스미싱_냄새가_풀풀.jpg
일단 브라우저로 highcar.kr 을 들어가면, 역시나 예상대로 apk가 하나 다운된다. 파일명은 speed.apk
파일 다운받는 주소는 highspeed.kr 쪽 도메인.
먼저 도메인 정보를 본다.
둘 다 어제 등록된 따끈따끈한 도메인.
이메일 아이디는 이름 그대로. 본명인지 도용인지는 알 수 없지만 가비아에서 등록한 도메인.
highcar.kr에서는 아마도 포워딩 기능을 사용중인듯 싶고,
실제 파일이 있는 highspeed.kr쪽의 네임서버가 가비아인것을 보면 호스팅 역시 가비아를 사용중인듯.
그럼 이제 apk를 까본다.
일단 왠만한 권한은 다 요청중이고....
전화 상태를 받는데 리시버 이름으로 보자면 통화 도청용,
JHService를 하나 갖고있고, 부팅완료 리시버는 이 서비스를 시작하기 위해 등록한듯 하고... 그리고 디바이스 어드민....
일단 어플 액티비티를 따라가본다.
어플이 시작되면, 사용자 핸드폰의 통신사업자 및 전화번호를 수집한다.
동시에 10초마다 JHService를 돌리고, 화면상엔 마켓 페이지를 띄운다.
마켓 페이지는 https://play.google.com/store/apps/details?id=com.inowing.whosbyme 이 어플인데 연관관계가 확실하지 않으므로 보류.
서비스에서는 벨소리를 무음으로 바꾸고, 서버로 받은 문자와 자기 번호를 전송.
서버 주소는 173.248.166.211 이다.
아이피를 조회해보면 미국 덴버로 뜬다.
사용자의 정보를 유출하는건 두가지.
문자와 통화기록(목록이 아니라 음성 녹음).
번호를 걸러 녹음을 하는것으로 봐선 ARS인증을 가로채기 위한 목적으로 보인다.
문자를 빼내는 이유도 마찬가지 인 듯 싶고....
여튼 다들 조심....
마지막으로 이 어플의 아이콘...
'미분류' 카테고리의 다른 글
| 날림으로 만든 안드로이드 블랙박스(?) (0) | 2014.02.21 |
|---|---|
| 네이버 스피드뷰? 다른건 상관없나봐들? (0) | 2014.02.13 |
| 우리나라 교통정책에 대한 불만 (0) | 2013.08.27 |
| 양압기 데이터 뷰어 - Sleepyhead (0) | 2013.07.08 |
| 이런저런 프로그램들, (0) | 2013.06.09 |
