1. /
  2. /
  3. 佐川急便を装ったSMSスパムが届いて謎のAPK(ウィルスアプリ?)をダウンロードを手に入れたのでAndroidStudioでAPKを解析してみる

佐川急便を装ったSMSスパムが届いて謎のAPK(ウィルスアプリ?)をダウンロードを手に入れたのでAndroidStudioでAPKを解析してみる

  • このエントリーをはてなブックマークに追加

SMSが080の携帯番号から届いき、開いてみたら「お客様宛にお荷物のお届けがありましたが、不在の為持ち帰りました。下記よりご確認ください http://nehsu.com」とあり、アマゾンデリバリープロバイダーはシステムの関係で080から来るのか?などいろいろ考えましたが、ドメインも変なんで好奇心に負けてクリックしました。

記載のドメインにはアクセスしないでください、後述する変なapk(多分ウィルス)が落ちてきます。

アクセスすると、リダイレクトされてまんま佐川のコピーサイト( asxvz.xyz )に着地します。

ぱっとみは良くできたコピーサイトですが、さっそくsagawa6.5.8.apkが落ちてきます。

sagawa6.5.8.apkの中ですが、com.fkpc.exjjというパッケージでバージョンコードは「32321」と結構アップデートあるみたいです。

権限はてんこ盛りです。

 <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
    <uses-permission android:name="razjol.toyiac.fhvydtoj" />
    <uses-permission android:name="wruqaloi.mnqrnd.ewnucr" />
    <uses-permission android:name="android.permission.WAKE_LOCK" />
    <uses-permission android:name="android.permission.INTERNET" />
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
    <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" />
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
    <uses-permission android:name="android.permission.READ_PHONE_STATE" />
    <uses-permission android:name="android.permission.RECEIVE_SMS" />
    <uses-permission android:name="android.permission.RECEIVE_MMS" />
    <uses-permission android:name="android.permission.READ_SMS" />
    <uses-permission android:name="android.permission.WRITE_SMS" />
    <uses-permission android:name="android.permission.SEND_SMS" />
    <uses-permission android:name="android.permission.DISABLE_KEYGUARD" />
    <uses-permission android:name="android.permission.READ_CONTACTS" />
    <uses-permission android:name="android.permission.CHANGE_WIFI_STATE" />
    <uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
    <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" />
    <uses-permission android:name="android.permission.SYSTEM_OVERLAY_WINDOW" />
    <uses-permission android:name="android.permission.CHANGE_NETWORK_STATE" />
    <uses-permission android:name="android.permission.CALL_PHONE" />
    <uses-permission android:name="android.permission.EXPAND_STATUS_BAR" />
    <uses-permission android:name="android.permission.GET_ACCOUNTS" />
    <uses-permission android:name="android.permission.MODIFY_PHONE_STATE" />
    <uses-permission android:name="android.permission.PACKAGE_USAGE_STATS" />
    <uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS" />
    <uses-permission android:name="android.permission.RECORD_AUDIO" />
    <uses-permission android:name="android.permission.MODIFY_AUDIO_SETTINGS" />
    <uses-permission android:name="android.permission.DISABLE_KEYGUARD" />

怖くて起動はしてないけど、stringsに佐川急便の文字がある。

classes.dexはあとでゆっくり覗いてみる。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。