이 부과되는 서비스: SMS 메시지 보내기

  - 위치: 네트워크 기반의 대략적인 위치, 자세한(GPS) 위치, 테스트를 통해 위치 정보제공자로 가장

  - 메시지: SMS 수신

  - 네트워크 통신: 인터넷에 최대한 액세스

  - 저장: SD 카드 콘텐츠 수정/삭제

  - 하드웨어 제어: 사진과 동영상 찍기, 오디오 녹음

  - 시스템 도구: 파일시스템 마운트 및 마운트 해제, 휴대전화가 절전 모드로 전환되지 않도록 설정

  - 네트워크 통신: 네트워크 상태 보기

  - 하드웨어 제어: 진동 제어, 카메라 플래시 제어

  - 시스템 도구: 부팅할 때 자동 시작

 

어플리케이션을 설치한 후 실행을 하면 기기 관리자 활성화를 요구합니다.

권한을 승인하고 나서는 리소스를 보아하니 아마 무슨 확인 버튼 같은게 떠야 할 것 같은데

가상 디바이스라서 그런지 제대로 작동하는 것 같진 않았습니다.

아무튼 이 어플리케이션을 설치하고 실행시킨 이후에는 삭제도 제대로 되지 않는 것 같습니다. 물론 재부팅 해도 삭제되지 않았습니다.

기기 관리자를 활성화하지 않았더니 삭제는 가능했습니다.

 

기기관리자의 해제는 안드로이드의 환경설정 메뉴에서 보안(또는 위치 및 보안) 메뉴로 들어가시면 기기관리자 항목이 있습니다.

거기에서 체크된 표시를 해제해주시면 기기관리자 권한이 해제됩니다.

 

   

 

 

이런 모양의 확인 버튼이 떠야 할 것 같습니다.

 

리소스 내에는 다날의 이미지 뿐만 아니라 알약 안드로이드의 이미지도 포함되어있는 걸로 보아 알약으로도 사칭하고 있는 것으로 보입니다.

악질이네요.

신세계몰, Danal, 이스트소프트, 사고팔고부동산 등 네 개의 회사에도 피해를 주는군요.

무슨 정보를 빼가는지 정확하게 알아보지는 못했지만 아무튼 조심하시기 바랍니다.

 

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by Kugi

댓글을 달아 주세요

  1. aa 2013.05.03 20:22 신고  댓글주소  수정/삭제  댓글쓰기

    저도 그런문자 받았는데,덕분에 안눌러봐도되겠네요.ㄳㄳ

  2. G씨 2013.05.06 13:48 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 저도 스마트폰에 모르는 번호로 '모바일 청첩장이 도착하였음니다' 라고 저 주소가 찍혀 왔었습니다. '음니다'도 웃겼지만 아무리 봐도 수상해서 무시했는데 역시.. 좋은정보 감사합니다.

  3. 베리 2013.05.06 14:09 신고  댓글주소  수정/삭제  댓글쓰기

    저도모바일청첩장이도착하였다길래..
    다음달에 결혼하는친구가 3명이라서
    눌러보니 결제된다길래 바로 종료했어요
    소액결제 차단시켰으니 한번누른거에 돈나가지는않겠죠?

  4. 베리 2013.05.06 14:10 신고  댓글주소  수정/삭제  댓글쓰기

    저도모바일청첩장이도착하였다길래..
    다음달에 결혼하는친구가 3명이라서
    눌러보니 결제된다길래 바로 종료했어요
    소액결제 차단시켰으니 한번누른거에 돈나가지는않겠죠?

    • Kugi 2013.05.14 20:07 신고  댓글주소  수정/삭제

      죄송합니다. 댓글이 자동으로 스팸처리되서 이제야 겨우 확인했네요.
      어플을 설치 후에 버튼을 누르신거라면 결제가 되지 않았다고 확신할 수 없을 것 같습니다.
      다만, 설치 링크 등을 누르신 것이라면 결제는 되지 않았으리라 생각합니다.

  5. Kugi 2013.05.06 15:25 신고  댓글주소  수정/삭제  댓글쓰기

    도움이 되셨다니 기쁩니다.

  6. QT_TQ 2013.05.07 16:29 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요~ 저도 이런문자와서 피싱인가 하다가 호기심에 사이트 연결 시켜버렸어요ㅠㅠ! 어플리케이션 설치는 안했는데 괜찮은 거겠지요? 흑흑

    • Kugi 2013.05.07 16:59 신고  댓글주소  수정/삭제

      어플리케이션을 설치하지 않은 상태라면 문제 없으니 걱정하지 않으셔도 됩니다.
      실수로 설치할 수도 있으니 만약 파일을 다운로드하셨다면 확실하게 삭제하시는 편이 안전합니다.

  7. transport 2013.05.08 15:25 신고  댓글주소  수정/삭제  댓글쓰기

    1577-8899 이번호로도 왔네요
    국민암정보센터 라고 하는데
    이런 쓰레기짓 하는 놈은 짱꿔겠죠?
    인터넷으로 싸이트 들어가보니 짱꿔 청바지 쇼핑몰인거 같던데
    일단 의심되는 문자는 검색을 해봐야겠네요

  8. ㅊㅇ 2013.05.10 21:05 신고  댓글주소  수정/삭제  댓글쓰기

    저도 지금 막 윗분과같이 모바일 청첩장이 도착하였'음니다' 로 왔네요 ㅋㅋㅋㅋ
    머리는 참 잘 돌아가는데 공부는 안하나봐요
    빵터졌습니다만.. 당하시는분 많겠어요 저도 순간 설치할뻔했다는-_-ㅋㅋ

  9. 사상의 지평 2013.05.10 21:07 신고  댓글주소  수정/삭제  댓글쓰기

    확실히 이런 부분에서는 아이폰이 좋은듯 저도 받았는데 궁금해서 접속했는데 바로 다운받을 수 없다고 메세지

  10. 한화정 2013.05.12 13:27 신고  댓글주소  수정/삭제  댓글쓰기

    저도다운하는중에 화면이 꺼지던데 괜찮을까요?핸드폰고객센터에전화해봐야하나요?

  11. 한화정 2013.05.12 13:27 신고  댓글주소  수정/삭제  댓글쓰기

    저도다운하는중에 화면이 꺼지던데 괜찮을까요?핸드폰고객센터에전화해봐야하나요?

    • Kugi 2013.05.12 14:47 신고  댓글주소  수정/삭제

      다운로드가 정상적으로 진행되지 않았거나
      다운로드가 완료되었어도 설치가 되지 않은 상태라면
      걱정하지 않으셔도 될 것 같습니다.

  12. aaaa 2013.06.08 18:59 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요?
    저도 저런 문자를 받았는데, 사이트가 궁금해서 문자복사해서 폰구글검색창에 입력하고 검색하기 눌렀더니 어떤 파일이 바로 다운받아지던데 ㅠㅠㅠ 이미 돈이 나간걸까요 ㅠㅠ?

  13. aaaa 2013.06.08 18:59 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요?
    저도 저런 문자를 받았는데, 사이트가 궁금해서 문자복사해서 폰구글검색창에 입력하고 검색하기 눌렀더니 어떤 파일이 바로 다운받아지던데 ㅠㅠㅠ 이미 돈이 나간걸까요 ㅠㅠ?

  14. 으ㅡㅡ 2013.06.22 17:51 신고  댓글주소  수정/삭제  댓글쓰기

    삭제했는데 크게 문제없겟죠?ㅠㅠ
    그사이에 인터넷뱅킹도 사용했는데...ㅜ

    • Kugi 2013.06.22 20:27 신고  댓글주소  수정/삭제

      어플을 설치하고 실행까지 하셨다면 확답은 못드리겠네요 ㅜㅜ
      보통은 자동 소액결제 사기가 많으므로
      혹시 본인 모르게 결제된 내역이 있는지 체크해보세요.
      피해가 없으셨으면 좋겠습니다.

  15. 2013.06.27 12:05  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • Kugi 2013.06.28 04:28 신고  댓글주소  수정/삭제

      걱정이 크시겠네요.
      일반적으로 다운로드만으로는 악성코드에 감염되지 않습니다.
      실행이 1회 이상 되고 나면 감염이 이루어지는데요,
      초기화를 한 후라면 외장 메모리 등에 악성코드가 남아있지 않은 한 괜찮을 것 같습니다. 단, 초기화 하기 전에 무언가 유출이 되었다면 그건 어떻게 할 수가 없겠네요 ㅠ_ㅠ

  16. 민경 2013.08.09 21:44 신고  댓글주소  수정/삭제  댓글쓰기

    저도이거받앗는데
    링크잇길래 눌러서들어갓는데 올레에서들어가지말란글나왓는데

    어떻게되는거고어떡함되니까

  17. 민경 2013.08.09 21:47 신고  댓글주소  수정/삭제  댓글쓰기

    저도이거받앗는데
    링크잇길래 눌러서들어갓는데 올레에서들어가지말란글나왓는데

    어떻게되는거고어떡함되니까

    • Kugi 2013.08.09 22:26 신고  댓글주소  수정/삭제

      올레 페이지가 열린거면 아무 문제 없을 것 같습니다.
      또한 아무런 다운로드 및 설치가 진행되지 않았다면 괜찮습니다.

  18. 피망 2013.08.26 17:48 신고  댓글주소  수정/삭제  댓글쓰기


  19. young 2013.11.20 09:21 신고  댓글주소  수정/삭제  댓글쓰기

    저런거 뜨면 무조건 클릭하지 마시고 일단 인터넷에서 검색을 해보세요 보낸 곳과 같은 정보가 뜨지 않는다면 가짜죠.




간만에 블로그 관리를 위해 접속해보니 웬일로 새로운 댓글이 100개가 달려있었습니다.

 

블로그를 개설한 이래로 여태까지 달린 댓글은 고작 1개 뿐이었는데 무척 놀라웠지요.

 

그런데 자세히 보니 내용이 영 이상한 문장들로, 그것도 죄다 같은 내용으로 차 있었습니다.

 

 

 

일일 방문자도 무려 142명이나 되었습니다. 여태 없던 일이죠.

 

 

 

"매우 지원 및 이월하고 있습니다."

 

이런 댓글이 모든 글에 몇 개씩 달려있었습니다.

 

이게 뭔소리인가 싶어 곰곰히 생각을 해 봤지요.

 

한국어를 모르는 외국인이 내 블로그에서 뭔가 도움이 되었다는 소리일까, 이월은 또 뭔소리지.. 하고 있었는데

 

유저이름을 클릭하니 나온 곳은 외국의 의류 판매 사이트였습니다.

 

참, 괜히 가슴설레었던 순간이었습니다. 실체를 알고 나니 허무하네요.

 

아무튼 이 100개의 댓글과 1개의 방명록 글은 다음과 같은 4개의 IP 주소로부터 작성된 것이었습니다.

 

58.49.237.63
61.183.15.233
61.183.15.244
114.80.156.135

 

더보기

 

 

지금은 모두 차단하고 삭제한 상태입니다. 찾아보니 네 개의 주소 모두 중국 IP였네요.

 

다음엔 이런 일이 없었으면 좋겠습니다. 구글에서 랜덤하게 검색되어 찾아온 듯 한 느낌입니다.

 

괜히 이번에 논란이 된 국내 해킹 사건의 여파는 아닌가 하는 생각도 들구요.

 

[2013/04/25] 몰랐는데 관리모드에서 확인해보니 스팸등록 된 아이피 및 작성자의 댓글들은 자동으로 휴지통으로 보내지는 것 같습니다.

잠잠한 줄 알았더니 하루에도 몇 개씩 달아놓고 가는것이었네요.

 

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by Kugi
TAG SPAM, 스팸

댓글을 달아 주세요

  1. 2013.04.23 00:03  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다



티스토리 툴바