악성코드(app) 분배하는 서버 관련 분석

 

 

---

---

google_play_c.apk를 배포하는 악성 홈페이지  접속 하기만 하면 다운로드 할려고함

 

내용 : 결혼 초대장인  청첩장으로 문자를 보내면서 사이트가 연결되어 있음.

        사이트 클릭시 apk를 다운 받게 함

 

세부 주소는 생략   : playggie

도메인의 주인은  :  지강시예 왕산시(?)

Registrant Contact:
   jinguan shiye
   wang sansi ()
  
   Fax:
   jinshui huanghe
   nei menggu, Neimenggu 100000
   CN

Administrative Contact:
  
   wang sansi (1944402717@qq.com)
   +86.119878789
   Fax: +86.119878789
   jinshui huanghe
   nei menggu, Neimenggu 100000
   CN

Technical Contact:
  
   wang sansi (1944402717@qq.com)
   +86.119878789
   Fax: +86.119878789
   jinshui huanghe
   nei menggu, Neimenggu 100000
   CN

서버에 열린포트들

Discovered open port 110/tcp on 67.198.133.xx

Discovered open port 587/tcp on 67.198.133.xx

Discovered open port 80/tcp on 67.198.133.xx

Discovered open port 995/tcp on 67.198.133.xx

Discovered open port 25/tcp on 67.198.133.xx

Discovered open port 21/tcp on 67.198.133.xx

Discovered open port 8008/tcp on 67.198.133.xx

Discovered open port 1029/tcp on 67.198.133.xx

 

권한 : 리시브부트, 네트워크/와이파이 접근, 인터넷접근, SMS읽고 쓰고 수신 머 등등 온갖 권한을 가짐

  특히 전화리시브와 인터넷으로 전송하는부분이 메인으로 보임

 

    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
    <uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
    <uses-permission android:name="android.permission.INTERNET" />
    <uses-permission android:name="android.permission.READ_PHONE_STATE" />
    <uses-permission android:name="android.permission.READ_SMS" />
    <uses-permission android:name="android.permission.WRITE_SMS" />
    <uses-permission android:name="android.permission.SEND_SMS" />
    <uses-permission android:name="android.permission.RECEIVE_SMS" />
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
    <uses-permission android:name="android.permission.MOUNT_UNMOUNT_FILESYSTEMS" />
    <uses-permission android:name="android.permission.CALL_PHONE" />
    <uses-permission android:name="android.permission.READ_CALL_LOG" />
    <uses-permission android:name="android.permission.WRITE_CALL_LOG" />
    <uses-permission android:name="android.permission.READ_CONTACTS" />

 

하는 행동.

  이름,전화번호 내용 등등 을 얻어서 외부 사이트로 내보냄

  private String attachment;
  private String cid;
  private String content;
  private String id;
  private String phone;
  private String receiverPhone;
  private Date sendTime;
  private String senderPhone;

 

 httpwrapper은 머하는 놈일까? 이름으로는 봐서는 패킷을 싸서 보내는 거 같은데.. 특정 프락시 서버 경유 후

http://www.xoqhd888.com/ 이런 사이트로 연결이 ㅡㅡ;

 

Domain name: xoqhd888.com
Registrant Contact:
   jinguan shiye
   wang sansi ()
Administrative Contact:
   wang sansi (@qq.com)
   jinshui huanghe
   nei menggu, Neimenggu 100000
   CN
 

 

더 확인을 해야 되는데.. 시간이 ㅠㅠ 제대로 분석 한건지도 모르겠고.. 왜 내가 원하는 부분이 안보이는 것이냐.. 나와라 빨리...

 

 

 

---

---