오늘은 건강검진 사칭 스미싱 안드로이드 악성코드 검진모아(2020.10.20)에 대해 글을 적어보겠습니다. 일단 해당 악성코드는 건강검진들 사칭하는 문자를 무작위로 보내서 사용자가 해당 앱 에서 파일을 다운로드 하고 설치하고 실행을 하면 동작을 하는 스마트폰 안드로이드 악성코드입니다.
MD5:d0b1f2e9a85874f1afe5dc7df6f2b112
SHA-1:63eaf9b9ca2242cc48e72065a3dae682d1a53dc9
SHA-256:62dbee40e98e83e000ab9a9e6f352fc8ef0a5645034300dc1fc82e0fc45340fc
일단 해당 악성코드의 권한은 다음과 같습니다.
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
검진모아 악성코드 권한
그리고 악성코드에 포함된 IP 주소를 조회하면 다음과 같은 결과를 얻을 수가 있습니다.
IP Address:45.135.117.19?
com.XIndiws.JSnxe.HttpUtils 악성코드 주소
기본적으로 악성코드는 com.XIndiws.JSnxe.MainActivity를 통해서 작동합니다.
그리고 전화번호를 얻거나 GPS 를 끄고 켜는 코드들도 있는 것을 확인할 수가 있습니다.
public void disableGPS() {
onoffGPS("gps", false);
}
public void enableGPS() {
onoffGPS("gps", true);
}
public String getPhoneNumber() {
TelephonyManager telephonyManager = (TelephonyManager)this.context.getSystemService("phone");
String str2 = telephonyManager.getLine1Number();
if (str2 == null || str2.equals("")) {
String str3;
str2 = telephonyManager.getSimSerialNumber();
String str4 = telephonyManager.getDeviceId();
telephonyManager = null;
if (str2 != null && str4 != null)
return String.valueOf(str4.toUpperCase()) + "-" + str2.toUpperCase();
if (str4 != null)
str3 = str4.toUpperCase();
return str3;
}
String str1 = str2;
return (str2.charAt(0) == '+') ? str2.substring(1) : str1;
com.XIndiws.JSnxe.Tools
그리고 악성코드에 포함된 IP 주소를 조회하면 다음과 같은 결과를 얻을 수가 있습니다.
악성코드 주소
IP Address:45.135.117.1??
Reverse DNS:** server can't find 191.117.135.??.in-addr.arpa: SERVFAIL
Hostname:45.135(.)117.191
Location For an IP:45.135.117.1??
Continent:Asia (AS)
Country:Hong Kong
IP Location Find In Hong Kong (HK)
Capital:Hong Kong
State:Unknown
City Location:Central District
구글 안드로이드 스마트폰 삼성 갤럭시, LG 등은 기본적으로 공식 스토어에서 이외에서 설치하면 기본적으로 경고합니다. 일단 안드로이드 6.0 기준으로 외부에서 설치를 시도하면 다음과 같음 메시지를 볼 수가 있습니다.
설치가 차단됨
보안을 위해 알 수 없는 출처에서 구매한 앱은 휴대전화에 설치되지 않도록 설정되어 있습니다.
라는 경고문을 볼 수가 있는데 제발! 이런 경고문 뜨면 설치를 하지 않는 것이 제일 안전 합니다. 기본적으로 안드로이드 스마트폰에서 설정->보안(갤럭시 S5 기준,어차피 안드로이드 스마트폰 설정은 비슷 합니다.)출러를 알 수 없는 앱 부분을 활성화해 두었다고 하면 해당 기능을 해제시켜서 사용하시길 바랍니다. 그리고 백신 프로그램, 백신앱 사용시 전 세계적으로 공신력 있는 백신앱을 사용을 하시길 바랍니다. 비록 무료 버전은 있다고 해도 광고가 있겠지만, 유료 결제하더라고 1만 원~4만 원 사이 가격을 내고 자신의 개인정보 돈을 지키는 데에서는 개인적으로 아깝지 않다고 생각을 합니다.
그리고 기본적으로 후후, 후스콜 같은 전화금융사기 전화 차단 어플을 통해서도 도움을 받을 수가 있으니까 이런 앱들은 기본적으로 설치하고 실행을 해주는 것도 도움이 될 것입니다. 다만, 실행을 하고 일부 기능을 사용하려면 사용자가 직접 설정에서 해당 앱 권한을 허용을 헤야기 때문에 해당 설정 부분도 변경하시는 것도 추천합니다. 이상 오늘은 검진모아을 사칭하는 보이스피싱앱 에 대해 글을 적어 보았습니다. 그리고 문자 메시지로 단축 주소가 오는 것은 문자는 무시하시면 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
네이버 계정 탈취를 시도하는 피싱사이트-halidmmecq duckdn (12) | 2020.11.03 |
---|---|
네이버 계정 탈취 피싱 및 안드로이드 악성코드 유포하는 스미싱(2020.10.31) (6) | 2020.11.02 |
윈도우 10 응답 없음 문제 해결을 하는 선택적 업데이트 KB4580364 발표 (5) | 2020.10.31 |
네이버 계정을 탈취하는 피싱 사이트-wanduzi duckdns (12) | 2020.10.30 |
모질라 파이어폭스 82.0 보안 업데이트 (2) | 2020.10.23 |
안드로이드 몸캠 악성코드-갤러리.apk(2020.10.21) (0) | 2020.10.22 |
마이크로소프트 RCE 버그에 대한 대역 외 Windows 보안 업데이트 발표 (0) | 2020.10.20 |
스마트폰 악성코드 보이스 피싱앱-농협캐피탈(2020.10.14) (4) | 2020.10.19 |