최근 apk 파일 악성 코드가 정상적인 php 페이지 접속 이후 (해당 php 페이지는 취약한 웹 서비스에 올려놓고) 유포되고 있는 것으로 추정된다.
이와 연관이 있을지 모르겠지만 확인 도중 일부 apk 파일이 감염 이후에 정상적이지 않은 HTTP Header를 사용하는 것 같아 기록으로 남긴다.
ser-Agent: Fiddler
이 값은 User-Agent를 Fiddler로 보이도록 하드 코딩 되어 있는 듯 하다.
아무튼, 이 값을 snort로 등록해서 의심된 트래픽을 감시하는 것도 좋을 듯 하다.
alert tcp any any -> any any (msg:"Suspicious UserAgent"; flow:to_server; content:"ser-Agent: Fiddler|0d 0a|"; sid:0;)