꿈을꾸는 파랑새

오늘은 국민은행으로 속여서 돈을 뜯어가는 피싱앱인 KB.apk에 대해 알아보겠습니다. 일단 해당 앱은 임의적으로 설치를 하면 일단 아무리 자신이 정확하게 은행 고객센터에 전화해도 스미싱 조직에 가는 방식을 사용하고 있고 당연히 전화금융사기 상담원한테 상담하게 되고 당연히 사기 피해자가 됩니다.
일단 해당 악성앱은 다음과 같이 접속을 합니다.
http://191(.)96.60? 64/ 으로 접속을 하면 다음과 같은 화면을 볼 수가 있습니다. 이번에서는 예전부터 사용하는 방식보다는 이제 조금은 세련된 느낌이 들기도 했습니다.
본인인증프로그램
설치하셔야만 이용할 수 있습니다.
본인인증 내려받기를 클릭하시면 설치페이지로 연결됩니다.

국민은행 사칭 피싱 사이트국민은행 사칭 피싱 사이트

본인인증다운로드
이라는 것을 볼 수가 있습니다. 그리고 바이러스토탈 결과 진단을 하는 업체들은 다음과 같습니다. (2020.8.31)기준
Aegis Lab: Trojan.Android OS.Fakenocam.C!c
AhnLab-V3: Trojan/Android.Kaishi.984836
Alibaba: TrojanSpy:Android/Fakenocam.40208084
Antiy-AVL:Trojan/Linux.Generic
Avast-Mobile:APK:RepSandbox [Trj]
Avira (no cloud):ANDROID/Spy.Agent.sewyr
CAT-QuickHeal:Android.Fakenocam.GEN36061
Cynet:Malicious (score: 85)
DrWeb:Android.BankBot.664.origin
ESET-NOD32:A Variant Of Android/Spy.Agent.BAK
Ikarus:Trojan.AndroidOS.Agent
K7GW:Spyware ( 0055c5df1 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b

국민은행 사칭 사이트 웹사이트 소스국민은행 사칭 사이트 웹사이트 소스

Microsoft:TrojanSpy:AndroidOS/Fakenocam.A!MTB
Qihoo-360:Android/Trojan.Spy.9a0
Symantec:Trojan.Gen.2
Symantec Mobile Insight:AdLibrary:Generisk
Tencent:Android.Trojan-spy.Agent.Hqbx
Trustlook:Android.Malware.General (score:9)
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.Fakenocam.b
그리고 해시 값은 다음과 같습니다.
MD5 2a19de80cd8f00b7002ad40be812ee7b
SHA-1 112aa977abf9641b5931a95672cd03e3d869199c
SHA-256 a441c946753129055ba97f5ca0cb400f43429d444acdfd5f37a3b9d22cddbd64

KB.APK AndroidManifest.xmlKB.APK AndroidManifest.xml

그리고 해당 KB.apk 안드로이드 권한은 다음과 같습니다.
AndroidManifest.xml
<uses-permission android:name="android.permission.KILL_BACKGROUND_PROCESSES"/>
<uses-permission android:name="android.permission.VIBRATE"/>
<uses-permission android:name="android.permission.WRITE_SYNC_SETTINGS"/>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<uses-permission android:name="android.permission.CHANGE_WIFI_STATE"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.READ_CALL_LOG"/>
<uses-permission android:name="android.permission.WRITE_CALL_LOG"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
<uses-permission android:name="android.permission.DISABLE_KEYGUARD"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.REORDER_TASKS"/>
<uses-permission android:name="android.permission.READ_CONTACTS"/>

KB.APK com.kbwork.dygaqy.activity.MainActivityKB.APK com.kbwork.dygaqy.activity.MainActivity

<uses-permission android:name="android.permission.AUTHENTICATE_ACCOUNTS"/>
<uses-permission android:name="android.permission.GET_ACCOUNTS"/>
<uses-permission android:name="android.permission.CALL_PHONE"/>
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION"/>
<uses-permission android:name="android.permission.SET_ALARM"/>
<uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
<uses-permission android:name="android.permission.CAMERA"/>
<uses-permission android:name="android.permission.RECORD_AUDIO"/>
<uses-permission android:name="android.permission.MODIFY_AUDIO_SETTINGS"/>
<uses-permission android:name="android.permission.BLUETOOTH"/>
권한을 보시면 백그라운드 프로세스 중지, 진동, 와이파이, 네트워크, 전화기록 읽고 쓰기, 문자 읽고 쓰기, 카메라, 블루투스 등입니다. 그리고 해당 앱 구석구석에는 중국어가 삽입된 것을 확인할 수가 있었습니다. 아마도 중국에서 만들어져서 한국을 대상으로 보이스피싱 등 송금 사기를 하지 않을까 생각이 됩니다.
그리고 com.kbwork.dygaqy.activity.MainActivity 에 있는 내용은 다음과 같습니다.
if (Build.VERSION.SDK_INT >= 23) {
      TelecomManager telecomManager = (TelecomManager)getSystemService("telecom");
      if (this.E.intValue() == 1) {
        if (!getPackageName().equals(telecomManager.getDefaultDialerPackage())) {
          str1 = getResources().getString(2131623963);
          a a1 = new a(this);
          str2 = "앱을사용하기위해서는기본전화앱으로설정해주셔야정상적인서비스이용이가능합니다";
        } else {
          return;
일단 기본적으로 안드로이드 같은 경우에는 구글 플레이 스토어에 대해서 제공을 하는 앱 즉 APK를 다운로드 해서 설치를 하는 것이 가장 안전하면 문자 또는 카카오톡으로 오는 링크에서 다운로드를 하시는 것은 위험한 방법입니다. 정식 스토어에서 제공을 하지 않은 설치치 스마트폰에서 경고 즉 굳이 너 설치를 해야 하니? 이런 식으로 스마트폰에서 이런 식으로 이야기하면 그냥 아~설치하면 안 되는구나 생각하시면 됩니다. 그리고 백신 앱들은 기본적으로 설치 및 실시간감시,자동업데이트를 하시면 안전하게 스마트폰을 사용하시는 방법의 하나일 것입니다. 기본적으로 문자, 카카오톡 등으로 오는 APK 파일은 조심하시고 항상 주소도 잘 확인을 해 보시길 바랍니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band