오늘은 안드로이드에서 작동을 하는 보이스 피싱앱은 농협캐피탈에 대해 글을 적어보겠습니다.일단 해당 앱은 농협 캐피탈을 사칭하고 있는 일단 보이스피싱을 하는 사람들이 먼저 전화를 걸거나 문자로 해당 피싱 사이트로 유도를 해서 농협 캐필탈인것 처럼 꾸민 사이트에서 해당 앱을 다운로드 사용자가 공식 스토어 이외에서 설치를 하게 해서 스마트폰 권한을 탈취해서 사용자를 스마트폰을 통해서 경찰,검찰,은행을 사칭을 해서 사용자 정보를 가져 가져 가서 돈을 탈취를 하는 목적 또는 기타 범죄에 악용하는 앱입니다.여기서 최근 어느 방송국이라고 이야기 안하겠지만 거기서 이야기 하는 스마트폰 해킹 한다는 부분은 스마트폰 자체를 해킹을 하는것이 아니고 이런 악성 앱을 설치시 스마트폰 권한이 넘어가는 부분을 이야기 합니다.일단 해당 악성앱에 대해서 간단하게 알아보겠습니다.일단 해당 악성코드는 다음과 같은 특징이 가지고 있습니다.
http://156.235.18?.215/nhcapital7/-> http://156.235.18?.215/nhcapital7/app7/nhc2.0.apk
방식으로 동작을 하면 해당 웹사이트에 접속을 해서 소스 보기를 해서 보면 단순하게 이미지 파일 한장 하고 악성코드 인 APK를 다운로드를 하는것을 볼수가 있습니다.
앱 이름:농협캐피탈
농협캐피탈 피싱 사이트
앱 서비스(services):
com.nhc7202010143.phone.CallService
com.nhc7202010143.phone.notify.NotifyService
com.nhc7202010143.receiver1.FloatingWindowA
com.nhc7202010143.service.AudioService
com.nhc7202010143.service.SmartService
com.nhc7202010143.service.VideoService
com.nhc7202010143.support.MyServiceA
농협캐피탈 웹 소스
안드로이드 권한
android.hardware.telephony
android.hardware.camera
android.hardware.camera2
android.hardware.camera.autofocus
android.permission.CAMERA
com.android.alarm.permission.SET_ALARM
android.permission.REORDER_TASKS
android.permission.VIBRATE
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.DISABLE_KEYGUARD
android.permission.GET_ACCOUNTS
android.permission.WRITE_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.SYSTEM_ALERT_WINDOW
android.permission.INTERNET
android.permission.ACCESS_WIFI_STATE
android.permission.ACCESS_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.CHANGE_NETWORK_STATE
android.permission.WRITE_SYNC_SETTINGS
android.permission.RECEIVE_SMS
android.permission.FOREGROUND_SERVICE
농협캐피탈 보이스피싱앱 권한
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.AUTHENTICATE_ACCOUNTS
android.permission.RECORD_AUDIO
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.ACCESS_FINE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.SEND_SMS
android.permission.ACCESS_COARSE_LOCATION
android.permission.WAKE_LOCK
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.READ_CALL_LOG
android.permission.WRITE_CALL_LOG
android.permission.CALL_PHONE
android.permission.ANSWER_PHONE_CALLS
android.permission.READ_SMS
android.permission.BLUETOOTH
android.permission.BLUETOOTH_ADMINX
android.permission.CHANGE_WIFI_MULTICAST_STATE
android.permission.EXPAND_STATUS_BAR
android.permission.GET_PACKAGE_SIZE
android.permission.INSTALL_SHORTCUT
android.permission.MANAGE_OWN_CALLS
android.permission.READ_PHONE_STATE
android.permission.READ_PHONE_NUMBERS
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_LOGS
android.permission.BIND_JOB_SERVICE
android.permission.MODIFY_PHONE_STATE
android.permission.READ_PRIVILEGED_PHONE_STATE
android.permission.DELETE_PACKAGES
농협캐피탈 보이스 피싱앱 내용
일단 악성코드 앱 권한을 보면 사실상 스마트폰 전체 권한을 다 가져 가는것을 볼수가 있습니다.문자,전화기록,외장디스크(마이크로 SD 카드),DISABLE_KEYGUARD. 앱이 키 잠금 및 관련 비밀번호 보안을 사용중지할 수 있도록 허용 하는 권한(즉 스마트폰 수신전화를 받을 때 키 잠금을 사용중지했다가 통화가 끝나면 키 잠금을 다시 사용),스마트폰 연락처,소리 녹음(음성 녹음),블루투스 등이 포함이 되어져 있는 악성코드 입니다.이런것이 어떻게 심각한지 간단하게 설명을 하겠습니다.
기기에서 계정 사용:앱이 인증 토큰을 요청하도록 허용
문자 메시지 받기(SMS):앱이 SMS 메시지를 수신하고 처리할 수 있도록 허용 해당 앱이 사용자에게 표시하지 않고 기기로 전송된 메시지를 모니터링 또는 삭제할 수도 있다는 것을 의미
완전한 네트워크 액세스:앱이 네트워크 소켓을 만들고 맞춤 네트워크 프로토콜을 사용할 수 있도록 허용 브라우저 및 기타 앱이 데이터를 인터넷에 전송하는 수단을 제공 하고 있으며 해당 권한은 데이터를 인터넷에 전송하는 데 필요하지 않습니다.
휴대전화 상태 및 ID 읽기:앱이 기기의 휴대전화 기능에 액세스할 수 있도록 허용 해당 권한을 악용해서 사용하면 앱이 전화번호 및 기기의 ID, 활성 통화인지 여부, 통화가 연결된 원격 번호 등을 확인
USB 저장소의 콘텐츠 수정 또는 삭제:앱이 USB 저장소에 쓸 수 있도록 허용
실행 중인 앱 검색:앱이 현재 실행 중이거나 최근에 실행된 작업에 대한 정보를 검색할 수 있도록 허용 해당 경우 앱이 기기에서 사용되는 다른 앱에 대한 정보를 검색
사진과 동영상 찍기:앱이 카메라로 사진과 동영상을 찍을 수 있도록 허용 권한을 사용하면 앱이 언제든지 사용자의 확인 없이 카메라를 사용할 수 있음
주소록 읽기:특정인과 전화, 이메일 또는 기타 수단으로 연락한 주기를 비롯하여 사용자의 기기에 저장된 연락처에 대한 데이터를 앱이 읽도록 허용앱이 연락처 데이터를 저장할 수 있고 악성코드이(가) 사용자가 알지 못하는 사이에 연락처 데이터를 공유
통화 기록 읽기:앱이 수신 및 발신 통화에 대한 데이터를 비롯하여 사용자 기기의 통화 기록을 읽을 수 있도록 허용 해당 경우 앱이 통화 기록 데이터를 저장할 수 있으며 악성 코드가 사용자가 알지 못하는 사이에 통화 기록 데이터를 공유 가능
기기에서 계정 검색:앱이 기기가 알고 있는 계정 목록을 가져올 수 있도록 허용 해당 부분에서는 설치한 애플리케이션에 의해 만들어진 모든 계정이 포함
WI-FI 연결 보기:앱이 Wi-Fi를 사용하도록 설정했는지 여부나 연결된 Wi-Fi 기기의 이름 등의 Wi-Fi 네트워킹에 대한 정보를 볼 수 있도록 허용
인터넷에서 데이터 받기:앱이 클라우드로부터 C2DM을 수신할 수 있도록 가능 해지면 해당 서비스는 데이터 사용량을 높일 수 있으며 악성 프로그램의 경우 과다한 데이터 사용을 할수가 있습니다.
진동:제어앱이 진동을 제어할 수 있도록 허용
다른 앱 종료:앱이 다른 앱의 백그라운드 프로세스를 종료할 수 있도록 허용 해당 경우 다른 앱이 실행 중지될 수 있습니다.
등의 권한만 주어져도 악성코드 감염을 통해서 자신의 스마트폰은 이미 해커의 스마트폰 이라고 보시면 될것입니다.
보이스 피싱 사이트 IP 주소
그리고 다음은 바이러스 토탈 결과 입니다.(현재 다수 업체들이 추가 되고 있고 (2020년10월14일 UTC 시간:09:42:38 기준)
2020-10-14 09:42:38(UTC)
Avast-Mobile:Android:Evo-gen [Trj]
DrWeb:Android.Banker.360.origin
ESET-NOD32:A Variant Of Android/Spy.Agent.AQJ
Fortinet:Android/Agent.AQJ!tr.spy
Ikarus:Trojan.AndroidOS.Agent
K7GW:Trojan ( 00550f0b1 )
Kaspersky:HEUR:Trojan-Banker.AndroidOS.Wroba.aw
Trustlook:Android.Malware.General (score:9)
ZoneAlarm by Check Point:HEUR:Trojan-Banker.AndroidOS.Wroba.aw
그리 해쉬값은 다음과 같습니다.
MD5:3ce8af75c5476435396c278fa1232423
SHA-1:4813c1ffb77862b1c35da79e6ceadc9f27d1e74b
SHA-256:ab9d5dcc4a6f7380bef193a74cb2bef0564aa0df837f4b5d5b7e976c165b5aa2
접속을 시도하는 피싱 사이트 주소를 IP조회를 해보면 다음과 같이 홍콩으로 되어져 있는것을 볼수가 있습니다.
안드로이드 출처를 알수 없는 앱 차단
IP Address:156.235.187.21?
Hostname: 156.235.187.21?
Location For an IP: 156.235.187.21?
Continent:Asia(AS)
Country:Hong Kong
IP Location Find In Hong Kong (HK)
Capital:Hong Kong
State:Unknown
City Location:Unknown
ISP:CloudInnovation infrastructure
Organization:CloudInnovation infrastructure
AS Number:AS134548 DXTL Tseung Kwan O Service
그리고 앱안 에 포함이 되어져 있는 인터넷 주소
http://schemas.android.co?/apk/res-auto
vnd.android.cursor.ite?/name
http://schemas.android.co?/apk/res/android
http://ns.adobe.co?/xap/1.0/
vnd.android.cursor.ite?/phone_v2
그리고 구글 안드로이드 스마트폰 삼성 갤럭시,LG 등은 기본적으로 공식 스토어에서 이외에서 설치를 하면 기본적으로 경고를 합니다.일단 안드로이드 6.0 기준으로 외부에서 설치를 시도를 하면 다음과 같음 메세지를 볼수가 있습니다.
설치가 차단됨
보안을 위해 알수 없는 출처에서 구매한 앱은 휴대전화에 설치되지 않도록 설정되어 있습니다.
라는 경고문을 볼수가 있는데 제발!이런 경고문 뜨면 설치를 하지 않는것이 제일 안전 합니다.기본적으로 안드로이드 스마트폰에서 설정->보안(갤럭시 S5기준,어차피 안드로이드 스마트폰 설정은 비슷 합니다.)출러를 알수 없는 앱 부분을 활성화 해 두었다고 하면 해당 기능을 해제 시켜서 사용을 하시길 바랍니다.그리고 백신 프로그램,백신앱 은 전세계적으로 공식력 있는 백신앱을 사용을 하시길 바랍니다.비록 무료 버전은 있다고 해도 광고 가 있겠지만 유료 결제 하더라고 3만원~4만원 사이 가격을 내고 자신의 개인정보,돈을 지키는데에서는 개인적으로 안깝지 않다고 생각을 합니다.
AV-TEST 자료를 참고를 해서 백신프로그램 및 백신 앱을 선택을 하는데 도움을 받을수가 있을것입니다.
그리고 기본적으로 후후,후스콜 같은 보이스피싱전화 차단 앱을 통해서도 도움을 받을수가 있으니까 이런 앱들은 기본적으로 설치를 하고 실행을 해주는것도 도움이 될것입니다.다만 실행을 하고 일부 기능을 사용을 하기 위해서는 사용자가 직접 설정에서 해당 앱 권한을 허용을 해야기 떄문에 해당 설정 부분도 변경을 하시는것도 추천 합니다.이상 오늘은 농협캐피탈을 사칭하는 보이스피싱앱 에 대해 글을 적어 보았습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
건강검진 사칭 스미싱 안드로이드 악성코드-검진모아(2020.10.20) (2) | 2020.10.29 |
---|---|
모질라 파이어폭스 82.0 보안 업데이트 (2) | 2020.10.23 |
안드로이드 몸캠 악성코드-갤러리.apk(2020.10.21) (0) | 2020.10.22 |
마이크로소프트 RCE 버그에 대한 대역 외 Windows 보안 업데이트 발표 (0) | 2020.10.20 |
윈도우 10 KB4579311 정기 보안 업데이트 (4) | 2020.10.16 |
Internet Explorer(인터넷 익스플러워) 2020년 11월 Microsoft 계정 및 앱에 대한 지원 종료 (4) | 2020.10.15 |
Microsoft Edge 86(마이크로소트프 엣지 86) 업데이트 (4) | 2020.10.13 |
안드로이드 악성코드-필라테스·apk(2020.10.1) 분석 (4) | 2020.10.09 |