오늘도 역시 계속 밀라누나의 사이트를 뒤적거리던 중..
FBI를 사칭한 안드로이드 랜섬웨어를 발견하게 되었습니다! (2014년 12월 21일 업로드본)
그래서 분석을 하게 되었는데요..
원래 사실은 안할려고 했는데..
컴퓨터가 하라고 시키네요 젠-장
뭐 어쨌든 원래 하던대로.. 디컴파일 진행하기 전에 기초 정보들을 보면..?
MainActivity가 시작점인 악성코드임을 확인할 수 있습니다.
그를 기반으로 MainActivity의 onCreate method를 보면...?
keyguard를 실행하고, IMEI 정보를 가져오게 되네요.
그리고 아래를 더 보게 되면
에헤헤 BackgroundService가 시작되고, 기기 관리자가 실행됩니다.
아래 method는 기기 관리자를 처음 설정하는 부분입니다.
악성코드의 필수품 DEVICE_ADMIN!
저기 ADD_EXPLANATION 부분에 키릴 문자(러시아어) 내용은 우리나라 말로 하면 "라이선스 계약" 이란
뜻이라네요. (노예계약인가..)
그 외 악성코드 행위를 요약해 보면, AES 암호화를 통해 외부 저장소에 저장된 모든 파일을 암호화 합니다.
물론 키는 random-generate 라서 알아낼 수 없습니다 :(
내 노예가 되신 것을 환영합니다.
그리고 돈을 요구하게 되고 만약에 그쪽에서 돈이 입금된걸 확인하면, 앱을 착하게 삭제해줍니다..
(와.. 겁나 감사하다)
이렇게 신기한 악성코드를 어떻게 설치해 보지 않을 수 있겠습니까!!!!!
"그래서 제가 직접 한번 깔아보았습니다. - 가상에" (제 폰은 아이폰이니깐요)
설치!!!! Flash Player라는 앱(을 가장한 악성코드)이 오늘의 악성코드!
항상 물어보는 기기 관리자..
실행하니 뭐라 쏼라쏼라 빨간 글씨로 써있습니다.
대충 내용은 "너님 폰에서 아청아청한 영상이 나옴 - 내가 잠궈줌 - 철컹철컹함"
그리고 싫으면 300달러 MoneyPak code 입력하셈 이라고 합니다.
(사실 진짜 FBI는 이런거 없이 그냥 "FBI!!!!" 이러면서 여러분의 문을 두들길 겁니다)
친절하게 어디서 살 수 있는지도 알려줍니다 (와 친절함)
저는 돈이 없는데다가, 있어도 저런데다가 쓸 수 없고, 거기다가 전 살 수도 없는 환경이라 그냥 삭제해
버렸습니다.
사실 기기 관리자가 락을 걸어버려서 삭제는 그냥 못합니다.
/data/data/com.android.locker/ 영역의 모든 내용을 삭제한 후에 프로세스를 명령어로 꺼버리시면 됩니다!
자세한 실행 모습이나, 삭제 방법에 대해 보고 싶으신 분은 아래 유튜브 영상으로 가시면 됩니다 :)
'Android > Android Malware ' 카테고리의 다른 글
| Tor Network를 이용하는 안드로이드 악성코드 (0) | 2014.12.19 |
|---|---|
| 신종 스미싱 악성코드 분석보고서 (0) | 2013.08.31 |
| [긴급] 돌잔치 사칭 모바일 악성코드 긴급분석보고서 (0) | 2013.08.28 |
| 안드로이드 개인정보 탈취 악성코드 분석보고서 (0) | 2013.06.14 |
| 안드로이드 주민등록번호 탈취 악성코드 분석보고서 (2) | 2013.06.11 |
