꿈을꾸는 파랑새

오늘은 건강검진 사칭 스미싱 안드로이드 악성코드 검진 모아(2020.12.16)에 대해 글을 적어보겠습니다. 일단 해당 악성코드는 건강검진들 사칭하는 문자를 무작위로 보내서 사용자가 해당 앱에서 파일을 다운로드하고 설치하고 실행을 하면 동작을 하는 스마트폰 안드로이드 악성코드입니다.
해쉬값은 다음과 같습니다.
MD5:5990434dfe87912ed206b14f001f2379
SHA-1:f9267e1f6ff0d84973ccaca411a8b67f53b82f56
SHA-256:d1fefc3f50dcffbe134edd676ce4200f85c7c70399c8e3bc70aaaf63b6b30b4e
그리고 해당 악성코드 안드로이드 권한은 다음과 같습니다.

<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.WRITE_SETTINGS"/>

검진 모아 악성코드 안드로이드 권한검진 모아 악성코드 안드로이드 권한

악성코드에 포함이 되어 있는 URL 주소는 다음과 같습니다.
public class HttpUtils {
public static String URL = "http://45(.)137.9.19:8899/";
http://45(.)137.9.19:8899 로 확인을 할 수가 있습니다.

스마트폰의 IMEI, Iccid, 스마트폰 번호 코드스마트폰의 IMEI, Iccid, 스마트폰 번호 코드

그리고 스마트폰의 IMEI, Iccid, 스마트폰 번호를 훔치기 위한 코드는 다음과 같습니다.(com.yellow.reason.Tools) 여기서 이야기하는 ICCD이라는 것은 SIM 카드는 각자의 고유한 번호가 있다. 고정된 번호인 ICCID(SIM 카드 외부에 기록된 89로 시작하는 19자리 숫자)입니다. 일단 해당 코드를 통해서 유심의 ICCD 정보를 훔쳐 갑니다.
public String getPhoneNumber() {
TelephonyManager tm = (TelephonyManager) this.context.getSystemService("phone");
String phoneNumber = tm.getLine1Number();
if (phoneNumber == null || phoneNumber.equals("")) {
String SimserialNum = tm.getSimSerialNumber();
String DeviceID = tm.getDeviceId();
String identifier = null;
if (SimserialNum != null && DeviceID != null) {
identifier = String.valueOf(DeviceID.toUpperCase()) + "-" + SimserialNum.toUpperCase();
} else if (DeviceID != null) {
identifier = DeviceID.toUpperCase();
}
return identifier;
} else if (phoneNumber.charAt(0) == '+') {
return phoneNumber.substring(1);
} else {
return phoneNumber;
}
}

악성코드 IP 주소악성코드 IP 주소

그리고 악성코드에 포함이 되어 있는 45(.)137.9.19를 조회를 하면 다음과 같이 홍콩으로 되어져 있는 것을 확인을 할 수가 있습니다.
IP Address:45(.) 137.9.19
Hostname:45(.) 137.9.19
Location For an IP:45(.) 137.9.19
Continent:Asia(AS)
Country:Hong Kong
IP Location Find In Hong Kong(HK)
Capital:Hong Kong
State:Unknown
City Location:Central District
ISP:Unknown
Organization:Unknown
AS Number:Unknown
일단 해당 악성코드들은 건강검진, 코로나 19 상황에서 사회적 거리두기 3단계 격상이니 이런 문자에 주소를 포함을 시켜서 사람들을 속이고 있습니다. 기본적으로 포함이 된 주소들은 대부분 단축 주소 들일 것입니다. 정상적으로 보내는 업체들은 단축 주소를 사용을 하고 있지 않고 있습니다. 그리고 카카오톡이나 문자에서 숫자들로만 구성이 된 주소도 보일 것인데 해당 부분도 99.999999999% 악성코드를 퍼뜨리기 위한 피싱 사이트라고 확신하시면 됩니다. 아무튼 검증된 백신 앱과 후스콜, 후후 같은 서비스를 이용을 하고 그리고 통신사에서는 기본적으로 스팸 차단 서비스가 지원을 하고 있습니다. 서비스 이용요금은 무료입니다. 해당 부분을 활성화해서 사용을 하시면 도움이 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band