본문 바로가기

컴터 때찌/Reversing

[모바일악성코드] 우리준이가 태어난지 벌서일년이 되었어요



우리준이가 태어난지 벌서일년이되었어요

축하해주세요^^(모시는글)

 우리 준이가 태어난 지 벌써 일년이 되었어요.

 축하해 주세요 ^^ (모시는글)


우리 준이가 벌써 이렇게 커서 돌을 맞이하게 되다니, 정말 감개가 무량하구나..

우리 준이 앞으로 더욱 건강하고 튼튼하게 자라길 바란다 ^^ 

준이야 돌 축하해 ^^ ♡♡ !! 는 훼이크


" 준이야 돌 축하해 ^^ "  라며 url을 클릭 했다가는 생판 모르는 남에게 돌잔치 축의금(?) 주게 되는 문자다

강제 기부천사 만들어 주는 문자랄까


일단 해당 페이지는 User-Agent 부분에서 모바일인지 체크하기 때문에 일반 컴퓨터에서 접근할때는 User-Agent를 조작해주어야 한다.


기본적으로 알람앱으로 위장한듯하다.


시작하면, 특정 주소로 핸드폰의 정보와 함께 "접속성공" 이라는 문자를 처음으로 보내어, 서버에 등록한다.


이후에 서버로 문자 내용을 보내게 되는데


다음과 같은 문자열이 포함 되어 있는때 문자를 서버로 보내게 된다. (http://rishida.net/tools/conversion/)

if(s1.indexOf("\uC778\uC99D") >= 0)   // 인증

if(s1.indexOf("\uACB0\uC81C") >= 0)    // 결제

if(s1.indexOf("\uBCF4\uD638") >= 0)     // 보호

if(s1.indexOf("\uD734\uB300\uD3F0") >= 0)  // 휴대폰

if(s1.indexOf("\uBC88\uD638") >= 0)         // 번호

if(s1.indexOf("\uC794\uC5EC") >= 0)        // 잔여

if(s1.indexOf("\uC794\uC561") >= 0)        // 잔액

if(s1.indexOf("\uAD6C\uB9E4") >= 0)          // 구매

if(s1.indexOf("\uD55C\uB3C4") >= 0)          // 한도

if(s1.indexOf("www") >= 0)


결국 사용자에게 문자를 보내어 설치를 유도하고, 설치후에는 결제와 관련 있는 문자 메시지가 오면 외부의 서버로 보내는    

비 정상적 apk 라고 볼 수 있겠다.

뒷 이야기를 조금 써보자면 사용자가 이 앱이 설치 되면, 해커가 사용자 핸드폰으로 결제를 하고 인증번호를 사용자 모르게 

커쪽으로 보내서 핸드폰 결제를 하는 전형적인 apk 악성코드로 사용 될 수 있을 것 같다.


준이 아버님 이제 이런 짓 그만 하시길


--------------------------


[+] 검색해보니, 동일한 파일에 서버 ip만 바꿔서 계속 배포 하고 있는 듯 하다

  https://www.virustotal.com/ko/file/ee605db0bf7f4aff6d0d452bfa816fc6a5bbe8e8/analysis/