[문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편

어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜..

"[Web발신] 운송장번호(5919*********19): 물품지연 확인하시기바랍니다. http://qkyho[.]aptmh[.]com"

대체 저 URL에 접속하게 되면 무슨 일이 일어나는지 보겠습니다~

일단 저는 모바일로 접속하기 무서워서(?) 인터넷 웹브라우저로 접속해보았어요!

그런데 왠걸 404 Not Found 웹페이지가 나오면서 위와 같이 페이지를 찾을 수 없다고 하네요??? 또잉 뭐죠?! 분명 URL에 오타는 없는데 벌써 지워진 걸까요?

 

그래서 혹시나 싶어서 Mobile 로 접속했을 때만 되는 건가 싶어서, Mobile 로 접속한 것처럼 보이게 해보았어요!

위에 보이는 User-Agent 는 접속한 기기를 나타내는데요. 여기서 제가 입력한 User-Agent 는 Android 기기로 접속한 것으로 해두었어요! 그랬더니 아까와는 달리 확실히 어떤 내용이 나왔어요!

 

HTML 코드를 보면 알지만, 별 내용이 없곡 Javascript 코드만 작성되어 있어요~

이 내용은 문자열 난독화(obfuscation)라고 해서 코드를 알아보기 어렵게 만든 작업을 해둔 것을 볼 수 있어요!

참고 : https://ko.wikipedia.org/wiki/%EB%82%9C%EB%8F%85%ED%99%94

난독화 - 위키백과, 우리 모두의 백과사전

반응형

난독화 되어 있는 코드를 간략하게 만들면 아래와 같이 만들 수 있어요~

alert("더 낳은 서비스 체험을 위해  한층 개선된 chrome 최신버전을 업데이트 하시기 바랍니다.");
location.replace("/chrome.apk");

 

위 코드는 아래와 같이 경고창을 띄우면서 chrome.apk 라는 경로에 이동하여 chrome.apk 라는 안드로이드 앱 설치 파일을 자동으로 다운로드 받게 해요~

그럼 다운받게 될 chrome.apk 파일을 알아볼까요?

 

- 2편에서 계속 -

https://domdom.tistory.com/617

[문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 2편