Android 썸네일형 리스트형 Smart Touch 사칭 안드로이드 악성코드 제거 도구 v0.1 Smart Touch 악성코드 분석 관련 글을 올리고 나서 사람들이 해결법에 대해서 물어보시길래그냥 답변해드릴려다가 쓰실 분이 많을거 같아서 제거 도구를 제작했습니당.(사장님 죄송합니다) -> 허락하셨습니다. 황송하옵니다 다운로드 링크 : http://smishing.kr/smart-touch-remover.zip 작동 방식은 exe 실행 방식인데 ADB를 이용해서 하기 때문에 먼저 USB 디버깅 활성화를 해주셔야 합니다.인터넷에서 기종마다 활성화 방식이 다르기 때문에 해당 링크를 참고하시기 바랍니다. http://mrhook.co.kr/207 "이외의 기종인 경우에는 해당 기종에 대해서 구글링을 해보시기 바랍니다." 활성화 한 다음에 해당 프로그램을 실행하시면 최근 발견된 악성코드의 경우에는 패턴(?).. 더보기 Smart Touch 사칭 안드로이드 악성코드 분석 요즘 안드로이드 악성코드보다 다른일을 많이 하다보니 분석할 일이 많이 없었는데이게 핫하게 올라와서 분석 한번 해봤습니다. 오랜만에 하니 재밌네용 일단 악성코드 분석 하기 전에 구조를 보고 추측하는 습관이 있는데딱 보니깐 assets에 DEX 파일 넣어둔 것 하며, APKProtect 사용한 것 하며, 메일 전송을 위한 외부 라이브러리 사용, DEVICE_ADMIN을 위해 admin.xml 사용한 것 하며, MSG.RSA 인 것 보니 옛날에 쓰던 거 아직도 쓰나 봅니다. 싱기 일단 이거 통해서 기본적으로 추측할 수 있었습니다.- 기기 관리자를 통해 삭제 방해- Secondary DEX 파일 로딩을 통함, 단순 classes.dex는 그냥 loader로 작용함- APKProtect를 통해 분석 방해- 해당 .. 더보기 중국 SNS 사용자명을 통한 C&C 서버 IP 주소 연결 악성코드 해석법 설명은 귀찮으니 나중에 Github Link https://github.com/bunseokbot/Translate-Hidden-IP 더보기 관리자 권한 해제 방해하는 악성앱 해제법 http://www.dailysecu.com/news_view.php?article_id=8598 해당 기사가 나가서 글을 한번 써 봤습니다. (비오비 하는중에 잠깐 짬내서..) 해당 앱은 관리자 권한을 해제하는걸 방해하는 악성 앱 입니다.요즘 악성 앱들은 삭제하는걸 방해하기 위해 기기 관리자 권한을 이용하는데요. 아래 사진을 보면 더 정확하게 알 수 있습니다.해당 악성 앱인 com.games.dsdmnss 의 PID를 보면 1208인 걸 알 수 있습니다. 이걸 일단 죽여버리고 얼마동안 지나게 되면 새로운 프로세스를 생성합니다.그리고 삭제를 시도할려고 하면 "실패"라고 항상 뜨게 됩니다 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ살려줘 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ 이게 왜 그런가 분석을 해 보기 위해 로그를 한번 살펴 봤.. 더보기 FBI를 사칭한 안드로이드 랜섬웨어 분석 오늘도 역시 계속 밀라누나의 사이트를 뒤적거리던 중..FBI를 사칭한 안드로이드 랜섬웨어를 발견하게 되었습니다! (2014년 12월 21일 업로드본) 그래서 분석을 하게 되었는데요.. 원래 사실은 안할려고 했는데.. 컴퓨터가 하라고 시키네요 젠-장 뭐 어쨌든 원래 하던대로.. 디컴파일 진행하기 전에 기초 정보들을 보면..? MainActivity가 시작점인 악성코드임을 확인할 수 있습니다. 그를 기반으로 MainActivity의 onCreate method를 보면...? keyguard를 실행하고, IMEI 정보를 가져오게 되네요. 그리고 아래를 더 보게 되면 에헤헤 BackgroundService가 시작되고, 기기 관리자가 실행됩니다. 아래 method는 기기 관리자를 처음 설정하는 부분입니다. 악성코.. 더보기 Tor Network를 이용하는 안드로이드 악성코드 Tor Network 를 이용하여 통신을 진행하는 악성코드가 발견되서 분석 글을 한번 올려봅니다.옛날에 상섭브로에게 이 악성코드가 있다는 소리는 들었는데.. 음.. 실제로 분석을 하게 되네요 :) 이번 분석에서는 악성코드가 Tor Network에 어떠한 방식으로 접근하고, 통신하는지에 대해 중점적으로 분석을 진행해볼 생각입니다. 일단 악성코드의 시작점부터 분석해 보면 startService() 에서 MainService 서비스를 시작합니다. MainService - onCreate 를 보면 SharedPreferences에 AppPrefs 값을 0으로 설정합니다. 그..리고 Tor? 처음 시작이면 TOR_SERVICE를 시작시키게 됩니다. 그런 다음.. 그리고 Tor 전송을 확인하게 됩니다. sendCh.. 더보기 인증서 발급자명 검사를 통한 위변조(?) 유무를 검사하는 스미싱 악성코드 보호되어 있는 글입니다. 더보기 DES로 암호화한 스미싱 파일 분석하기 스미싱이 점점 진화하고 있다..; (소-오름) >> 소오름 드립;; >> 캡차를 이용한 스미싱 탐지 우회 (위의 내용과는 관련이 없습니다) 스미싱을 매일 새롭게 접하고 있는 저는 점점 공격자들의 기술이 날로 지능화 되었다는걸 많이 깨닫는데요.. (하.. 개객기들) 최근 스미싱을 분석하다가 이상한 점을 하나 발견했습니다. 읭?? 왠 악성행위는 없고 DEX만 읽어들이네.. 뭐지 읭...? 뭐지 젠장 하고 분석해 보니 APK 파일 속에 또 다른 ZIP 파일이 있다는 걸 확인했습니다. 근..데? 이게 뭔 개 똥같은 소리여;; 일반적인 ZIP 파일 구조가 아니였습니다 ㅠ ㅠㅠ 그래서 다시 분석해 보니 안녕 나는 DES 암호화라고 해 ㅎㅎ 알고 보니 ZIP 파일을 DES 암호화 하고 복호화한 후에 설치 하는것이였습.. 더보기 나는 캡차 스미싱이 싫어요! 나는 캡차 스미싱이 싫어요!부제 : 캡차 스미싱 개객기작성자 : NTMA 스미싱몬팀 김남준 연구원 급하게 작성한 거라 잘 쓰진 못한거 같네요 ㅠㅠ 나중에 캡차 스미싱에 대해서 자세하게 발표할 일이 있으면 발표할 때.. ㅎㅎ 더보기 IDA Pro를 이용한 안드로이드 단말기 원격 디버깅 IDA Pro를 이용한 안드로이드 단말기 원격 디버깅Android Device Remote Debugging using IDA Pro by bunseokbot 이번 글에서는 IDA Pro를 이용해서 안드로이드 단말기상에서 디버깅 하는 방법을 포스팅하도록 하겠습니다.저도 평소에 리버싱을 하면서 IDA Pro를 많이 이용하는데요, 워낙 유명하고 강력한 툴이다 보니 다양한 기능을 제공하고 또 다른 사람들이 수많은 플러그인을 만들어 두기고 한 툴입니다 ㅎㅎ 아래 링크는 코드게이트 2014 주니어 세미나 세션 중에 IDA에 관한 세션 발표 내용입니다.http://xer0s.tistory.com/71 근데 저는 항상 DEX 파일 뜯어볼 때만 사용했었는데, 인터넷 검색하다가 우연히 안드로이드 단말기 상에서 디버깅을 .. 더보기 이전 1 2 3 다음
