SMSで届いた詐欺メッセージの調査
今日、SMSで以下のような詐欺メッセージが届きました。
記載されているURLにアクセスしてみると、以下のような大量の難読化されたJavascriptのコードが書かれています。
難読化を解除するのが面倒だったので、簡単にデバッガーで動かしていくと、以下のようにブラウザのUser-Agentを見て、処理を変えている部分が確認できます。
なお、画像で確認できる、Apple向けと思われるapple.txtには、以下のような文言が書かれており、
お客様がご利用のauじぶん銀行口座に対し、第三者からの不正なアクセスを検知しました。セキュリティ強化のため、更新手続きをお願いします。
appleurl.txtには、じぶん銀行のフィッシングサイトURLが書かれていました。
http[:]//jibun-xxu[.]com
※確認した時点で、すでにほかのセキュリティリサーチャーのかたがTwitterで注意喚起を行っていました。
じぶん銀行のフィッシングサイト情報です。
— KesagataMe (@KesaGataMe0) 2020年11月21日
hxxps://jibun-xxu.com
‐>165.3.94.15
(AS21859 - ZNET)https://t.co/SS160VYXH8#Phishing #じぶん銀行 pic.twitter.com/zedHUm57H4
同様に、Android向けと思われるanzhuo.txtを確認すると、以下のような文言が書かれており、
セキュリティ向上のため,最新バージョンのChromeにアップデートしてください。'
anzhuourl.txtには、apkファイルのURL(ファイル名)が書かれていました。
vXmDc.apk
URLにアクセスすると、vXmDc.apkファイルがダウンロードできましたので、VirusTotalにアップロードしておきました。
以上のように、URLにアクセスした端末がAppleだった場合はフィッシングサイト、Androidの場合は偽アプリのダウンロードを狙っているようなので、今後も注意が必要そうです。
