가짜 맥아피로 위장한 안드로이드 악성코드-mcafeeprotect

일단 맥아피(Mcafee)  이라는것은 맥아피(McAfee)는 미국 캘리포니아주 샌타클래라에 본사가 있는 컴퓨터 보안 관련 소프트웨어와 하드웨어를 제작 및 판매하는 회사이며 2014년부터 2017년까지 인텔 시큐리티(Intel Security)라는 이름을 사용하였으며 1987년 설립자 존 매커피(1994년에 회사를 사직함)에 의해 McAfee Associates라는 이름으로 설립되었으며 인텔의 인수를 했으며 2010년 8월 19일 인텔은 맥아피를 지분당 48달러 인수 이후 인텔은 맥아피를 인수하였고 2014년부터 2017년까지 인텔 시큐리티(Intel Security)라는 이름을 사용하였으며 2017년4월 4일 인텔 시큐리티는 모회사 인텔로부터 독립하여 기존 명칭인 맥아피로 다시 돌아오게 되었으며 해외에서는 상당히 유명한 제품이며 일단 국내 컴퓨터에서는 아마도 맥아피 제품을 탑재해서 판매하는 브랜드가 있는 걸로 알고 있습니다.

일단 해당 악성코드는 h???://www.mcafeeprotect.xyz(2020년6월19일까지 사이트는 살아있었음)로 접속을 하면 IP 주소를 확인하고 나서 해당 언어로 번역해서 보이고 해당 사이트에서 McAfee.apk 파일을 다운로드를 하면 일단 기본적으로 제가 확인한 바로는 McAfee.apk 파일이 MD5 해쉬값이 틀린 것을 보니까 접속을 할 때마다 다른 파일을 다운로드를 하기 때문에 바이러스토탈에 업로드 해보면 안티바이러스(백신프로그램)에서는 진단을 하지 않은 경우가 많이 있습니다.

일단 해당 사이트에 접속하면 다음과 같이 기기가 위협합니다. 라는 메시지와 그리고 모든 바이러스 삭제(4)라고 돼 있으면 진단명을 표시하고 있으며 안티바이러스 업데이트 및 실행으로 장치에서 모든 바이러스 제거라는 부분을 볼 수가 있는데 여기서 모든 바이러스 삭제를 클릭하면 해당 악성앱이 다운로드가 이루어지면 사용자가 임의적으로 설치를 하면 악성코드가 설치되는 방식을 취하고 있습니다. 웹 소스를 열어보면 러시아 어가 나오는 것을 볼 수가 있는데 개인적 생각으로는 러시아인들이 제작한 것 같습니다. 일단 제가 발견을 한 악성앱은 해시 값은 다음과 같습니다.

mcafeeprotect 악성코드 사이트

MD5:2892b791c611f6aee61135d22f0d5040
SHA-1:a1dfec5a8bd08125b5e88523e54273eea720d89b
SHA-256:10433c7685c3a725a7398c03219aa5b7fdb54d6ed15168868a8c18efcecf82de
2020년6월19일 기준 바이러스토탈에서는 다음과 같은 진단을 하고 있습니다.
AhnLab-V3:Trojan/Android.Banker.896466
Fortinet:Android/Agent.EYO!tr
Ikarus:Trojan-Banker.AndroidOS.Cerberus
K7GW:Trojan(005573fd1 )
Sophos AV:Andr/Banker-GZA
입니다. 악성코드 권한은 다음과 같습니다.

mcafeeprotect 웹소스

android.permission.BLUETOOTH
android.permission.CALL_PHONE
android.permission.INTERNET
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
일단 기본적으로 구글플레이 스토어에서 공식 출처를 통해서 설치하고 기본적으로 웹사이트에서는 공개된 APK를 내려받기해서 설치하는 것은 자제해야 합니다. 일단 유료 앱 같은 것 돈 아끼려고 하다가 악성코드에 감염되어서 개인정보 유출이 될 수가 있습니다. 일단 출처를 모르는 주소는 클릭하지 않는 것이 좋습니다.