오늘은 유명 성인사이트를 사칭해서 악성코드를 유포하고 있는 피싱 사이트에 대해 글을 적어 보겠습니다. 일단 어느 성인 사이트라고 직접적으로 이야기하지는 못하겠지만 글로벌한 곳이라는 것만 알려 드리겠습니다. 일단 해당 피싱 사이트는 다음과 같은 접속 경로를 통해서 접속을 합니다. hXXps://dutymobile(.)email/ ->hXXps://dutymobile(.)email/download/Pornhub.apk 일단 해당 웹사이트에 접속을 해보면 나 성인사이트입니다.라는 것을 확인을 할 수가 있으면 화면 중간에서는 APK 파일을 다운로드를 해서 설치를 유도를 하고 있습니다. 일단 해당 악성코드의 해쉬값은 다음과 같습니다. 기본 해쉬값 MD5:a18cdb0afda40d3bd2affa6d2287b8b4 ..
오늘은 몸캠 피싱 악성코드 중 하나인 19 성인방송(2021.01.18)을 분석을 하는 시간을 가져 보겠습니다. 일단 해당 악성코드는 AhnLab-V3:Trojan/Android.SMSstealer.1003720, BitDefenderFalx:Android.Monitor.Agent.ED 등의 진단명으로 탐지를 하고 있으면 해쉬값은 다음과 같습니다. MD5:3c97435a5bbe360cd4dda6120fc2a5c5 SHA-1:cbdcb6b1467d365288f3b06c7a435abc895f51f2 SHA-256:d9488abce68851b4045bea1d4db4d0c61ab0b7e41f83bf1a801cccf2cb889d47 앱 이름과 패키지 이름은 다음과 같습니다. app_name:19 성인방송 pack..
오늘은 교통범칙금 통지 문자 사칭해서 스마트폰 개인정보를 빼가는 악성코드인. 경찰청 교통민원 24(이파인)에 대해 알아보겠습니다. 일단 기본적으로 해당 스미싱 공격은 기본적으로 너 교통범칙금 있음 그리고 해당 링크 클릭을 하면 너 휴대폰 전화번호 적는 곳 나오니까 거기 번호 넣으면 그걸 확인을 할 수가 있는 악성코드 나옴 그거 설치를 하면 교통범칙금 확인 가능이라고 하면서 설치 순간 스마트폰의 개인정보를 뺴가는 방식을 사용을 하고 있습니다. 일단 해당 문자 내용은 다음과 같습니다. [Web 발신] [교통민원24]법규위반과속운자동차벌점보고서 [Web 발신] [교통민원 24] 교통법규위반행위 벌점 6점 처벌 고지서 발송 완료 공통점으로 [교통민원 24]이라는 단어와 법규 위반, 아니면 교통 법규 위반으로 벌..
오늘은 몸캠 안드로이드 악성코드인 미란꼬.apk에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 제목만 보면 미란꼬 라고 돼 있지만, 즉 한국인들을 타겟으로 하는 것처럼 돼 있지만, 이걸 분해? 를 해보면 기본적으로 있는 타겟은 기본적으로 일본을 타겟으로 하는 것 볼 수가 있습니다.写メボックス이라고 일본에서는 사용했던 걸로 추정이 되며 사진 및 동영상 공유 앱이며 추억의 사진이나 재미있는 사진을 공유했던 앱인것 같습니다. 일본 사진, 동영상 공유 서비스는 몰라서 일단 패스하겠습니다. 해당 몸캠을 이해를 살짝 하려고 용어 설명이 필요한 것 같습니다. 대표적 수법은 웹캠 블랙메일(Webcam blackmail)웹캠 블랙 메일이라는 것은 악의적인 목적이 있는 공격자가 상대방을 속여 화상 채팅으로 성적 행동..
오늘은 카카오뱅크 사칭 피싱 악성코드 인 kakaobank.apk에 대해 글을 적어 보겠습니다. 일단 기본적으로 해당 악성코드는 스미싱 공격 아니며 보이스피싱을 통해서 피싱사이트에 접속을 해서 가짜 카카오톡사이트에서 악성코드 앱인 kakaobank(?)apk 를 다운로드를 실행을 하고 개인정보를 훔치는 앱을 합니다. 일단 기본적으로 접속하는 피싱 사이트는 다음과 같습니다. hxxp://191.101.234(.)104/ -> hxxp://191.101.234(.)104/kakaobank.apk 입니다. 일단 해당 부분은 작년 12월 18일에 발견이 되었고 지금은 해당 웹사이트는 폭발되었습니다. 해당 앱에서 스마트폰에서 수집 이 아닌 훔치는 정보는 다음과 같습니다. apps list(앱 리스트) calls ..
오늘은 암호화폐 거래소 고팍스(GOPAX)를 사칭하는 피싱 사이트인 gopaxo에 대해 글을 적어보겠습니다. 해당 고팍스(GOPAX) 이라는 것은 대한민국의 주요 암호화폐 거래소이며 고팍스(GOPAX)는 원화 입출금이 가능한 한국의 암호화폐 거래소 이면서 현물 거래소 기준 세계 88위이며, 비트코인, 이더리움, 리플 등 50종의 코인을 거래할 수 있습니다. 일단 해당 피싱 사이트는 고팍스를 사칭을 암호화폐를 탈취하는 것이 목적일 것입니다. 해당 피싱사이트 정보는 다음과 같습니다. http://www.gopaxo(.)com/ (156(.)234.226.12) 제목: 로그인 description:비트코인, 이더리움, 리플, 이오스, 비트코인캐시, 스텔라, 블록체인, 가상화폐 실시간 시세 확인, 신규 회원가입..
오늘은 안드로이드 악성코드인 갤럭리.apk 에 대해 글을 적어보겠습니다. 일단 해당 안드로이드 악성코드는 기본적으로 해당 악성코드는 개인적인 추측으로는 스마트폰에 있는 개인정보를 수집해서 보이스피싱 또는 몸캠으로 이용을 하지 않을까 생각이 됩니다. 보이스 피싱으로 사용을 하려고 사용이 되지 않을까 생각이 됩니다. 물론 몸캠이 가능성이 크지 않을까 생각이 됩니다. 일단 기본적으로 해당 악성코드는 동영상 및 사진 업로드 및 훔치기, 문자(SMS) 훔치기, 연락처 훔치기, C&C 서버 및 원격 조작 위치로 구성돼 있고 기본적으로 안드로이드 만들 때 소스를 보면 중국어가 있는 것으로 보면 아마도 중국에서 제작된 것이 아닐까 생각이 됩니다. 먼저 해당 악성코드를 실행하면 모든 권한을 다 허용을 해주고 나서 실행을..
오늘은 안드로이드 악성코드인 포토갤러리(2020.10.1)에 글을 적어 보겠습니다. 일단 해당 안드로이드 악성코드의 권한은 다음과 같습니다. 안드로이드 권한 여기서 보면 연락처 읽기,스마트폰 전화번호 읽기, 연락처 읽기 등이 있습니다. 그리고 악성코드의 해시 값은 다음과 같습니다. MD5:0eb13fc7c5d3257a24a57ddc5e9c530b SHA-1:17ab3126956b6e687c1f935fcd9b35a5bb7c0480 SHA-256:b47ff5c9418fab12e713bbc99eff16c7d5f577e67016c90bd4e5b1977b64d9a8 그리고 com.tsfsatsag.myapplication.aa 내용은 다음과 같습니다. public void onGranted() { aa.a = a..
오늘은 검진 모아 사칭 피싱 악성 앱인 검진모아.APK(2020.9.29)에 대해 알아보겠습니다. 일단 검진모아는 검진모아 연령별 종합건강검진 이벤트, 전국 6천여 개 건강검진센터 위치 찾기, 안과, 치과, 성형외과, 피부과 등 이벤트, 할인, 실시간예약 사이트 및 앱 입니다.일단 피싱 사이트 및 진짜 검진 모아 사이트를 비교를 해보면 다음과 같이 볼 수가 있습니다. 가짜 사이트 즉 피싱 사이트는 보면 접속하자마자 전화번호 입력을 하라고 하고 있으면 해당 사이트에서 악성앱 이 다운로드 가 되는 것을 볼 수가 있습니다. 일단 기본적으로 해당 악성코드 해쉬값 과 그리고 권한은 다음과 같습니다. 해시 값 MD5:6fc7c09194ee804c47d315364e53cfc8 SHA-1:341c1a892429b56c..
오늘은 몸캠 피싱 앱인 갤러리.APK(2020.9.27 기준)에 대해 알아보겠습니다. 권한 http://schemas.android.com/apk/res/android" android:compileSdkVersion="28" android:compileSdkVersionCodename="9" package="com.kb0730.gecekb" platformBuildVersionCode="28" platformBuildVersionName="9"> 사진앨범.apk 또는 갤러리.apk파일 오픈 /data/data/com.kb0730.gecekb/shared_prefs/value.xml /data/misc/keychain/pins /data/data/com.kb0730.gecekb/shared_prefs/va..
오늘은 안드로이드 몸캠인 vpx.apk(동영상)에 대해 알아보겠습니다. 일단 몸캠 이라는 것은 간단하게 음란 채팅을 하다가 너 이 파일 다운로드 해야 더 이야기할 것이니~이런저런 이야기로 사용자 스마트폰에다가 해당 APK 파일을 내려받기해서 설치해서 실행하게 하는 수법을 사용하고 있고 이렇게 설치가 되면 스마트폰에 있는 연락처 정보는 기본적으로 뺴가나가고 그리고 해당 연락처를 바탕으로 너~돈 안 보내시면 연락처에 있는 사람들한테 너~거시기 한 동영상 뿌린다고 협박을 하는 방식이고 그렇다고 돈을 주더라도 동영상 삭제를 해주는 것은 당연히 안될 확률도 높습니다. 일단 오늘 vpx.apk(동영상)이라는 것은 대해 알아보겠습니다. 먼저 해쉬값은 다음과 같습니다. MD5:2914abd93ab252a7dacd23a..
오늘은 개인정보 노출 문자를 가장한 안드로이드 악성코드가 유포되고 있습니다. 일단 악성코드 MplayerTv.apk이라는 형식으로 이루어져 있으며 해당 악성코드 유포 방식은 무작위로 문자로 이루어지고 있습니다. 제목은 다음과 같습니다. [Web 발신] [속보] (연애조작단) 회원님 정보노출 여기로 로그인한 후 탈퇴하세요. https://bit.ly/3d1C???? 으로 돼 있습니다. 여기서 호기심으로 해당 링크를 클릭하면 http://happysex4477.in??로 접속이 되면 해당 사이트에 접속되면 성적인 글과 함께 그리고 어떤 여자가 나오면 글자에서는 손빨래 이야기 나오는데 자극적인 글자가 적혀져 있는것을 볼수가 있습니다.일단 본론으로 돌아와서 여기서 다운로드 부분을 눌러주면 MplayerTv.ap..
오늘은 코로나 19 상황을 악용한 약국 웹 사이트에서 호스팅 되는 악성앱 COVIDTZ 에 대해 알아보겠습니다. 일단 중국에서 시작해서 전 세계적으로 많은 감염자와 사망자를 내는 코로나 19(Covid 19)로 인해 많은 사람이 고통을 받고 있습니다. 그리고 이를 악용하는 많은 악성코드, 스미싱, 랜섬웨어 공격이 이루어지고 있습니다. 오늘은 스미싱 공격을 통해서 개인정보 노출을 하는 사건들이 자주 일어나고 있습니다. 해당 안드로이드 악성코드는 단축주소를 통해서 악성코드를 감염이 시키는 방법을 사용하고 있습니다. 일단 기본적으로 감염은 다음과 같은 행동을 합니다. https://cutt.ly/covidt?->https://pataraha.xxx/apps/downloads/covid_tz.apk 를 내려받기..
스미싱 즉 문자를 통해서 단축주소를 활용해서 해당 사이트에 접속하게 하고 나서 그리고 나서 여기서 해당 앱을 실행을 시키면 악성코드가 실행되어서 개인정보를 빼가는 형식입니다. 오늘은 CJ 대한통운 사칭 스미싱 문자 메시지 악성코드에 대해 알아보겠습니다. 일단 해당 스미싱 문자는 2020년4월12일에 개인적으로 확인했으며 해당 단축주소를 클릭하면 악성코드 앱을 다운로드 해서 설치를 해서 악성코드가 실행되어서 사용자 계정 정보를 훔쳐가는 방식입니다. 일단 진행 방식은 다음과 같습니다. http://bit.l?/2V0PEDX?zc->https://nshbege.tumblr.co?/?11->http://sdwey.xy?/?zitzujrqotlqsznipnljicznbqhzqllgbwuewjxvkbagbcklym..
오늘은 n번방 성착취 물 제작 및 유포 사건을 악용하는 스미싱 공격이 이루어지고 있어서 글을 적어 보았습니다. n번방 성착취물 제작 및 유포 사건은 2019년 2월부터 수십 명의 여성을 협박하여 성 착취 영상물을 찍게 하고 텔레그램을 통해 거래한 디지털 성범죄 사건이며 박사방은 2,000건 이상의 거래내용을 경찰이 확보한 상태이며 공식적으로 알려진 박사방 피해 여성 74명 중 16명이 미성년자라는 사실이 알려지며 더 큰 사회적 파장을 가져왔던 사건이며 2019년 9월 추적단 불꽃의 최초 보도를 시작으로 2019년 11월 한겨레의 단독 보도 내용이 트위터에서 공유되며 화제가 되기 시작했으며 12월에 텔레그램 성착취 신고 프로젝트 리셋(ReSET)이 시작되면서 증거 수집이 되었고 1월에 N번방 관련 국민청원..