얘네들 코드 바뀌었다.



bcis.co.kr


http://www.npot.co.kr/editor/media/















기존에 사용하는 코드는 아래와 같다. 외국 보안업체에서 분석한 코드는 최근 코드이고 V3 모바일로 위장했다고 한다. 참고로 분석 마지막에 안랩 모바일 백신과 알약 모바일 백신을 확인하는 테스트 코드가 있는데 그 분석글 머리말에도 언급이 되었다시피 안랩 위장이지 알약 위장은 아니다. 




http://intumyself.tistory.com/2539  == http://intumyself.tistory.com/2585


== https://www.zscaler.com/blogs/research/android-malware-targeting-south-korean-mobile-users




본론으로 이번에 확인된 코드는 아래와 같다.


Manifest.xml을 참조해보면 앱의 시작 실행 위치는 com.qwe.MainActi.Class이다.




그리고 Activity를 상속받았기에 현재 MainActi 클래스, 좀 더 말하자면 Activity Life-Cycle에서 먼저 실행이 되는 onCreate(Bundle paramBundle) 코드는 아래와 같다. 


<앱 이름 : Google App Play apk의 MainActi Class Entry Point>




그리고 금일 확인된 Flash14.1.apk도 동일한 코드를 취하고 있으며 애플리케이션 이름 또한 Google App Play으로 동일하다.



<앱 이름 : Google App Play>




BankURL 값은 네이티브 라이브러리에서 결정이 되고 URL 값 모두 동일하다. 다만 라이브러리 코드는 조금은 다른 것으로 보인다.


스미싱 앱(휴대폰번호.apk)


http://hjkrtyht.vrsgt.tk/appHome/

http://mghjrttj.vrsgt.tk/appHome/


ID : lhfzhba@126.com

비번 : 67rg5r4******



Flash14.1.apk


http://hjkrtyht.vpsgt.tk/appHome/

http://mghjrttj.vpsgt.tk/appHome/        


ID : lhfzhba@126.com

비번 : 67rg5r4******         



근데 웹 사이트를 통해 플래시 플레이어로 위장한 악성앱을 뿌리는 놈들이나 스미싱으로 뿌리는 놈들이 과연 똑같을까? 이건 좀 더 신중히 조사해봐야 알 것 같다. 뭐 사업 분야야 넓힐 수 있지만 확실하게 정리를....

'국내 악성코드 정보' 카테고리의 다른 글

video.coral.qq.com 이용  (0) 2016.10.02
중국 국경절  (0) 2016.10.02
스미싱 조직 앱 코드 변경  (1) 2016.10.01
갓모드 뿌리는 애들 근황  (0) 2016.09.30
처음 보는 악성앱 코드  (0) 2016.09.30
스미싱 조직 공격 준비중?  (7) 2016.09.30
Posted by Ec0nomist

댓글을 달아 주세요

  1. 걱정

    관리자의 승인을 기다리고 있는 댓글입니다

    2016.10.02 11:15 [ ADDR : EDIT/ DEL : REPLY ]