Detailed Analysis of TheftCalls: Impersonating Frequently Used Korean Apps
Author: BLKSMTH (Threat Analysis Team) & IntelOps | S2W TALON
Last Modified : Nov 07, 2024
Executive Summary
보이스피싱 악성코드 유포 조직은 피해자로부터 금전을 탈취하는 금융 사기를 위해 피싱 페이지 구축 및 모바일 악성코드를 개발하여 피해자가 피싱페이지에 접속하도록 유도 한 후 악성 앱 설치를 하도록 하는것이 특징이다.
보이스피싱 악성코드는 수사 및 금융기관에 전화를 걸어도 공격자에게 강제로 전화가 연결되고, 수사 및 금융기관에서 피해자에게 전화가 걸려와도 공격자와 전화가 연결되도록 하는 강수강발(강제수신 및 강제발신) 기능을 수행하는 것이 특징이며 통화 녹음 및 통화 기록 변조, 카메라 또는 마이크를 실시간으로 송출 하는 등의 악성 행위를 수행 할 수 있다.
S2W의 위협 연구 및 인텔리전스 센터 TALON은 국내를 사용자들을 타겟으로 하는 보이스피싱 악성코드 유포 조직을 총 6개로 분류하고 있으며, 해당 보고서에는 최근 가장 활발하게 보이스피싱 악성코드를 유포하고 있는 TheftCRow 유포 조직의 피싱 사이트 및 해당 조직이 유포하는 TheftCalls Loader / TheftCalls 악성코드에 대해 상세하게 분석한다.
Introduction
TheftCRow는 S2W 위협 연구 및 인텔리전스 센터 TALON 내부적으로 명명한 보이스피싱 유포조직 중 하나로, 공격자의 이메일에서 식별된 “Theft”문자열과 Cyber Crime(CR)을 합쳐 명명하였으며, 해당 조직이 사용하는 악성코드를 TheftCalls Loader / TheftCalls로 명명하였다.
이들은 수사기관, 금융기관, 쇼핑몰 등으로 위장한 피싱사이트를 다수 구축해놓았으며, 스미싱 또는 대출상담을 통해 피해자들을 피싱페이지에 접속하도록 유인한 뒤 최종적으로 악성기능을 수행하는 앱을 다운로드 및 설치하도록 한다. 현재까지 확인된 유포사례는 다음와 같다.
TheftCRow 조직은 다양한 테마의 피싱사이트를 통해 각각 다른 이름의 악성 앱을 유포하고 있으나, 그 기능은 모두 동일한것으로 확인된다. 초기 다운로드 되는 앱은 TheftCalls Loader 로, 해당 악성앱은 내부에 포함되어 있는 TheftCalls를 강제로 설치할 뿐만 아니라 위험권한 허용까지 사용자와의 상호작용이 필요한 일련의 과정을 강제로 실행되도록 한다.
이후 TheftCalls는 감염자의 기기 내에 존재하는 보이스피싱 예방 앱 및 모바일 백신을 삭제하도록 하며, C2서버와의 통신을 통해 강수강발 기능에 필요한 포워딩 번호, 블랙리스트 번호 수신 및 악성 명령을 수신해 통화녹음, 위치정보 전송, RTMP통신을 통한 카메라&마이크 실시간 송출 등 지정된 악성행위를 수행한다.
Phishing Site
TheftCRow 조직은 수사기관 뿐만 아니라 공공기관, 금융기관, 쇼핑몰 앱 다운로드 페이지로 위장한 피싱페이지를 구축해 악성앱을 유포하고 있으며, S2W 위협 분석 팀 내에서는 현재까지 총 12개의 테마로 앱이 유포되고 있는 점을 확인했다.
유포테마 중 보이스피싱 및 스미싱 예방 어플 “시티즌코난” 설치 사이트를 사칭한 피싱 사이트의 경우, 설치 버튼을 클릭하면 obq{유포날짜}.zip 파일이 다운로드 되며, 해당 압축파일 내부에는 실제 악성행위를 수행하는 TheftCalls Loader 악성앱이 포함되어 있는 형태이다.
또한 해당 조직의 인프라 내에서 악성 앱의 WebView로 사용될 피싱사이트 63개가 추가로 발견된 점(Appendix A 참고), 악성 앱 내에서 타 기관의 아이콘이 다수 확인된 점에서 더 많은 테마로 악성앱이 유포되고 있을 것으로 추정된다.
Detailed Analysis of TheftCalls Loader
TheftCalls Loader는 원격 제어 및 강수강발 기능을 수행하는 TheftCalls 악성앱을 드롭한 뒤 강제로 설치할 뿐만 아니라, 해당 앱을 실행시켜 후 악성기능에 필요한 위험권한을 사용자와의 상호작용 없이 허용되도록 하는것이 특징이다. 상세 기능 및 과정은 아래와 같이 구분 할 수 있다.
1. 인증코드 검증
TheftCalls Loader 악성코드는 메인 엑티비티 실행과 동시에 사용자로부터 인증코드를 입력받는 창을 생성한다. 만일 사용자가 인증코드를 입력하게되면 지정된 구글 드라이브의 링크로 접속해 제목 값을 수신하고, 해당 값을 인코딩한 뒤 사용자의 입력값과 일치하는 경우에만 이후 악성행위를 실행 한다.
2. 권한 요청
TheftCalls Loader는 이후 악성 행위를 정상적으로 실행하기 위해 우선적으로 “알 수 없는 앱 설치” 권한을 요청 한 뒤, “접근성 권한”을 요청한다
3. 접근성 서비스 악용
접근성 권한이 허용된 앱은 접근성 서비스를 사용할 수 있게된다. 접근성 서비스는 시각, 청각에 장애가 있는 사용자에게 원활한 서비스를 제공하기 위한 목적으로 설계된 기능이며, 접근성 권한이 허용된 앱은 화면 텍스트 읽기, 입력 보조, 알림 제어 등의 기능을 수행할 수 있다. 따라서 TheftCalls Loader 앱에 접근성 권한이 허용될 경우 TheftCalls Loader는 화면에 표시되는 텍스트 및 입력을 모두 감지하고 이를 활용할 수 있게되며, 이러한 특징을 악용해 악성 행위를 수행한다.
3.1 앱 강제 설치
TheftCalls Loader가 악성코드 내에 저장되어있는 TheftCalls를 설치하려고 시도하는 경우 “출처를 알 수 없는 앱 설치” 경고문이 표시되며, 이 경우에 사용자가 “무시하고 설치” 버튼을 클릭해야만 설치를 할 수 있다. 하지만 TheftCalls Loader의 접근성 서비스에는 “악성 앱으로 의심되며” 문자열이 포함된 View가 생성될 경우 “무시하고 설치” 문자열이 포함된 버튼을 찾아 클릭 액션을 실행하는 로직이 포함되어 있다. 즉 해당 과정을 통해 사용자와의 상호작용없이 TheftCalls 악성앱이 강제로 설치된다.
3.2 위험 권한 강제 허용
TheftCalls Loader는 TheftCalls 설치 및 실행까지의 일련의 과정을 수행한다. 이때 TheftCalls Loader에 의해 TheftCalls가 설치되고 실행되면 TheftCalls는 전화, 연락처, 마이크 ,카메라 등 원격제어 및 강수강발 기능을 수행하기 위해 필요한 위험권한을 다수 요청한다.
따라서 사용자가 “허용” 버튼을 눌러 해당 권한들을 허용 해야만 TheftCalls 의 악성행위가 정상적으로 동작하지만, TheftCalls Loader의 접근성 서비스에는 권한 요청을 발생시키는 패키지에서 이벤트가 발생했을 경우 해당 이벤트가 발생한 뷰에서 “허용” 또는 “기본앱으로 설정”, “앱 사용 중에만 허용” 문자열이 존재하는 버튼을 찾아 클릭액션을 실행하며, 해당 과정을 통해 사용자와의 상호작용 없이 TheftCalls 악성앱의 위험권한이 강제로 허용된다.
3.3 앱 강제 삭제
TheftCalls Loader에 의해 설치된 TheftCalls는 초기 실행시 지정된 앱들을 강제로 삭제하는 스레드를 50초 주기로 실행하며, 해당 스레드는 SharedPreference의 KEY_UNINSTALL_APK값을 “true”로 셋팅한 후 ACTION_DELETE 인텐트를 통해 삭제 이벤트를 발생 시킨다.
TheftCallsLoader의 접근성 서비스는 앱 삭제 이벤트가 발생할 경우, SharedPreference의 KEY_UNINSTALL_APK 값이 “true”라면 “허용” 문자열이 존재하는 버튼을 찾아 클릭액션을 실행하는 로직이 포함되어 있다.
따라서 TheftCalls에서 지정된 앱들에 대한 삭제 이벤트를 발생시켜 화면에 앱 삭제 창이 표시되면, TheftCalls Loader는 “허용” 버튼을 찾고 클릭액션을 실행해 앱을 강제로 삭제한다. 악성 앱 내에서 확인된 강제 삭제 대상 앱은 다음과 같다.
4. 제한된 설정 우회
안드로이드 13(SDK 33) 이상부터 구글 플레이스토어를 거치지 않고 사용자가 직접 설치한 앱은 “제한된 설정” 기능으로 인해 접근성 권한을 바로 허용할 수 없으며, 사용자가 제한된 설정을 허용해야만 접근성 권한을 허용할 수 있게 변경되었다. 하지만 TheftCalls Loader는 PackageInstaller 패키지를 기반으로 TheftCalls 악성코드를 설치해 제한된 설정을 우회할 수 있도록 구현되어 있다.
TheftCalls Loader는 내부에 저장된 TheftCalls 악성 앱을 설치하는 과정에서 지정된 구글 드라이브 링크에 접속해 제목 값을 수신하며, 특정 값이 수신 될 경우 PackageInstaller를 기반으로 TheftCalls를 설치하고 제한된 설정을 우회한다.
5. TheftCalls 실행
TheftCalls Loader에 의해 TheftCalls 앱이 정상적으로 설치되면 StartActivity 메서드를 사용해 TheftCalls의 메인 액티비티를 실행시키고, 악성 행위 시 사용될 특정 값들을 Intent의 Extra를 통해 전달한다.
Detailed Analysis of TheftCalls
TheftCalls는 TheftCalls Loader 악성앱 내부의 assets 경로에 존재하며, 위험권한이 강제로 허용된 상태로 실행된다. TheftCalls 악성코드는 강수강발, 가짜 다이얼러 표시, 연락처 강제 추가 등 보이스피싱에 필요한 기능을 수행할 뿐 만 아니라 C2 서버와 소켓통신을 통해 추가 악성행위를 수행한다.
1. 모바일 백신 알림 우회
TheftCalls는 사용자에게 알림 접근 권한을 요청하고, 사용자가 해당 권한을 허용하게 되면 알림관련 이벤트를 처리하는 서비스에서 특정 앱으로 부터 수신되는 알람을 취소시켜 사용자에게 표시되지 않도록 한다.
알림 취소 대상 어플리케이션은 국내 모바일 백신앱으로, 백신으로부터 수신되는 악성앱 알림을 우회하기 위한 목적으로 확인된다.
2. 자동실행 및 백그라운드 실행
TheftCalls는 인텐트 필터를 사용해 지정된 인텐트가 발생할 경우 전체적인 악성행위를 수행하는 서비스를 실행한다.
해당 인텐트들은 휴대폰이 부팅 또는 재부팅시 발생하는 인텐트로, 사용자가 해당 앱을 실행하지 않더라도 휴대폰이 시작됨과 동시에 악성행위가 실행된다.
추가로 안드로이드 6.0(SDK23)부터는 백그라운드에서 처리되는 작업들을 종료해 배터리 소모를 줄이도록 설계되어있으며, 해당 설정을 제외하기 위해선 배터리 최적화 제외 설정이 필요하다. 따라서 대부분의 악성행위가 백그라운드(서비스)에서 이루어지는 TheftCalls는 악성행위를 정상적으로 수행하기 위해 사용자에게 배터리 최적화 제외를 요청한다.
3. ARS 파일 압축 해제
TheftCalls 앱 내부에는 강제발신 시 사용할 각 금융사를 사칭하기 위한 ARS 파일들이 압축파일 형태로 존재한다. 해당 파일들은 해당 앱의 데이터가 저장되는 경로 하위에 압축이 해제되며, 이후 피해자가 특정 금융사 또는 공공기관으로 발신할 경우 매칭되는 ARS 파일이 재생된다.
4. C2 및 WebView URL 복호화
TheftCalls는 앱 내에 포함되어 있는 라이브러리의 내 함수를 사용해 C2 URL 및 WebView로 사용될 피싱사이트의 URL을 복호화 한다. 이때 복호화 대상 값들을 지정된 구글드라이브의 제목 값을 통해 수신하는 것이 TheftCalls 악성 앱의 특징이며, 여러번의 복호화 과정이 수행한 뒤 최종적으로 C2 주소를 획득한다.
C2 복호화 과정을 수행 한 뒤 시티즌코난 앱과 동일하게 위장하기 위한 WebView URL을 복호화 하기 위한 과정을 실행한다. 위 과정과 동일하게 지정된 구글드라이브 링크에 접속해 제목값을 수신하고 해당 값을 복호화 한다. 이후 TheftCalls 실행시 TheftCalls Loader에서 Extra를 통해 전달받은 PROJECT_NAME 값 “OBQ”를 하위 디렉터리를 지정하고, “interface.html” 문자열을 조합해 로딩시킬 WebView URL을 구성한다.
해당 URL은 시티즌 코난 어플리케이션으로 위장하기 위한 WebView로, 실제 해당 앱과 유사한 뷰를 가지고 있다. 해당 뷰에서 “검사시작” 버튼 클릭시 해당 WebView에 존재하는 자바스크립트로 인해 앱 내부의 특정 액티비티가 실행되나, 실제로는 어떠한 행위도 이루어지지 않는다.
5. SQLite 데이터베이스 초기화
TheftCalls 악성 앱은 녹음된 파일의 정보, 번호에 따른 ARS 파일 매칭 정보, 포워딩 번호 등을 저장하기 위한 SQLite 데이터베이스를 생성한다. 데이터베이스의 이름은 “mango_recorder_db” 으로, 6개의 테이블이 존재하며 각각의 테이블 및 컬럼에 대한 설명은 다음과 같다.
6. Config값 수신
TheftCalls는 일정한 주기로 실행되는 스레드를 통해 C2 서버로부터 Config값을 수신하고 악성행위에 사용한다. 수신되는 Config값은 크게 3가지로 나눌 수 있다
- ARS 파일 매칭정보
- 강수강발 정보
- 추가 Config 정보
7. 녹음파일 업로드
소켓 통신을 통해 event_recording_from_server 명령어가 수신될 경우, 악성 앱은 현재 전화 여부를 확인하여 mango_recorder_db의 command_recording 테이블에 녹음 진행상황 및 녹음 파일경로 등의 정보를 저장한다. 그 중 status컬럼에는 통화 수신 및 발신 중일 경우에는 “received“, 통화가 녹음중일때는 “executing”, 통화 녹음이 종료됐을 때는 “finished” 문자열이 저장되며, 녹음 파일의 경로는 /sdcard/MangoRecorder/{rId}_{duration}.mp3 형식이다.
악성앱은 녹음된 파일을 주기적으로 업로드 하기 위해 200초 간격으로 mango_recorder_db 데이터베이스의 call_recording 테이블에서 status컬럼 값이 “finished” 인 데이터가 존재하는지 확인하고 만약 존재한다면 해당 데이터의 path 컬럼 값, 즉 녹음된 파일이 저장된 경로를 조회하고 해당 파일을 서버로 전송한다.
8. 소켓 통신 및 명령어 실행
TheftCalls는 복호화된 C2 주소로 소켓 통신을 시도한다. 명령어에 따라 각각의 추가필드값이 수신되며, 또한 공통적으로 “deviceId” 필드값을 수신하는데 해당값이 “27637ac3f5a4198e”이 아닐경우 악성이 명령을 실행하지 않도록 설계되어 있는 것이 특징이다.
9. 강수강발 및 통화기록 변조
강수강발은 강제수신 강제발신의 줄임말으로, 수사 및 금융기관에 전화를 걸어도 공격자에게 강제로 전화가 연결되거나, 수사 및 금융기관에서 피해자에게 전화가 걸려와도 공격자와 전화가 연결되도록 하는 기능을 뜻한다. TheftCalls 악성앱을 통해 이루어지는 강수강발 과정을 대략적으로 나타내면 다음과 같다.
TheftCalls는 C2서버로부터 수신된 강수강발 관련 정보(Appendix.F)를 SQLite 데이터베이스 mango_recorder_db의 limit_phone_number 테이블에 저장하며, 전화발신 및 수신 시 해당 테이블의 값과 비교해 포워딩 여부 및 전화 강제 종료 여부, ARS파일 재생여부 등을 결정한다.
9.1 전화 발신 시 (강제 발신)
강제발신과 관련된 정보는 Config값 수신 과정에서 C2서버로부터 수신되며, 해당 악성앱 내에서 사용하는 mango_recorder_db의 limit_phone_number 테이블에 저장된다.
만약 전화 발신 이벤트가 발생하면, 해당 테이블의 데이터들을 조회해 강제발신 여부를 결정한다. 해당 악성 앱 내에서 강제 발신은 다음과 같다.
- 전화 발신 시, 현재 사용자가 발신하고 있는 번호가 limit_phone_number 테이블의 phone컬럼에 존재하는 데이터인지 확인
- 2. 만일 값이 존재할 경우 해당 데이터에 대한 type컬럼을 조회해 “call_forwarding” 문자열과 일치하는 지 확인
- 3. 일치할 경우 realPhoneNumber 컬럼 값에 지정되어 있는 번호를 현재 발신중인 전화번호로 저장
- 연락처에 저장이 끝난 이후 발신중인 전화를 종료하고, 발신 번호에 매칭되는 ARS파일을 찾아 실행
- 5. 파일 재생이 종료되면 realPhoneNumber값으로 저장된 번호로 발신
9.2 전화 수신 시 (강제 수신)
강제수신과 관련된 정보또한 Config값 수신 과정에서 C2서버로부터 수신되며, 해당 악성앱 내에서 사용하는 mango_recorder_db 데이터베이스의 limit_phone_number 테이블에 저장된다. 만약 전화 수신 이벤트가 발생하면, 해당 테이블의 데이터들을 조회해 강제수신 기능을 수행 하며 추가로 전화 강제 종료 또는 연락처 추가 여부를 결정한다. 해당 악성 앱 내에서 이 과정들은 다음과 같다.
- 전화 수신 이벤트 발생 시, 수신중인 번호가 limit_phone_number 테이블의 phone컬럼에 존재하는 데이터인지 확인
- 만일 존재하는 값일 경우, 해당 데이터의 type컬럼 값을 확인
3. type값이 “black_list”인 경우 전화 강제 종료
4. type값이 “call_forced”인 경우, phoneNumber의 번호를 realPhoneNumber 이름으로 연락처에 저장
9.3 통화기록 변조
악성앱은 ContentObserver를 사용해 통화기록이 저장되는 URI (CallLog.Calls.CONTENT_URI)의 데이터가 변조될 경우 이를 감지하고 통화기록을 조작하도록 설계되어 있다. 즉 전화수신 및 발신 이벤트가 발생해서 통화기록이 추가될 때, 해당 Observer가 이를 감지하고 통화기록을 조작한다.
통화기록 조작 시, 수신 및 발신 번호가 limit_phone_number 테이블의 phoneNumber, realPhoneNumber 컬럼에 존재하는 존재하는 데이터일 경우에 한해서만 조작이 진행되고, type값에 따라 삭제 또는 변조 여부가 결정된다. 해당 앱 내에서 통화기록 조작 과정은 다음과 같다.
- 통화 기록에 추가된 수신, 발신 번호가 limite_phone_number 테이블의 phoneNumber, realPhoneNumber 컬럼에 존재하는 데이터인지 확인
- 존재하는 값일 경우, type값에 따라 통화기록 조작
- type값이 “black_list”일 경우, 해당 통화기록 삭제
- type값이 “call_forced”이고 수신번호가 phoneNumber과 일치할 경우, 수신번호를 realPhoneNumber 으로 변환 후 저장
- type값이 “call_forwarding”이고 발신번호가 realPhoneNumber과 일치할 경우, 발신번호를 phoneNumber 값으로 변환 후 저장
Conclusion
- TheftCRow 조직은 출석요구, 대출, 허위결제 등의 문자를 통해 피해자에게 접근함.
- 해당 조직은 공공기관, 금융기관, 쇼핑몰 앱 다운로드 페이지로 위장한 피싱사이트를 구축해놓았으며, 최종적으로 피해자들을 해당 페이지로 유인해 악성 앱을 다운로드 받도록 함.
- 피싱페이지에서 다운로드 되는 앱은 TheftCalls Loader이며, 앱 내부에 저장된 TheftCalls 악성 앱을 드롭 하고 실행함
- TheftCalls Loader는 TheftCalls 앱에서 악성 행위에 사용될 위험권한 강제 허용 뿐만 아니라. 앱 내에 하드코딩되어 있는 보이스피싱 탐지 관련 앱들을 강제로 삭제하는 등 사용자와의 상호작용이 필요한 일련의 과정들을 강제로 실행되도록 함.
- 최종적으로 실행되는 TheftCalls는 강수강발 기능을 수행할 뿐만 아니라, 강제 연락처 삽입, 통화기록 변조, 통화 녹음 및 업로드, RTMP 통신을 통한 카메라 및 마이크 스트리밍, 모바일 백신 알림 우회 등의 기능을 수행함.
MITRE ATT&CK
Initial Access
- (T1660) Phishing
Persistence
- (T1398) Boot or Logon Initialization Scripts
Defense Evasion
- (T1629.001) Prevent Application Removal
- (T1655.001) Match Legitimate Name or Location
- (T1406) Obfuscated Files or Information
Discovery
- (T1418.001) Security Software Discovery
Collection
- (T1429) Audio Capture
- (T1616) Call Control
Command and Control
- (T1437.001) Web Protocols
Exfiltration
- (T1646) Exfiltration Over C2 Channel
- (T1641) Data Manipulation
Appendix A. IoCs
File hash
TheftCalls Loader
- c097468c21c2c06618935b71c3b87d8c
- 616531bce6b16a87d2938768560669c1491ecd5e942b7be42b5289d795d4783f
- 2e303adc1e86e6c4066df7d9384fea13
- a813ba1c701b6df0e677e7abf1c297373b91ef23e6f3834edee818215b7327a0
- 2b5c02b885f27519823eb7d6a5b2e181
- ba45747eb05b56979938ff57f9ee3f77d98e1d89700c24cfee7fed75fc9ad3fa
- c479cc2d20fcbfa3c708b52a5fd36eee
- 01284d7c462168327746e20d6957167a422a16de81ee8d6a69e30524410f3fec
- fbd2c65fd3f41c5076a06de88873da0c
- cba0b1f7c1b316e2e6c8103dfa9be44daf34722ba078c5154c162d7094d66563
- 4d91684153d3594c5d2c2c5d55705a56
- 9a1f4a890add31768857cb4d6ca6b311f0c3f52914766a81c43f504b7b7e4774
- 1ed7ee105733903a4ff27c3e8b902b5c
- 79957397fd5d0db83c761ae48d136b0c2ae624c4bf886c710af87b989634bea1
- 14982a61b5f8d8d4f8ebc226d2dcb902
- 58efe840524e6394240592015c024d95466badd97fe8d50183ac47598c5f100c
- a7f65b7f346b23f0b5df969dc5a9450f
- 7b1cec33e227917b0a77a3a7e33453a46abee5988a221008e96ccf92dc88cbed
TheftCalls
- eac60d6754173230ca74b518af1e4712
- 7e52582ebd9c306edc2a86701d53ef2bf7ecff91f8df287ffe873d816b94b2f0
- 12e8ea40b05475478e833b4267c80bd4
- 52498a8497e21fb14051172fb7fadad5f09ad60bb343aa6fbc96e4afef25eafe
- 47c2db5107394687b506dcf511fba926
- 44c3dc041f56f338c714d35aaebb2fb35ebf709e3e5189a825d52fa5aa2dc3c5
- 001e42de6e081fb820d7b020be532009
- 3d7e7c1ebffd05534a699bd8e333c395900f3ed684af2043f9656ada708ee137
- 9cb5291c880899c1e7e1ef3936ea169c
- 525aa156c22e1132569bd103f7c029bcccc63cdf3dfe35724820c87e74416dd0
- fb045f3a09bd2c1337534ca455ef8106
- 1a176f58f6dd72afdcd4b23e4f980b9c61b6a0ef23461eafaf248b91878579c6
- da601e5bdf473306bf5680fb1ace100e
- 228be7f0dbb2ea9f6f0b6816915732ebb9f9cf6e912d227ca67361791affd2d4
- 2e30ef73b304832b265e571573907ca4
- b680188014bcc498826869be17f0cb64e9ffb753c04208730fb908b2a297cf66
- 258badcae77cf4d5ec7b94b5e0651669
- ef8e6d2a28858fef570fed45bb47fd1848d103b55d31337558e9b89b0a196119
Network
C&C Server
- hxxp://ppnwhbjy.agbrexi9ohfrx53m.com/web/OBQ/interface.html
- hxxp://f6ewdnfmffcxwbvses[.]com:8388
- hxxp://f2bkt3abwsjrtp8yuy[.]com:8388
- rtmp://stream.bsn1[.]vip:1935/live/
- hxxp://f2bkt3abwsjrtp8yuy[.]com:8388/index.php/api/user/get_color_ring
- hxxp://f2bkt3abwsjrtp8yuy[.]com:8388/index.php/api/user/get_limit_phone_number
- hxxp://f2bkt3abwsjrtp8yuy[.]com:8388/index.php/api/user/get_extra_message
- hxxp://f2bkt3abwsjrtp8yuy[.]com:8388/index.php/api/user/upload_recording_file
- hxxp://f2bkt3abwsjrtp8yuy[.]com:8388/index.php/api/user/upload_log
WebView URL
- 시티즌코난hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/OBQ/interface.html
- 소비자보호원
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/EGK/interface.html - 폴-안티스파이
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/MX/interface.html - 여행자세관신고
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/GBPE/interface.html - 경찰청
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Cci/interface.html - 서민금융진흥원
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KIH/interface.html - 질병관리청(COOV)
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/NCOV/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/TSBR/interface.html - NICE지키미
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/NICE/interface.html - 드림투유
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/TCF/interface.html - 보배드림
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/HBM/interface.html - 온라인투어
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/NWV/interface.html - 한국전자인증
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/SEVO/interface.html - PASS인증서
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/DTP/interface.htm - 한국자산관리공사
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KAMCO/interface.htm - 신용보증재단중앙회
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KOREG/interface.html - 카카오뱅크
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KaKao/interface.html - 하나저축은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Hana/interface.html - KB키위뱅크
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Kiwi/interface.html - KB국민은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KB/interface.html - KB캐피탈
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KB2/interface.html - 우리금융저축은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/RFI/interface.html - 우리금융캐피탈
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/WFC/interface.html - 우리은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Won/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Woori/interface.htm - 믿음신협
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/CU/interface.html - 수협 파트너뱅크
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/QIY/interface.html - IBK기업은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/IBK/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/IBK2/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/IBK3/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/GWL/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/UNW/interface.html - KBank
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KBank/interface.html - KDB산업은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KDB/interface.html - 한국투자저축은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/KISB/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/BKH/interface.html - MG새마을금고
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/LGT/interface.html - 페퍼저축은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Pepper/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/MNU/interface.html - 오케이저축은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/CXR/interface.html - E&S KOREA
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/OBQ_1/interface.html - 햇살론
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/PSO/interface.html - SBI 저축은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Sbi/interface.html - 주원커머셜-근태관리
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/SM_1/interface.html - SC제일은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/SNZ/interface.html - 미래에셋증권-MSTOCK
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/STOCK/interface.html - 씨티은행
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/Uar/interface.html - 현대캐피탈
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/ZHS/interface.html - 확인불가
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/SM/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/MVQ/interface.html
hxxp://fnqh5qar.jbuvx6cshyvug9kk[.]com/web/RUG/interface.html