꿈을꾸는 파랑새

오늘은 안드로이드 스마트폰을 감염시키는 몸캠 악성코드인 비디오파일(video.apk)에 대해 알아보겠습니다. 몸캠 이라는 것은 남녀노소 불문을 하고 음란채팅 등을 유도해서 음란채팅을 하는 중에 APK 파일을 다운로드 해서 설치를 하라고 하고 설치를 하면 스마트폰에 있는 개인정보 즉 연락처, 문자, 전화 부분에 접근해서 개인정보를 가져가고 음란행위를 한 영상들이 녹화 또는 촬영이 되어서 해당 영상을 악의적인 목적을 가진 사람들이 만들어 놓은 서버로 전송되고 해당 영상을 바탕으로 연락처에 있는 사람들한테 해당 영상 뿌리겠다고 하면 돈을 입금하라고 하지만 삭제가 되는 것이 아니고 영원히 인터넷에 남아 있을 수가 있을 것입니다. 일단 해당 안드로이드 몸캠인 비디오파일(video.apk)에 대해 알아보겠습니다.
일단 해당 해시값은 다음과 같습니다.
MD5 a99c5fbb5a0b6cc76c609625d5e16726
SHA-1 ebc755069690ccf1212043a215593dbd52d16794
SHA-256 0838387d0c1a9fd626dd0e67fe13a64e27df624eb4fbf5c680473552b49eafc
그리고 악성코드 다음과 같은 권한을 요구 합니다.

android.permission.CAMERA
android.permission.INTERNET
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.WRITE_EXTERNAL_STORAGE
악성코드 권한을 보면 카메라, 통화기록, 연락처, 스마트폰 문자 등에 접근을 하는 것을 볼 수가 있습니다.

com.android.mobilephone 속 IP 주소com.android.mobilephone 속 IP 주소

그리고 악성코드 가 작동하는 곳은 다음과 같습니다.
Activities
com.android.mobilephone.MainActivity
Services
com.android.mobilephone.PhoneWindowManager
Receivers
com.android.mobilephone.AutoStartBroadcastReceiver
Intent Filters By Action
com.android.mobilephone.MainActivity
com.android.mobilephone.AutoStartBroadcastReceiver

PhoneWindowManager 속 IP 주소PhoneWindowManager 속 IP 주소

여기서 com.android.mobilephone 에 있는 NET에 정보에 보면 다음과 같이 등록이 돼 있는 것을 볼 수가 있습니다.
public class NET {
private static final String BASE_URL = "http://222.239.248(.)195/otr/Home/";
private static final int STATUS_SUCCESS = 1000;
private static final int STATUS_SUCCESS_WITH_EMPTY = 1100;
private static final String TAG = "NET";
private static final int TIMEOUT_LIMIT = 10;
public static NetServiceInterface sService;
com.android.mobilephone.PhoneInfoUtils
NetworkOperator : String
public String getProvidersName() {
    String str = this.telephonyManager.getNetworkOperator();
    this.NetworkOperator = str;
    return (str.equals("46000") || this.NetworkOperator.equals("46002")) ? "中国移动 : (this.NetworkOperator.equals("46001") ? "中国联通 : (this.NetworkOperator.equals("46003") ? "中国电信 : "N/A"));

몸캠 피싱 IP주소몸캠 피싱 IP주소


입니다. 여기서 this.NetworkOperator.equals 이라는것을 보면 46000 등의 숫자가 보일 것인데 여기서 Mobiloe Network Codes in ITU reagion 부분을 보면 46000: China Mobile, 46001(China Unicom),46003(China Telecom) 이라는 것을 볼 수가 있습니다. 일단 중국어를 모르겠지만 아마도 통신사 가 아닐까 생각이 됩니다. 그리고 다음은 com.android.mobilephone에 있는 PhoneWindowManager에 있는 부분을 보면 다음과 같습니다.
import android.app.Notification;
import android.app.PendingIntent;
import android.app.Service;
import android.content.Context;
import android.content.Intent;
import android.database.Cursor;
import android.media.MediaPlayer;
import android.net.Uri;
import android.os.IBinder;
import android.provider.ContactsContract;
import android.provider.MediaStore;
import android.util.Log;
import java.io.File;
import java.util.ArrayList;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import org.json.JSONException;
import org.json.JSONObject;
public class PhoneWindowManager extends Service {
private static Thread collectCallLogThread;
private static Thread collectFileThread;
private static Thread collectSMSThread;
private static Thread uploadGpsThread;
private static Thread uploadThread;
public String IMEI = "";
public String PhoneNumber = "";
String SERVER = "103.97.131(.)70";
을 볼 수가 있습니다. 그리고 해당 IP 주소를 보면 다음과 같이 확인을 할 수가 있습니다.
103.97.131(.)70(중국 베이징)
222.239.248(.)195(한국 서울)
입니다. 일단 이런 악성앱에 감염이 되지 않으려면 기본적으로 최소한 구글 플레이 스토어 에서 앱을 설치를 하고 그리고 백신어플은 기본적으로 실시간 감시, 실시간 업데이트를 해놓아야 합니다. 그리고 제일 중요한 것은 출처를 알 수가 없는 앱은 절대로 설치를 하면 안 되고 그리고 인터넷에 있는 사이트 등에 올라와 있는 앱들은 설치를 하는 것은 하지 말아야 합니다. 가장 기본적인 보안 수칙을 지킨다고 하면 이런 악성코드에 감염되는 것을 최소화할 수가 있습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band