꿈을꾸는 파랑새

오늘은 한국 건강관리협회 사칭하는 보이스피싱 앱인 건강관리 앱에 대해서 글을 적어보겠습니다.
먼저 한국건강관리협회는 문자 메시지에 인터넷 주소를 포함하지 않고 대표번호만 발송하고 있습니다.
일단 해당 건강관리는 한국 건강관리협회로 속이는 악성코드로서 해쉬값은 다음과 같습니다.
파일명: 건강관리.apk
사이즈:37.9 KB
CRC32:245dedf8
MD5:c9248ac9a4340a42399edd6adf4811cf
SHA-1:d110ffa36661dbd1da226248d8b1145bdea0ee7f
SHA-256:84e33de57226c01ac68176843589d446605972267f7f35ee56137a8cf378bf33

건강관리 악성코드 안드로이드 권한
건강관리 악성코드 안드로이드 권한

이며 안드로이드 권한은 다음과 같습니다.

악성코드 설치
악성코드 설치

<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_MMS"/>
<uses-permission android:name="android.permission.WRITE_SETTINGS"/>
<uses-permission android:name="android.permission.VIBRATE"/>

기본적으로 보니까 인터넷 연결, 핸드폰 번호, 기기 고유 id 등 단말기 정보 가져오기, 문자 읽기, 문자 받기, MMS 받기, 설정 쓰기, 진동으로 구성된 간단하게 구성이 돼 있습니다.
스마트폰의 ICCD,IMEI에 접근을 하려고 다음 com.huton.perinado.Tools 부분에 다음과 같은 코드들이 있습니다. 사실상 com.huton.perinado.Tools에 다 있다고 보시면 됩니다.

건강관리 악성코드 스마트폰 IMEI 수집
건강관리 악성코드 스마트폰 IMEI 수집

 public String getPhoneNumber() {
        TelephonyManager tm = (TelephonyManager) this.context.getSystemService("phone");
        String phoneNumber = tm.getLine1Number();
        if (phoneNumber == null || phoneNumber.equals("")) {
            String SimserialNum = tm.getSimSerialNumber();
            String DeviceID = tm.getDeviceId();
            String identifier = null;
            if (SimserialNum != null && DeviceID != null) {
                identifier = String.valueOf(DeviceID.toUpperCase()) + "-" + SimserialNum.toUpperCase();
            } else if (DeviceID != null) {
                identifier = DeviceID.toUpperCase();
            }
            return identifier;
        } else if (phoneNumber.charAt(0) == '+') {
            return phoneNumber.substring(1);
        } else {
            return phoneNumber;
        }
    }

그리고 com.huton.perinado.ConnMachine 부분에 인터넷 주소가 포함된 것을 확인할 수가 있습니다.

건강관리 악성코드 인터넷 주소
건강관리 악성코드 인터넷 주소

public class ConnMachine {
    public static String URL = "http://45.133.236(.)97:9090/";

    public static String getOriginURL() {
        return URL;
    }

    public static String getHttpURL(Context context) {
        String server_url = context.getSharedPreferences("pref", 0).getString("Server_URL", "");
        if (server_url == "") {
            return URL;
        }
        return server_url;
    }

인증서 내용은 다음과 같습니다.

건광관리 악성코드 인증서 정보
건광관리 악성코드 인증서 정보

서명자 CERT.RSA (META-INF/CERT.SF)
유형: X.509
버전: 3
시리얼 번호: 0x7c8ac5ad
소유자: CN=Android Debug, O=Android, C=US
유효 시작 시각: Fri Mar 04 15:39:00 GMT+09:00 2022
유효 종료 시각: Sun Feb 25 15:39:00 GMT+09:00 2052
공개키 타입: RSA
지수: 65537
모듈러스 크기 (비트): 2048
모듈러스: 17963597231555927698083288120470757983028688538368589163377215496567473666491809154002598042697121312079102016867732104166931313080535858360875959288970178543316378189545782592294512269988394411045434955216103945045816290622285740864793349126393694806808007666653765522296325118530972967623841124492491466215824965540099135025975386286541401842258949260182722738631356339461152812234391194799325027020921612670928947849352361213075727253596648731441360570683900248201699807468138407747545414262475467214228755510025887658526138267616714152005056217929672637202945584359102930566749287145393293248499815521943738444199
서명 유형: SHA256withRSA
서명 OID: 1.2.840.113549.1.1.11
MD5 지문: 69 CF 4D 94 07 AB 43 A3 F7 7B 60 DD CF E1 2B B0 
SHA-1 지문: DB E3 DC 6B 6F BC B5 36 65 71 C4 86 7D 7C 46 35 D4 59 BB 93 
SHA-256 지문: BF 2E C4 30 69 2F A7 06 F9 A2 0B 19 86 E7 1C AA AD E0 B6 5D ED 2B 88 B4 81 9F 85 E3 70 37 8E DA

2022-03-12 07:06:00 UTC 기준 진단하는 보안 업체들은 다음과 같습니다.
AhnLab-V3:Trojan/Android.SMSstealer.1122169
Alibaba:TrojanSpy:Android/SmForw.ddfa3f02
Avast-Mobile:Android:Evo-gen [Trj]
Avira (no cloud):ANDROID/SpyAgent.FJLY.Gen
BitDefenderFalx:Android.Trojan.SpyAgent.EM
CAT-QuickHeal:Android.SmForw.GEN40652
Cynet:Malicious (score: 99)
DrWeb:Android.SmsSpy.862.origin
ESET-NOD32:A Variant Of Android/Spy.Agent.BWV
Fortinet:Android/SMSForw.K!tr
K7GW:Trojan ( 0058ea201 )
Kaspersky:HEUR:Trojan-Spy.AndroidOS.SmForw.kh
Lionic:Trojan.AndroidOS.SmForw.C!c
McAfee:Artemis!C9248AC9A434
McAfee-GW-Edition:Artemis!Trojan
Microsoft:Trojan:AndroidOS/Multiverze
NANO-Antivirus:Trojan.Android.SmsSpy.jmuojx
Symantec Mobile Insight:Spyware:MobileSpy
Tencent:A.privacy.emial.d
Trustlook:Android.Malware.Spyware
입니다. 일단 이런 악성코드를 예방하고 싶은 경우 백신 앱 을 설치를 해두면 도움이 될 것이면 후후, 후스콜 같은 앱을 이용을 하면서 통신사에서 제공하는 스팸 차단 기능을 활용하면 도움이 될 것이면 해당 어플를 설치했으면 삭제를 하고 비번들을 변경하시길 바랍니다. 기본적으로 백신 앱을 가지고 있으면 이런 악성코드를 예방 방법은 생각보다 간단합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band