akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

初めてスミッシングを受け取ったので少し深追いしてみる

初めて受け取りました。


f:id:akkietech:20200617174006j:plain

電話番号
080[-]6040[-]7442

URL
hxxp://waetdasfh[.]duckdns[.]org

初めてスミッシングを受け取りました。


ちなみに「スミッシング」とは
SMSを用いたフィッシングのことです。

SMS + フィッシング = SMィッシング → スミッシング
でしょうかね。

職業病なのか少しテンションが上がったので、深追いしてみました。

Virustotalで調査

f:id:akkietech:20200617174159p:plain

今のところはスキャン結果はクリーンとなっているようです。

f:id:akkietech:20200617174111p:plain

またステータス200返ってきているので、実在するWebページのようです。

正引きで返ってきたIPアドレス(128.1.248[.]195)の登録地域はアメリカです。
今のところはIPアドレスもクリーンなようでした。

■Aguseでの調査

f:id:akkietech:20200617174319p:plain

別のURLにリダイレクトされているようでした。
hxxp://waetdasfh[.]duckdns[.]org/kwfcmpfnfeoaokq.apk

どうやらapkファイルをダウンロードさせるためのURLのようです。
初めて見た拡張子だったので調べてみたところ、Androidアプリに関するファイルのようでした。

自分の使っているスマホAndroidなので、URLを踏んでいればそのアプリがダンロードさせられていたのでしょう。

ちなみにこのURLでVirustotalやってみたら引っかかってました。

f:id:akkietech:20200617174343p:plain


次に行きます。

■urlscan.ioでの調査

このページでは対象のURLをスキャンし、レスポンスページのHTMLファイルを見れたりします。

f:id:akkietech:20200617174408p:plain

「Show response」をクリックします。

f:id:akkietech:20200617174422p:plain

大量のjava scriptらしきものが出てきました!!(テンション上げ)
これは怪し〜〜〜〜www
見てみたろ。

Linux環境でWebページを動かしてみる

urlscanで返ってきたレスポンスページを丸々コピーして挙動を見ちゃいましょう。
ファイル名はmal.htmlとして、上記のhtmlを丸コピして、以下でwebサーバを起動します。

!!念の為、変な通信が外部に発生しないようインターネット接続からは隔離しています!!


python3 -m http.server

f:id:akkietech:20200617174458p:plain

出たーーーーー!!
「セキュリティ向上のため,最新バージョンのChromeにアップデートしてください.」
のメッセージが出ました。

句読点がカンマだったり、ピリオドになってるあたり、惜しいですね〜。

OKを押してみましょう。

f:id:akkietech:20200617174514p:plain

同一のホスト名に対して、/khbrcufcspywukaozafa.apkのURLへのアクセスが発生するようになりました。
つまり警告に対してOKボタンを押すことで、Androidファイルをダウンロードさせられることになります。

ちなみにwiresharkとかtcpdumpで確認したところ、インターネット向けに変な通信は発生していませんでした。あくまで同一ホストに対するパスが渡されているようですね。

■まとめ

初めてスミッシングを受け取って少しだけ追跡してみました。
apkファイルも実際に見てみたかったのですが、犠牲になってもらうAndroid端末は持ち合わせてないし、Androidアプリが動作するエミュレータを導入するほどでもないかなと思ったので、深追いはここまでとしました。

ちょっとびっくりしたのはSMSを受け取った時点で「SPAMでは?」的な警告が出ていたことです。一般的なユーザがフィッシングに引っかかりにくくなる仕組みができていてすごいなと感じました。

ということで、スミッシング(詐欺SMS)には気をつけましょう!