티스토리 뷰
어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜..
"[Web발신] 운송장번호(5919*********19): 물품지연 확인하시기바랍니다. http://qkyho[.]aptmh[.]com"
대체 저 URL에 접속하게 되면 무슨 일이 일어나는지 보겠습니다~
일단 저는 모바일로 접속하기 무서워서(?) 인터넷 웹브라우저로 접속해보았어요!
그런데 왠걸 404 Not Found 웹페이지가 나오면서 위와 같이 페이지를 찾을 수 없다고 하네요??? 또잉 뭐죠?! 분명 URL에 오타는 없는데 벌써 지워진 걸까요?
그래서 혹시나 싶어서 Mobile 로 접속했을 때만 되는 건가 싶어서, Mobile 로 접속한 것처럼 보이게 해보았어요!
위에 보이는 User-Agent 는 접속한 기기를 나타내는데요. 여기서 제가 입력한 User-Agent 는 Android 기기로 접속한 것으로 해두었어요! 그랬더니 아까와는 달리 확실히 어떤 내용이 나왔어요!
HTML 코드를 보면 알지만, 별 내용이 없곡 Javascript 코드만 작성되어 있어요~
이 내용은 문자열 난독화(obfuscation)라고 해서 코드를 알아보기 어렵게 만든 작업을 해둔 것을 볼 수 있어요!
참고 : https://ko.wikipedia.org/wiki/%EB%82%9C%EB%8F%85%ED%99%94
난독화 - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. 코드 난독화는 프로그래밍 언어로 작성된 코드에 대해 읽기 어렵게 만드는 작업이다. 대표적인 사용 예로는 프로그램에서 사용된 아이디어나 알고리즘 등을
ko.wikipedia.org
난독화 되어 있는 코드를 간략하게 만들면 아래와 같이 만들 수 있어요~
alert("더 낳은 서비스 체험을 위해 한층 개선된 chrome 최신버전을 업데이트 하시기 바랍니다.");
location.replace("/chrome.apk");
위 코드는 아래와 같이 경고창을 띄우면서 chrome.apk 라는 경로에 이동하여 chrome.apk 라는 안드로이드 앱 설치 파일을 자동으로 다운로드 받게 해요~
그럼 다운받게 될 chrome.apk 파일을 알아볼까요?
- 2편에서 계속 -
https://domdom.tistory.com/617
[문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 2편
이번 편에서는 1편에서 다운받았던 chrome.apk 파일의 내용에 대해서 분석해볼거에요! https://domdom.tistory.com/615 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편 어느 날 지인 중에서 악성 URL을 받
domdom.tistory.com
'프로그래밍 > Android' 카테고리의 다른 글
| [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 3편 (1) | 2023.05.04 |
|---|---|
| [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 2편 (0) | 2023.05.02 |
| [frida] 프리다 안드로이드 SSL/TLS 피닝 우회 스크립트 (1) | 2023.03.08 |
| [Android] adb 명령어 모음(cheatsheet/치트시트) (0) | 2023.01.14 |
| [Android] adb logcat 특정 패키지 필터링해서 보는 법 (0) | 2022.12.12 |
