[악성 앱] KMI건강검진 사칭 앱 분석 (22.11.01)

play/분석

[악성 앱] KMI건강검진 사칭 앱 분석 (22.11.01)

카고형 2022. 11. 1. 13:30

국민 건강보험 공단 사칭은 대부분 sms 메세지로 건강보험에서 검사 통지서, 통보서등을 확인 하라며 문자가 오는 형태로, 내용 확인 이라하며 피싱 사이트 접속 유도 합니다. 개인정보 입력을 요구하고 최종적으로 사칭 앱 다운로드되는 형태입니다.

ex)
[web발신]
- 국민건강보험공단 -
신체검사 {통 보 서} 정상 발송,
내용확인 hxxp://by09.w3km[.]black

[**질병관리청**] 건강검사 보고서 전송완료. 내용확인 URL
[Web발신][국민건강검사]건강검사 안내문 전달완료.내용확인 URL
[Web발신]--국민보험공단--건강검사 통보문 전달완료.내용확인 URL

아래는 해당 URL 접속 화면이다.

해당 사이트는 건강보험 공단 사칭하는 피싱 사이트 이며 번호입력, 이름, 생년월일을 입력 하면 다음 페이지로 넘어가고 최종적으로 하이퍼 링크를 사용하여 최종적으로 악성앱이 다운로드되는 형태입니다.

※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.

HTML

<form name="form11" method="post" action="hxxps://by09[.]w3km.black/7qw1Jp.php">
    <ul class="input_top">
        <li class="box"><input type="text" id="mobile_no1" name="mobile_no1" placeholder="" title="" class="input_box" maxlength="10" value="010" readonly=""></li>
        <li class="line">-</li>
        <li class="box"><input type="text" id="mobile_no2" name="mobile_no2" placeholder="" title="" class="input_box" maxlength="4" value=""></li>
        <li class="line">-</li>
        <li class="box"><input type="text" id="mobile_no3" name="mobile_no3" placeholder="" title="" class="input_box" maxlength="4" value=""></li>
    </ul>
</form>

해당 피싱 사이트는 페이지를 넘어갈 때 입력한 개인정보들이 공격자에게 넘어 가는 것을 확인 할수 있습니다.

hxxps://by09[.]w3km.black/7qw1Jp.php

유포지

hxxp://by09.w3km[.]black

최종 유포지

hxxps://by09[.]w3km.black/e1951565dc262f7bca9b0627a2f1fb502ed0e140/010 전화번호.apk

접속 화면 마지막 부분에서 다운로드를 누르게 되면 자신이 입력한 전화 번호로 다운 되는 것을 확인할 수 있습니다.

Apk 파일 정보
MD5 : FBB17255717BFCB48FABC2FAC38B6408
SHA-1 : 8E9FDF3FCEC12B57114DFE872670546B4610890A
SHA256 : 06eb12ab35d17f2485becfd1894187fafb6bf7cdd0f8307edead094b03259cd8

바러스토탈 해쉬 정보 없음

Android Manifest

Manifest 를 보면 8개의 권한, 1개의 서비스, 1개의 리시버, 1개의 activity를 확인 가능하다

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="1" android:versionName="1.0" package="com.djgiad.goiwt">
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
    <uses-permission android:name="android.permission.RECEIVE_SMS"/>
    <uses-permission android:name="android.permission.RECEIVE_MMS"/>
    <uses-permission android:name="android.permission.WRITE_SETTINGS"/>
    <uses-permission android:name="android.permission.VIBRATE"/>
    <application android:label="@string/app_name" android:icon="@drawable/icon" android:debuggable="true">
        <activity android:theme="@android:style/Theme.Black.NoTitleBar" android:label="@string/app_name" android:name="com.djgiad.goiwt.StartActivity">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.default"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>
        <service android:name="com.djgiad.goiwt.Mohido"/>
        <receiver android:name="com.djgiad.goiwt.Culture">
            <intent-filter android:priority="2147483647">
                <action android:name="android.provider.Telephony.SMS_RECEIVED"/>
            </intent-filter>
        </receiver>
    </application>
    <uses-sdk android:minSdkVersion="8" android:targetSdkVersion="19"/>
</manifest>

~~android permission 정리~~

권한	설명
android.permission.INTERNET	네트워크 소켓 사용 권한
android.permission.READ_PHONE_STATE	전화 상태 및 ID 읽기
android.permission.READ_SMS	SMS 읽기
android.permission.RECEIVE_BOOT_COMPLETED	시스템 부팅 후 브로드캐스트 수신
android.permission.RECEIVE_SMS	SMS 수신
android.permission.RECEIVE_MMS	MMS 수신
android.permission.WRITE_SETTINGS	시스템 설정 읽고 쓰기
android.permission.VIBRATE	진동을 제어 가능

악성행위_코드 분석

KMI건강검진 사칭 앱은 gps 상태 정보 수집, sim 정보수집, 전화번호 수집, 기기정보 수집, sms 수집, 진동 취소 기능 , 오디오 설정 기능을 가지고 있고, 특정 IP로 번호, 통신사, 버전등을 유출하는 행위를 보인다.

앱 실행 화면

해당 앱을 실행 하게 되면 정상 앱 화면으로 KMI홈페이지를 보여준다.

통신사 정보 수집

휴대전화 번호, 기기 번호, sim 정보 수집

GPS 상태 정보

sms 정보수집, 오디오 조절 기능, 진동 취소 기능

정보 유출

네트워크 유출 행위

특정 IP로 번호, 통신사, 버전등을 유출

해당 건에 대해서는 ESTsecurity 신고 조치 했습니다.

휴대전화 보안 그리고 악성 앱 제거 방법

KISA  스마트폰 안전 수칙 10계명

① 의심스러운 애플리케이션 다운로드하지 않기

② 신뢰할 수 없는 사이트 방문하지 않기

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

⑤ 블루투스 등 무선인터페이스는 사용 시에만 켜놓기

⑥ 이상 증상이 지속될 경우 악성코드 감염 여부 확인하기

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

⑧ PC에도 백신 프로그램을 설치하고 정기적으로 바이러스 검사하기

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

⑩ 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하기

저작자표시 비영리

'play > 분석' 카테고리의 다른 글

[악성 앱] YouTube Premium 사칭 앱 분석 (23.01.22) (0)	2023.01.22
[악성 앱] MYT Music 사칭 앱 분석 (23.01.19) (0)	2023.01.19
[악성 앱] 로젠 택배 사칭 앱 분석 (23.01.16) (2)	2023.01.16
[악성 앱] 교통민원24(이파인) 사칭 앱 분석 (22.10.30) (4)	2022.10.30
[악성 앱] 몸캠 피싱 분석 (스마트 앨범 22.10.20) (0)	2022.10.20

현재글[악성 앱] KMI건강검진 사칭 앱 분석 (22.11.01)

* [악의적인 사용은 절대 금지 !!] * 보안, IT 등 공부 하면서 정리 하는 블로그입니다. 스미싱 관련 문자 제보나 궁금하신 사항은 아래 카톡 이용해 주세요 https://open.kakao.com/o/sy8rOtNf

Cago_Note