얘네들 코드 바뀌었다.



bcis.co.kr


http://www.npot.co.kr/editor/media/















기존에 사용하는 코드는 아래와 같다. 외국 보안업체에서 분석한 코드는 최근 코드이고 V3 모바일로 위장했다고 한다. 참고로 분석 마지막에 안랩 모바일 백신과 알약 모바일 백신을 확인하는 테스트 코드가 있는데 그 분석글 머리말에도 언급이 되었다시피 안랩 위장이지 알약 위장은 아니다. 




http://intumyself.tistory.com/2539  == http://intumyself.tistory.com/2585


== https://www.zscaler.com/blogs/research/android-malware-targeting-south-korean-mobile-users




본론으로 이번에 확인된 코드는 아래와 같다.


Manifest.xml을 참조해보면 앱의 시작 실행 위치는 com.qwe.MainActi.Class이다.




그리고 Activity를 상속받았기에 현재 MainActi 클래스, 좀 더 말하자면 Activity Life-Cycle에서 먼저 실행이 되는 onCreate(Bundle paramBundle) 코드는 아래와 같다. 


<앱 이름 : Google App Play apk의 MainActi Class Entry Point>




그리고 금일 확인된 Flash14.1.apk도 동일한 코드를 취하고 있으며 애플리케이션 이름 또한 Google App Play으로 동일하다.



<앱 이름 : Google App Play>




BankURL 값은 네이티브 라이브러리에서 결정이 되고 URL 값 모두 동일하다. 다만 라이브러리 코드는 조금은 다른 것으로 보인다.


스미싱 앱(휴대폰번호.apk)


http://hjkrtyht.vrsgt.tk/appHome/

http://mghjrttj.vrsgt.tk/appHome/


ID : lhfzhba@126.com

비번 : 67rg5r4******



Flash14.1.apk


http://hjkrtyht.vpsgt.tk/appHome/

http://mghjrttj.vpsgt.tk/appHome/        


ID : lhfzhba@126.com

비번 : 67rg5r4******         



근데 웹 사이트를 통해 플래시 플레이어로 위장한 악성앱을 뿌리는 놈들이나 스미싱으로 뿌리는 놈들이 과연 똑같을까? 이건 좀 더 신중히 조사해봐야 알 것 같다. 뭐 사업 분야야 넓힐 수 있지만 확실하게 정리를....

'국내 악성코드 정보' 카테고리의 다른 글

video.coral.qq.com 이용  (0) 2016.10.02
중국 국경절  (0) 2016.10.02
스미싱 조직 앱 코드 변경  (1) 2016.10.01
갓모드 뿌리는 애들 근황  (0) 2016.09.30
처음 보는 악성앱 코드  (0) 2016.09.30
스미싱 조직 공격 준비중?  (7) 2016.09.30
Posted by Ec0nomist