[Android] 웨딩라이브 악성코드 정보

피싱 사이트

1. SMS를 통해 피싱 사이트에 대한 단축 URL 유포: hxxps://yoro[.]cc/dNNm4
2. 리다이렉션 진행: hxxps://name[.]n-paypac[.]shop(104[.]21[.]17[.]167)
3. 사용자의 주소확인 버튼 클릭 시, [100~200]live.apk 다운로드: hxxps://name[.]n-paypac[.]shop/download
 

* PC 버전으로 피싱 사이트 접속 시, 정상 사이트인 hxxps://www[.]itscard[.]co[.]kr로 리다이렉션

웨딩라이브 피싱 사이트 접속 화면(악성 앱 다운로드 유도)

다운로드된 악성 앱(일부)

 

악성코드 정보

[100~200]live.apk(원본 악성코드) SHA-256: fe04c00cbc0d1184f55b220c3a66f71e2e34a990a9a256e9441b5453b2fa9b22
/assets/l6a254b67_a64.so(ABI에 따라 드롭되는 SO 파일) SHA-256: c5ea0f08bc086ad1b141076ee14ddb770db3f6fe8dafe3f269b128a5a55c9a61
/assets/l6a254b67_x64.so(ABI에 따라 드롭되는 SO 파일) SHA-256: b4a3fea98ca4fe7663fe3bcddef1d558cab3f3b0bf1b3f5aae76274a3a01fde5

 

* 25.01.31 발견, 추후 상세 분석 예정