꿈을꾸는 파랑새

오늘은 건강검진 사칭 스미싱 안드로이드 악성코드 검진모아(2020.11.23)에 대해 글을 적어보겠습니다. 일단 해당 악성코드는 건강검진들 사칭하는 문자를 무작위로 보내서 사용자가 해당 앱 에서 파일을 다운로드 하고 설치하고 실행을 하면 동작을 하는 스마트폰 안드로이드 악성코드입니다.
md5:21ff5cc4b6b41f32bbded713c3f0c30d
sha1:c2573b88102fd71d574264d43c0ceffea3b2488d
sha256:ebb760630bea0b4820650e09725f3e78ff80b0240e0ebec158156472a9c4930e
일단 해당 악성코드의 권한은 다음과 같습니다.
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS

검진모아 악성코드 권한검진모아 악성코드 권한그리고 악성코드에 포함된 IP 주소를 조회하면 다음과 같은 결과를 얻을 수가 있습니다.
public class HttpUtils {
  public static String URL = "http://111(.)241.168.108/";
IP Address:http://111.241(.)168.108/
기본적으로 악성코드는 com.FsjkEr8OZ.jHQRmd0RV..MainActivity를 통해서 작동합니다.
그리고 전화번호를 얻거나 GPS 를 끄고 켜는 코드들도 있는 것을 확인할 수가 있습니다.IMEI 정보를 훔치는것을 확인을 할수가 있습니다.

검진모아 악성코드 IP주소 검진모아 악성코드 IP주소

public void disableGPS() {
    onoffGPS("gps", false);
  }
 
  public void enableGPS() {
    onoffGPS("gps", true);
  }
 
  public String getPhoneNumber() {
    TelephonyManager telephonyManager = (TelephonyManager)this.context.getSystemService("phone");
    String str2 = telephonyManager.getLine1Number();
    if (str2 == null || str2.equals("")) {
      String str3;
      str2 = telephonyManager.getSimSerialNumber();
      String str4 = telephonyManager.getDeviceId();
      telephonyManager = null;
      if (str2 != null && str4 != null)
        return String.valueOf(str4.toUpperCase()) + "-" + str2.toUpperCase();
      if (str4 != null)
        str3 = str4.toUpperCase();
      return str3;
    }
    String str1 = str2;
    return (str2.charAt(0) == '+') ? str2.substring(1) : str1;

검진모아 악성코드 IMEI 정보 훔치기검진모아 악성코드 IMEI 정보 훔치기

com.XIndiws.JSnxe.Toolscom.XIndiws.JSnxe.Tools
그리고 악성코드에 포함된 IP 주소를 조회하면 다음과 같은 결과를 얻을 수가 있습니다.
악성코드 주소악성코드 주소
IP Address:111(.)241.168.108
Reverse DNS:108.168(.)241.111.in-addr.arpa
Hostname: 111-241-168-108(.)dynamic-ip.hinet.net
ans3.hinet(.)tw >> 168(.)95.192.15
ans2.hinet(.)net >> 168(.)95.1.15
ans1.hinet(.)net >>168(.)95.192.15
Location For an IP: 111(.)241.168.108
Continent:Asia (AS)
Country:Taiwan   IP Location Find In Taiwan (TW)
Capital:Taipei
State:T'ai-pei
City Location:Taipei
ISP:HiNet
Organization:HiNet
이번에는 대만 쪽을 사용을 하는것으로 변경이 되었습니다.

검진모아 사칭 악성코드 IP 주소검진모아 사칭 악성코드 IP 주소

구글 안드로이드 스마트폰 삼성 갤럭시, LG 등은 기본적으로 공식 스토어에서 이외에서 설치하면 기본적으로 경고합니다. 일단 안드로이드 6.0 기준으로 외부에서 설치를 시도하면 다음과 같음 메시지를 볼 수가 있습니다.
설치가 차단됨
보안을 위해 알 수 없는 출처에서 구매한 앱은 휴대전화에 설치되지 않도록 설정되어 있습니다.
라는 경고문을 볼 수가 있는데 제발! 이런 경고문 뜨면 설치를 하지 않는 것이 제일 안전 합니다. 기본적으로 안드로이드 스마트폰에서 설정->보안(갤럭시 S5 기준,어차피 안드로이드 스마트폰 설정은 비슷 합니다.)출러를 알 수 없는 앱 부분을 활성화해 두었다고 하면 해당 기능을 해제시켜서 사용하시길 바랍니다. 그리고 백신 프로그램, 백신앱 사용시 전 세계적으로 공신력 있는 백신앱을 사용을 하시길 바랍니다. 비록 무료 버전은 있다고 해도 광고가 있겠지만, 유료 결제하더라고 1만 원~4만 원 사이 가격을 내고 자신의 개인정보 돈을 지키는 데에서는 개인적으로 아깝지 않다고 생각을 합니다.
그리고 기본적으로 후후, 후스콜 같은 전화금융사기 전화 차단 어플을 통해서도 도움을 받을 수가 있으니까 이런 앱들은 기본적으로 설치하고 실행을 해주는 것도 도움이 될 것입니다. 다만, 실행을 하고 일부 기능을 사용하려면 사용자가 직접 설정에서 해당 앱 권한을 허용을 헤야기 때문에 해당 설정 부분도 변경하시는 것도 추천합니다. 이상 오늘은 검진모아을 사칭하는 보이스피싱앱 에 대해 글을 적어 보았습니다. 그리고 문자 메시지로 단축 주소가 오는 것은 문자는 무시하시면 됩니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band