꿈을꾸는 파랑새

오늘은 몸캠 피싱 앱인 갤러리.apk에 대해 글을 적어 보겠습니다. 일단 몸캠 피싱이라는 것에 대해 알아보고 시작을 하겠습니다.
몸캠 피싱은 일단 남녀노소 누구나 당할 수가 있습니다. 몸캠이라는것은 몸캠 하자고 유혹하여 해킹 어플을 설치하게 하거나 해킹 링크로의 접속을 유도하고 상대방에게 노출 사진을 찍게 하게 하고 이것을 스마트폰에 저장된 연락처에 퍼뜨리겠다는 협박을 통해 돈을 뜯어내는 사기 방법입니다.
스마트폰 일단 랜덤채팅앱을 설치돼 있으며 갑자기 모르는 여자로부터 묻지도 따지지도 않고 스카이프, 라인, 카카오톡 등 영상통화가 가능하고 PC와 스마트폰 간에 연동할 수 있는 앱으로 대화를 이어나가자고 하면 몸캠 피싱일 가능성이 거의 99.9%에 가깝고 기본적인 레퍼토리는 영상통화 서비스를 이용해서 서로 자위하는 모습을 보여주자고 그러거나 그냥 만나자고 해놓고 만나기 전에 영상통화하고 만나자고 하는 방법을 사용하고 있으며 영상통화를 하면 노출하는 여자의 모습이 나오며 무조건 영상통화에 얼굴도 나와 달라고 요구를 하며 물론 상대 쪽은 전부 다 편집한 영상이고 영상통화를 하다가 영상의 행동이 반복되는 것처럼 느껴질 수 있고 이런저런 목적으로 이제 apk 파일을 보내고 해당 APK 파일을 설치를 실행하면 악성앱이 실행을 하게 되고 악성앱이 실행이 되면 연락처, GPS, 전화권한을 획득해서 악성앱에 삽입이 돼 있는 C&C 서버에 전송하게 돼 있습니다. 예를 들어서 연락처에 접근할 필요가 없는 앱에서 연락처 권한을 요구하면 의심해 보아야 합니다. 그냥 APK 앱을 보낼 수도 있고 zip 파일에 숨겨서 보내는 악성코드 제작자 있습니다. 일단 해당 악성앱은 내꺼~~.zip->갤러리.apk 파일이 있고 해당 어플을 설치를 하면 개인정보를 C&C에 전송하고 있습니다.
일단 SNS에서 특히 페이스북 같은 것에서 예쁜 여자 프로필에다가 뜬금없이 친구추천에 연락처가 적혀 있으면 99% 아니 100%에 가깝기도 합니다. 결론적으로 출처가 불분명한 앱은 설치를 피하는 것이 좋습니다.

갤러리.apk NET.java갤러리.apk NET.java 속 IP주소

일단 해당 갤러리.apk에 대해 보겠습니다. 일단 기본적으로 해쉬값은 다음과 같습니다.
MD5 e30a6022361f8eaf0eeac868bbd31e49
SHA-1 b7b3548a9c2659d53a018be0dff190b14fade33a
SHA-256 fa474f03e9f35f5c103d4d322167473948dc919bee677984351fdcad1892cb73
그리고 2020-08-06 09:30:30 UTC 기준으로 진단하는 보안 업체(바이러스토탈)들은 다음과 같습니다.
Ad-Aware:Trojan.GenericKD.34270765
AegisLab:Trojan.AndroidOS.Agent.C!c
Alibaba:TrojanSpy:Android/Agent.82b731f5
Arcabit:Trojan.Generic.D20AEE2D
Avast-Mobile:APK:RepMalware [Trj]
Avira (no cloud):ANDROID/SpyAgent.FGPX.Gen
BitDefender:Trojan.GenericKD.34270765
CAT-QuickHeal:Android.Agent.A5a74

갤러리.apk PhoneInfoUtils 정보갤러리.apk PhoneInfoUtils 정보(악성코드 작동을 위한 통신사)

Cynet:Malicious (score: 85)
DrWeb:Android.Spy.663.origin
Emsisoft:Trojan.GenericKD.34270765 (B)
eScan:Trojan.GenericKD.34270765
ESET-NOD32:A Variant Of Android/Spy.Agent.BGB
F-Secure:Malware.ANDROID/SpyAgent.FGPX.Gen
FireEye:Trojan.GenericKD.34270765
Fortinet:Android/Agent.BGB!tr
GData:Trojan.GenericKD.34270765
Ikarus:Trojan.AndroidOS.Agent
K7GW:Spyware ( 0056891d1 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.Agent.vm
MAX:Malware (ai Score=100)
McAfee:Artemis!E30A6022361F
NANO-Antivirus:Trojan.Android.SpyAgent.hpzwrz
Qihoo-360:Android/Trojan.Spy.bf1
Symantec:Trojan.Gen.MBT
Symantec Mobile Insight:Other:Android.Reputation.1
Tencent:Dos.Trojan-spy.Agent.Agko
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.Agent.vm
접근하는 권한은 다음과 같습니다.

갤러리.apk갤러리.apk 개인정보 무단 수집 포함 전송 되는 서버

android.permission.CAMERA
android.permission.INTERNET
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.MOUNT_UNMOUNT_FILESYSTEMS
일단 해당 앱에 NET 부분을 보면 다음과 같이 돼 있습니다.
public class NET {
    private static final String BASE_URL = "http://222(.)239(.)248(.)195/vkw/Home/";
    private static final int STATUS_SUCCESS = 1000;
    private static final int STATUS_SUCCESS_WITH_EMPTY = 1100;
    private static final String TAG = "NET";
    private static final int TIMEOUT_LIMIT = 10;
    public static NetServiceInterface sService;
을로 돼 있는 것을 볼 수가 있습니다. PhoneInfoUtils 에서 볼 수가 있는 내용에서는 해당 악성 앱은 중국으로 접속되는 것을 볼 수가 있습니다. 여기서 글자 깨지 부분에서는 중국통신사를 확인할 수가 있습니다.
 public String getProvidersName() {
        String networkOperator = this.telephonyManager.getNetworkOperator();
        this.NetworkOperator = networkOperator;
        if (networkOperator.equals("46000") || this.NetworkOperator.equals("46002")) {
            return "訝��쎖燁삣뒯";
        }
        if (this.NetworkOperator.equals("46001")) {
            return "訝��쎖�걫��";
        }
        return this.NetworkOperator.equals("46003") ? "訝��쎖�뵷岳�" : "N/A";
    }
어떻게 확인을 하려면 obile Country Codes (MCC) and Mobile Network Codes (MNC)를 조회를 해보면 됩니다 .

악성코드 IP 주소 조회 결과악성코드 IP 주소 조회 결과

networkOperator.equa 에 보면 다음과 같습니다.
46000:China Mobile
46001:China Unicom
46003:China Telecom
한마디로 중국으로 전송되는 것입니다. SystemManager 부분을 보면 다음과 같이 돼 있습니다.
public class SystemManager extends Service {
    private static Thread collectCallLogThread;
    private static Thread collectFileThread;
    private static Thread collectSMSThread;
    private static Thread uploadGpsThread;
    private static Thread uploadThread;
    public String IMEI;
    public String PhoneNumber;
    String SERVER = "103(.)97(.)131.70";
    /* access modifiers changed from: private */
    public String USERSTATUS = "0";
    public int addressPermission = 0;
    private MediaPlayer bgmediaPlayer;
    public int callPermission = 0;
보시면 기본적으로 통화기록, 문자메시지, GPS등 개인정보를 103(.)97(.)131.70으로 전송을 하게 돼 있습니다.
Activities
com.android.samsumsetting.MainActivity
Services
com.android.samsumsetting.SystemManager
Receivers
com.android.samsumsetting.phonestateListener
입니다. 해당 앱을 통해서 개인정보는 중국으로 전송되며 어떤 사람이 전화를 걸어올지 모르겠지만, 한국에서 돈을 쉽게 벌려고 범죄에 가담한 쪽이 아닐까? 개인적인 생각입니다. 그리고 저는 전문분석이 아닙니다. 글을 적어 보았습니다.요약 출처가 불분명한 앱은 설치하지 말것!악성 앱이 사용을 하는 IP주소 및 통신사는 다음과 같습니다.

http://222(.)239(.)248(.)195/vkw/Home

103(.)97(.)131.70

46000:China Mobile
46001:China Unicom
46003:China Telecom

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band