꿈을꾸는 파랑새

반응형

안티스파이이라는 안드로이드 앱은 경찰청에서 배포하는 스파이 앱을 찾아서 삭제할 수가 있게 만들어진 경찰청에서 만들어서 배포하는 스파이 앱 제거를 도와주고 있습니다. 일단 가짜 앱은 경찰, 검찰, 은행 등에 전화를 걸면 해당 기관이 아닌 범행 조직 콜센터로 연결되도록 하는 방식으로 해당 악성 앱을 설치를 하고 실행을 하면 보이스피싱 일당으로 개인정보가 넘어가서 보이스피싱에 악용이 되며 앞서 이야기한 것처럼 경찰, 검찰, 은행 등에 공식적인 고객센터 및 신고 센터에 걸면 해당 기관이 아닌 범죄조직으로 넘어갈 수가 있습니다. 현재 일부 IP에서는 신한은행 등과 같은 은행으로 속인 피싱사이트가 있고 해당 피싱사이트는 보면 구글플레이 처럼 보이지만 실제 주소를 보면 구글플레이 주소가 아닌 것을 확인할 수가 있습니다.
스파이앱은 사용자 모르게 통화내용, 문자메시지, 위치정보 등 개인정보를 실시간 수집하여 유출할 수 있고 음성녹음을 통한 도·감청, 데이터 삭제 및 접근 제한까지 가능한 기능의 앱을 말을 합니다. 일단 기본적으로 구글플레이에서 제공을 하는 경찰청에서 제작한 안티스파이 3.0 내용을 보면 다음과 같은 내용을 볼 수가 있습니다.
경찰청 폴-안티스파이 3.0
※ 폴-안티스파이 3.0은 공식 구글 스토어 및 통신사 통합 원스토어에서만 배포되고 있습니다. 다른 인터넷 사이트에서 다운로드 받거나 개인적으로 파일을 전송해 설치하는 경우는 사칭 앱이므로 설치하지 마시길 당부드립니다.
최근 타인의 스마트폰의 음성, 문자 메시지, 사진 등을 훔쳐볼 수 있는 기능의 스파이앱이 유통되고 있습니다. 특정인의 개인 생활을 감시하고 개인정보를 수집하는 불법적인 용도로 사용되고 있어 심각한 피해를 가져오고 있습니다. 이에 경찰청 사이버안전국에서는 ‘경찰청 폴-안티스파이'를 개발하여 스파이앱 설치 여부를 판단하고 삭제 기능을 제공합니다.
경찰청 폴-안티스파이 3.0의 주요 기능
스마트폰에 설치된 스파이앱 검색
스파이앱 탐지 시 선택 삭제
탐지 이력 검색
탐지 가능 스파이앱 개수
총 265종(상용 32종+비상용 139종+몸캠 피싱 앱 92종+게임으로 위장한 악성코드 2종)

[주위]가짜 경찰청 폴-안티스파이 3.0 유포 중
[주위]가짜 경찰청 폴-안티스파이 3.0 유포 중

모든 종류의 스파이앱 혹은 악성코드를 탐지하지 않습니다. 지속적으로 탐지 가능한 스파이앱 대상을 추가해 나가고 있습니다. 스마트폰의 이상 상태나 악성코드 치료를 위해서는 전문 안티바이러스 제품을 함께 사용하기를 권장합니다. 또한, 안드로이드 스마트폰의 업데이트를 늘 최신 상태로 유지하시길 권장합니다.
이라는 글이 있는데 공식적으로 해당 앱을 유포를 하는 곳은 구글 스토어 및 원스토어 밖에 없습니다.
일단 해당 유포를 하는 IP 주소들은 다음과 같습니다.
2020년06년15일 오전 4:08 기준
hxxp://102.129.249(.)14?
hxxp://102.129.249(.)14?
hxxp://181.215.247(.)8?
hxxp://191.101.227(.)10?
hxxp://191.101.227(.)10?
hxxp://191.101.231(.)3?
hxxp://191.101.231(.)3?
hxxp://191.101.231(.)3?
hxxp://191.101.238(.)22?
hxxp://191.101.238(.)22?
hxxp://102.129.249(.)12?
hxxp://102.129.254(.)19?
hxxp://191.101.13(.)4?
hxxp://191.101.13(.)4?

일부는 신한은행 같은 은행 앱들을 사칭을 하고 있으니까 주의하시면 됩니다.
먼저 가짜 경찰청 폴 안티스파이 3.0 에는 2가지 버전이 있습니다.
두 가지 버전의 해쉬값 과 권한 그리고 진단명은 다음과 같습니다.
MD5 4909c037794dc6b85bc133027cbcc76b
SHA-1 b04517e476e68ca41ebdd5c7a473924e17095740
SHA-256 9861c3684656626d2cb4a0a044ae3b4a81c1c9c3ff10e3ae95afb158ed7dcbd7
권한
android.permission.ACCESS_COARSE_LOCATION
android.permission.AUTHENTICATE_ACCOUNTS
android.permission.BLUETOOTH
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_WIFI_STATE
android.permission.DISABLE_KEYGUARD
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WRITE_CALL_LOG
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.FOREGROUND_SERVICE
android.permission.GET_ACCOUNTS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.REORDER_TASKS
android.permission.SET_ALARM
android.permission.VIBRATE
android.permission.WAKE_LOCK
android.permission.WRITE_SYNC_SETTINGS
그리고 다음 줄이 포함이 되어져 있습니다.
hxxp://example.com/
hxxp://schemas.android.com/apk/res-auto
hxxp://schemas.android.com/apk/res/android
Contacted URLs
hxxp://kr.jhyapp.org:2095/api/method1/Y
hxxp://kr.jhyapp.org:2095/api/method1/Y
hxxp://pandora-app.net:2095/api/method8/357143040654321
진단명
Alibaba:TrojanSpy:Android/Fakenocam.0e61aacf
Avast-Mobile:APK:RepSandbox [Trj]
CAT-QuickHeal:Android.Wroba.GEN32961
DrWeb:Android.BankBot.664.origin
ESET-NOD32:A Variant Of Android/Spy.Agent.BAK
Fortinet:Android/Agent.BAK!tr.spy
Ikarus:Trojan.AndroidOS.Agent
K7GW:Trojan(00550f0b1 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b
McAfee:Artemis!4909C037794D
Microsoft:Trojan:Script/Wacatac.C!ml
Qihoo-360:Other.Android.Gen
Symantec:Trojan.Gen.2
Symantec Mobile Insight:Other:Android.Reputation.1
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b
또 다른 버전의 해쉬값과 진단명,권한은 다음과 같습니다.
MD5 e19e430a9a982e804b425cde3e7dce0f
SHA-1 64a3e1c3b2c0480a120ddde72f99f18e594f534f
SHA-256 d9ae18085ac7ec9848eecc94d8d98abaf223167e06f3b14a62cebd12208af321
권한
android.permission.ACCESS_COARSE_LOCATION
android.permission.AUTHENTICATE_ACCOUNTS
android.permission.BLUETOOTH
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_WIFI_STATE
android.permission.DISABLE_KEYGUARD
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WRITE_CALL_LOG
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.FOREGROUND_SERVICE
android.permission.GET_ACCOUNTS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.REORDER_TASKS
android.permission.SET_ALARM
android.permission.VIBRATE
android.permission.WAKE_LOCK
android.permission.WRITE_SYNC_SETTINGS
그리고 다음 줄이 포함돼 있습니다.
hxxp://example.com/
hxxp://schemas.android.com/apk/res-auto
hxxp://schemas.android.com/apk/res/android
Contacted URLs
hxxp://kr.jhyapp.org:2095/api/method1/Y
hxxp://kr.jhyapp.org:2095/api/method2/903265658719350?salerCode=27&receivable=false&defaultapp=false&signal=2&battery=0&version=3.2.0
hxxp://kr.jhyapp.org:2095/api/method6/903265658719350
hxxp://pandora-app.net:2095/api/method1/Y
hxxp://kr.pandora-app.net:2095/api/method1/Y
hxxp://pandora-app.net:2095/api/method8/357143040654321
진단명
Alibaba:TrojanSpy:Android/Fakenocam.e5717114
Avast-Mobile:APK:RepSandbox [Trj]
CAT-QuickHeal:Android.Wroba.GEN32961
DrWeb:Android.BankBot.664.origin
ESET-NOD32:A Variant Of Android/Spy.Agent.BAK
Fortinet:Android/Agent.BAK!tr.spy
Ikarus:Trojan.AndroidOS.Agent
K7GW:Trojan(00550f0b1 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b
McAfee:Artemis!F758DCB680CB
Microsoft:Trojan:Script/Wacatac.C!ml
Qihoo-360:Other.Android.Gen
Symantec:Trojan.Gen.MBT
Symantec Mobile Insight:Other:Android.Reputation.1
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b
입니다. 일단 가짜 피싱사이트도 보면 구글 플레이 아이콘 구글 플레이 처럼 꾸며져 있으면 설치 버튼을 눌러주면 APK 파일이 다운로드 되고 그리고 사용자가 해당 악성코드가 들어가 져 있는 APK 파일을 설치하고 나서 실행을 하면 이제 스마트폰의 개인정보가 털리는 방식으로 돼 있습니다. 일단 제일 중요한 것은 인터넷에서 출처를 알 수가 없는 곳에서 APK 파일을 내려받기해서 설치 및 실행을 하는 것은 피해야 합니다. 일단 2020년06년15일 오전 4:08 기준으로는 아직은 국내 백신앱에서는 탐지가 되지 않는 것을 확인했습니다. 가장 안전하게 사용을 하는 방법은 백신앱을 설치를 하고 실시간 감시, 최신 업데이트 및 그리고 출처를 모르는 곳에서 APK 다운로드 설치를 하지 않고 그리고 구글플레이에서도 악성코드가 유포되고 있으니까 항상 조심하는 방법이 최소한 방법일 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band