꿈을꾸는 파랑새

오늘은 신한은행으로 속이는 피싱앱인 Shinha.apk 에 대해 알아보겠습니다. 일단 해당 앱은 신한은행으로 속여서 유포되고 있습니다. 일단 2020년8월14일 기준으로 작성되었습니다. 일단 기본적으로 해당 앱을 설치를 하면 자신이 직접적으로 공식적인 은행 고객센터로 전화해도 전화금융사기 일당으로 전화가 되기 때문에 해당 스마트폰을 가진 사람은 피해를 보게 됩니다. 일단 기본적으로 해당 악성코드는 다음과 같은 사이트에 배포를 되고 있습니다.
111.251(.)75(.)90 으로 접속을 하고 여기서 본인인증을 선택하게 되면 Shinha.apk를 다운로드 하고 실행을 하게 됩니다. 일단 해당 웹사이트에 접속해 보면 신한은행 모바일 대출이라고 돼 있는데 진짜 신한은행에 접속을 해보면 쓸데없어져 있는지 볼 수가 있습니다. 일단 서버주소를 확인할 수가 있는 파이어폭스 부가기능을 보면 서버가 대만으로 돼 있는 것을 볼 수가 있습니다. 이번 보이스피싱 일당은 대만 쪽에 있는 것으로 보입니다. 일단 해당 APK 파일의 해시값은 다음과 같습니다.
MD5:9f159e289a46b75239aeae9f7ec8b43a
SHA-1:4ad49e48d45175499543f0b76c615f22cad53255
SHA-256:7b61f5db4ff8cdde40fb6944d6c92898b877986abd4e37a125500dd8681c2dc0
그리고 앱의 권한은 다음과 같습니다.
android.permission.ACCESS_FINE_LOCATION
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_WIFI_STATE
android.permission.DISABLE_KEYGUARD
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECORD_AUDIO
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WRITE_CALL_LOG
android.permission.WRITE_CONTACTS

 신한 은행 사칭 피싱 앱-Shinha.apk(2020.8.14) 신한 은행 사칭 피싱 앱-Shinha.apk(2020.8.14)

android.permission.WRITE_EXTERNAL_STORAGE
보면 GPS(위치정보), SMS(즉 문자), 전화기록, 연락처 정보를 가져가고 오디오 녹음을 하고 연락처에 쓰기도 하고 하는 것을 볼 수가 있습니다.

[소프트웨어 팁/보안] - 신한저축은행 사칭 피싱사이트 유포중

일단 앱 서비스 부분은 다음과 같습니다.
net.sixseven.mobile.serv.MainServ
net.sixseven.mobile.serv.StandOutService
net.sixseven.mobile.serv.StandInService
com.dk.care.serv.LocalServ
com.dk.care.serv.HideForegroundServ
com.dk.care.serv.JobHandlerServ
com.dk.care.serv.RemoteServ
net.sixseven.mobile.core.phone.CallService
net.sixseven.mobile.core.phone.notify.NotifyService
net.sixseven.mobile.sserv.LSService
net.sixseven.mobile.sserv.AudioService

net.sixseven.mobile.serv.MainServ 내부모습net.sixseven.mobile.serv.MainServ 내부모습

그리고 net.sixseven.mobile.serv.MainServ->net.sixseven.mobile.serv.MainServ 을 보면 다음과 같습니다.
import android.annotation.SuppressLint;
import android.app.Service;
import android.content.BroadcastReceiver;
import android.content.Context;
import android.content.Intent;
import android.content.IntentFilter;
import android.content.SharedPreferences;
import android.database.ContentObserver;
import android.net.Uri;
import android.os.Build;
import android.os.Handler;
import android.os.IBinder;
import android.os.Message;
import android.provider.Telephony;
import net.sixseven.mobile.tools.NetStateChangeReceiver;
import net.sixseven.mobile.tools.q;
입니다. 일단 기본적으로 이렇게 출처를 모르는 카카오톡, 문자 등에서 오면 그냥 무시하면 됩니다. 특히 단축주소 이것은 절대 피해야 하면 기본적으로 은행을 사칭을 전화 즉 피싱전화등에 피해를 하기 싶지 않았으면 100% 차단을 못 하겠지만, 후후, 후스콜, 뭐야 이 번호 같은 보이스피싱 방지 앱을 설치를 해서 미리 대비를 하고 백신 앱을 반드시 설치를 해서 실시간 감시, 실시간 업데이트를 하시는 것이 좋은 방법이고 그리고 구글 플레이 스토어 에서도 악성코드도 유포하고 있으니까? 조심하시는 것이 좋을 것 같습니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band