google_play_c.apk를 배포하는 악성 홈페이지 접속 하기만 하면 다운로드 할려고함
내용 : 결혼 초대장인 청첩장으로 문자를 보내면서 사이트가 연결되어 있음.
사이트 클릭시 apk를 다운 받게 함
세부 주소는 생략 : playggie
도메인의 주인은 : 지강시예 왕산시(?)
Registrant Contact:
jinguan shiye
wang sansi ()
Fax:
jinshui huanghe
nei menggu, Neimenggu 100000
CN
Administrative Contact:
wang sansi (1944402717@qq.com)
+86.119878789
Fax: +86.119878789
jinshui huanghe
nei menggu, Neimenggu 100000
CN
Technical Contact:
wang sansi (1944402717@qq.com)
+86.119878789
Fax: +86.119878789
jinshui huanghe
nei menggu, Neimenggu 100000
CN
서버에 열린포트들
Discovered open port 110/tcp on 67.198.133.xx
Discovered open port 587/tcp on 67.198.133.xx
Discovered open port 80/tcp on 67.198.133.xx
Discovered open port 995/tcp on 67.198.133.xx
Discovered open port 25/tcp on 67.198.133.xx
Discovered open port 21/tcp on 67.198.133.xx
Discovered open port 8008/tcp on 67.198.133.xx
Discovered open port 1029/tcp on 67.198.133.xx
권한 : 리시브부트, 네트워크/와이파이 접근, 인터넷접근, SMS읽고 쓰고 수신 머 등등 온갖 권한을 가짐
특히 전화리시브와 인터넷으로 전송하는부분이 메인으로 보임
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.MOUNT_UNMOUNT_FILESYSTEMS" />
<uses-permission android:name="android.permission.CALL_PHONE" />
<uses-permission android:name="android.permission.READ_CALL_LOG" />
<uses-permission android:name="android.permission.WRITE_CALL_LOG" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
하는 행동.
이름,전화번호 내용 등등 을 얻어서 외부 사이트로 내보냄
private String attachment;
private String cid;
private String content;
private String id;
private String phone;
private String receiverPhone;
private Date sendTime;
private String senderPhone;
httpwrapper은 머하는 놈일까? 이름으로는 봐서는 패킷을 싸서 보내는 거 같은데.. 특정 프락시 서버 경유 후
http://www.xoqhd888.com/ 이런 사이트로 연결이 ㅡㅡ;
Domain name: xoqhd888.com
Registrant Contact:
jinguan shiye
wang sansi ()
Administrative Contact:
wang sansi (@qq.com)
jinshui huanghe
nei menggu, Neimenggu 100000
CN
더 확인을 해야 되는데.. 시간이 ㅠㅠ 제대로 분석 한건지도 모르겠고.. 왜 내가 원하는 부분이 안보이는 것이냐.. 나와라 빨리...
'IT/보안 관련 정보' 카테고리의 다른 글
프로토콜별 wireshark 패킷 파일 다운로드 할수 있는 사이트 (0) | 2013.06.03 |
---|---|
공인인증서 강제 폐지 관련하여 (0) | 2013.05.24 |
공인인증제도?? (0) | 2013.05.20 |
windows god (0) | 2013.05.10 |
2013년 국가 정보보호 백서 (0) | 2013.05.07 |