꿈을꾸는 파랑새

반응형

오늘은 안드로이드 스마트폰을 감염시키는 몸캠 악성코드인 비디오파일(video.apk)에 대해 알아보겠습니다. 몸캠 이라는 것은 남녀노소 불문을 하고 음란채팅 등을 유도해서 음란채팅을 하는 중에 APK 파일을 다운로드 해서 설치를 하라고 하고 설치를 하면 스마트폰에 있는 개인정보 즉 연락처, 문자, 전화 부분에 접근해서 개인정보를 가져가고 음란행위를 한 영상들이 녹화 또는 촬영이 되어서 해당 영상을 악의적인 목적을 가진 사람들이 만들어 놓은 서버로 전송되고 해당 영상을 바탕으로 연락처에 있는 사람들한테 해당 영상 뿌리겠다고 하면 돈을 입금하라고 하지만 삭제가 되는 것이 아니고 영원히 인터넷에 남아 있을 수가 있을 것입니다. 일단 해당 안드로이드 몸캠인 비디오파일(video.apk)에 대해 알아보겠습니다.
일단 해당 해시값은 다음과 같습니다.
MD5 a99c5fbb5a0b6cc76c609625d5e16726
SHA-1 ebc755069690ccf1212043a215593dbd52d16794
SHA-256 0838387d0c1a9fd626dd0e67fe13a64e27df624eb4fbf5c680473552b49eafc
그리고 악성코드 다음과 같은 권한을 요구 합니다.

android.permission.CAMERA
android.permission.INTERNET
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.WRITE_EXTERNAL_STORAGE
악성코드 권한을 보면 카메라, 통화기록, 연락처, 스마트폰 문자 등에 접근을 하는 것을 볼 수가 있습니다.

com.android.mobilephone 속 IP 주소com.android.mobilephone 속 IP 주소

그리고 악성코드 가 작동하는 곳은 다음과 같습니다.
Activities
com.android.mobilephone.MainActivity
Services
com.android.mobilephone.PhoneWindowManager
Receivers
com.android.mobilephone.AutoStartBroadcastReceiver
Intent Filters By Action
com.android.mobilephone.MainActivity
com.android.mobilephone.AutoStartBroadcastReceiver

PhoneWindowManager 속 IP 주소PhoneWindowManager 속 IP 주소

여기서 com.android.mobilephone 에 있는 NET에 정보에 보면 다음과 같이 등록이 돼 있는 것을 볼 수가 있습니다.
public class NET {
private static final String BASE_URL = "http://222.239.248(.)195/otr/Home/";
private static final int STATUS_SUCCESS = 1000;
private static final int STATUS_SUCCESS_WITH_EMPTY = 1100;
private static final String TAG = "NET";
private static final int TIMEOUT_LIMIT = 10;
public static NetServiceInterface sService;
com.android.mobilephone.PhoneInfoUtils
NetworkOperator : String
public String getProvidersName() {
    String str = this.telephonyManager.getNetworkOperator();
    this.NetworkOperator = str;
    return (str.equals("46000") || this.NetworkOperator.equals("46002")) ? "中国移动 : (this.NetworkOperator.equals("46001") ? "中国联通 : (this.NetworkOperator.equals("46003") ? "中国电信 : "N/A"));

몸캠 피싱 IP주소몸캠 피싱 IP주소


입니다. 여기서 this.NetworkOperator.equals 이라는것을 보면 46000 등의 숫자가 보일 것인데 여기서 Mobiloe Network Codes in ITU reagion 부분을 보면 46000: China Mobile, 46001(China Unicom),46003(China Telecom) 이라는 것을 볼 수가 있습니다. 일단 중국어를 모르겠지만 아마도 통신사 가 아닐까 생각이 됩니다. 그리고 다음은 com.android.mobilephone에 있는 PhoneWindowManager에 있는 부분을 보면 다음과 같습니다.
import android.app.Notification;
import android.app.PendingIntent;
import android.app.Service;
import android.content.Context;
import android.content.Intent;
import android.database.Cursor;
import android.media.MediaPlayer;
import android.net.Uri;
import android.os.IBinder;
import android.provider.ContactsContract;
import android.provider.MediaStore;
import android.util.Log;
import java.io.File;
import java.util.ArrayList;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import org.json.JSONException;
import org.json.JSONObject;
public class PhoneWindowManager extends Service {
private static Thread collectCallLogThread;
private static Thread collectFileThread;
private static Thread collectSMSThread;
private static Thread uploadGpsThread;
private static Thread uploadThread;
public String IMEI = "";
public String PhoneNumber = "";
String SERVER = "103.97.131(.)70";
을 볼 수가 있습니다. 그리고 해당 IP 주소를 보면 다음과 같이 확인을 할 수가 있습니다.
103.97.131(.)70(중국 베이징)
222.239.248(.)195(한국 서울)
입니다. 일단 이런 악성앱에 감염이 되지 않으려면 기본적으로 최소한 구글 플레이 스토어 에서 앱을 설치를 하고 그리고 백신어플은 기본적으로 실시간 감시, 실시간 업데이트를 해놓아야 합니다. 그리고 제일 중요한 것은 출처를 알 수가 없는 앱은 절대로 설치를 하면 안 되고 그리고 인터넷에 있는 사이트 등에 올라와 있는 앱들은 설치를 하는 것은 하지 말아야 합니다. 가장 기본적인 보안 수칙을 지킨다고 하면 이런 악성코드에 감염되는 것을 최소화할 수가 있습니다.

반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://xuronghao.tistory.com 공수래공수거 2020.08.24 06:26 신고

    몸캠 악성코드에 대해 알아 갑니다^^

  2. Favicon of https://jongamk.tistory.com 핑구야 날자 2020.08.24 12:54 신고

    필요하신 분들에게는 아주 유용한 팁 이겠네요 자세히 설명해 주셔서 도움 받고 갑니다

    • Favicon of https://wezard4u.tistory.com Sakai 2020.08.24 18:24 신고

      항상 기본적인 보안 수칙을 지키면 안전하게 사용을 하는데 도움을 받을수가 있을것입니다.

  3. Favicon of https://fefehehe.tistory.com 휘게라이프 Gwho 2020.08.24 19:18 신고

    오늘도 잘 보고갑니다 .. ^^
    월요일 시작 한주도 행복,건강하세요!

  4. Favicon of https://perfume700.tistory.com 아이리스. 2020.08.24 22:49 신고

    몸캠 동영상에는 관심이 없어 다행이네요..ㅎㅎ

    • Favicon of https://wezard4u.tistory.com Sakai 2020.08.26 01:48 신고

      그래도 조심하는것이 좋습니다.다른 앱으로 위장도 할수가 있기 떄문 이죠.

  5. Favicon of https://deborah.tistory.com Deborah 2020.08.24 22:55 신고

    어렵지만 공부했어요.

  6. Favicon of https://www.neoearly.net 라디오키즈 2020.08.25 09:23 신고

    누가 앱 함부로 깔라고 하면 조심해야죠~