오늘은 개인정보 노출 문자를 가장한 안드로이드 악성코드가 유포되고 있습니다. 일단 악성코드 MplayerTv.apk이라는 형식으로 이루어져 있으며 해당 악성코드 유포 방식은 무작위로 문자로 이루어지고 있습니다. 제목은 다음과 같습니다.
[Web 발신]
[속보]
(연애조작단) 회원님 정보노출
여기로 로그인한 후 탈퇴하세요.
https://bit.ly/3d1C????
으로 돼 있습니다. 여기서 호기심으로 해당 링크를 클릭하면 http://happysex4477.in??로 접속이 되면 해당 사이트에 접속되면 성적인 글과 함께 그리고 어떤 여자가 나오면 글자에서는 손빨래 이야기 나오는데 자극적인 글자가 적혀져 있는것을 볼수가 있습니다.일단 본론으로 돌아와서 여기서 다운로드 부분을 눌러주면 MplayerTv.apk가 다운로드 진행이 됩니다.
일단 해시값은 다음과 같습니다.
MD5 0168f6e6ffd59ab5f6e03917d512f3e3
SHA-1 07755597b7e1320844e30e01409379ed899327a1
SHA-256 3bc31c15f863248df7c5d2254b51302a15e159425728ee5e46c3d6bf8ff6922d
그리고 현재 바이러스토탈에서 돌려 보면 아직은 많은 보안 업체에서 진단하지 않고 있습니다.
일단 진단명은 다음과 같습니다.
Avast-Mobile:APK:RepSandbox [Trj]
DrWeb: Android.SmsSpy.10617
Kaspersky: HEUR: Trojan-Spy.AndroidOS.SmsThief.ow
Qihoo-360: Android/Trojan.Spy.a2a
ZoneAlarm by Check :Point:HEUR:Trojan-Spy.AndroidOS.SmsThief.ow
일단 기본적으로 정식 진단명으로 진단하는 업체도 있지만 HEUR 처럼 휴리스틱 즉 사전탐지 기능이 작동해서 탐지하는 때도 있습니다. 정식으로 진단하는 업체는 별로 없습니다. 일단 개인적으로 모바일 쪽은 Eset를 사용을 하고 있는데 진단을 하지 않았고 컴퓨터 쪽은 시만텍을 사용하고 있어서 시만텍에 신고했습니다.
Detection Details: MplayerTv.aXkVerdict: This is not malicious itself, but may be an artifact of a threat
로 답변을 받았습니다. 악성코드의 권한은 다음과 같습니다.
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.DEVICE_POWER
android.permission.WAKE_LOCK
파일 오픈
/proc/meminfo
/data/data/com.blackGun.dev/shared_prefs/com.blackGun.dev_preferences.xml
/data/misc/keychain/pins
파일 쓰기
/data/data/com.blackGun.dev/app_xwalkcore/paks/xwalk.pak
/data/data/com.blackGun.dev/shared_prefs/com.blackGun.dev_preferences.xml
/data/data/com.blackGun.dev/app_xwalkcore/paks/xwalk_100_percent.pak
/data/data/com.blackGun.dev/app_xwalkcore/icudtl.dat
파일 삭제
/data/data/com.blackGun.dev/shared_prefs/com.blackGun.dev_preferences.xml.bak
일단 지금까지 정상적으로 백신앱에서 진단을 하는 업체는 별로 없어서 의심스러운 링크 클릭 또는 설치를 하면 안 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Windows 10(윈도우 10) KB4556799,KB4551853 누적 업데이트 (0) | 2020.05.14 |
|---|---|
| Windows Defender (윈도우 디펜더) 구성 도구 프로그램-ConfigureDefender (4) | 2020.05.12 |
| 파이어폭스 76.0(Firefox 76.0) 보안 업데이트 (2) | 2020.05.07 |
| 가짜 질병관리본부 사칭 피싱 사이트 악성코드 유포 (2) | 2020.05.06 |
| 특정 여성 연애인을 성적 사생활 언급하는 네이버 피싱 공격 (4) | 2020.05.01 |
| Windows 10 KB4549951 블루스크린 보고서 조사 (0) | 2020.05.01 |
| 성접대 관련 글로 가짜 네이버 로그인으로 유도하는 피싱 사이트 (4) | 2020.04.29 |
| 어도비 플래쉬 플레이어(Adobe Flash Player)를 가장한 안드로이드 악성코드 UpdateFlashPlayer.apk (2) | 2020.04.27 |
