トレンドマイクロは、2014年11月中旬、メッセージサービス「Viber」を装ったスパムメールが急増しているのを確認しました。Viber は、ユーザが通話やショート・メッセージ・サービス(SMS)を無料で利用できるアプリで、PC版も提供されています。このスパムメールは、受信者が音声メールを受け取ったことを伝えていました。
図1:スパムメールの例
■PC とモバイル端末で異なる不正活動
PC上の感染活動は非常に単純です。スパムメールに記載されたリンクをクリックすると、「BKDR_KULUOZ.VLU」として検出されるバックドア型不正プログラムが PC上にダウンロードされます。
しかし、モバイル端末上でこのスパムメールを開けた場合、ユーザはまったく異なる不正活動を経験することになります。不正プログラムが作成されるかわりに、ランダムな URL や検索エンジンサイト、もしくは公式のアプリストアなど、ユーザはさまざまな Webサイトに誘導されます。
モバイルユーザは動画配信サイトに誘導されることもあります。弊社の調査によると、この Webサイトは不正活動に関連していました。例えば、ユーザが登録の際に提供したクレジットカード番号に気付かれずに請求するなどです。Flash Player の更新を促す広告をクリックすることで、この Webサイトに誘導された事例もありました。
図2:動画配信サイトに誘導された例
■モバイル端末の OS によって変わる誘導先サイト
さらに気を付けたいことは、モバイル端末のオペレーティングシステム(OS)によって誘導先の Webサイトが異なることです。Android のユーザは Google の公式アプリストア「Google Play」上のアプリ「Go Launcher」に誘導されました。Apple製品のユーザは「iTunes」上の中国のゲームアプリに誘導されます。なお、いずれのアプリも不正なものではありません。
図3:「Google Play」に誘導された例
図4:「iTunes」に誘導された例
OS によって変化する誘導先は、公式のアプリストアに限りません。リンクをクリックした Androidユーザは、空白ページに見える Webサイトに誘導されることがあります。弊社がこの Webサイトのソースコードを確認したところ、「ANDROIDOS_PAWEN.HBT」と検出される APKファイルを含んだ Webサイトに誘導するリンクを含んでいることが確認されました。
このアプリには、さまざまな成人向けサイトへのリンクが含まれていました。また、受信および着信を監視し、電話番号を収集して、アプリ内のハードコードされた URL に送信しました。その目的は URL を見れば明らかです。
- http://<不正なドメイン>/scripts/app_tracking_manager.php
- http://<不正なドメイン>/scripts/app_call_tracking_manager.php
なお、ユーザは不正な APKファイルを含むリンクに誘導されるわけではないことにご留意下さい。また、iPhoneユーザも、成人向けサイトに誘導される場合があります。
■結論
弊社では、さまざまな OS上で機能する脅威をこれまで複数確認してきましたが、今回のスパムメール送信活動がもたらす結果の多様性に十分注意すべきでしょう。このスパムメールを送信している攻撃者が、かなりの労力を費やして端末の OS ごとにユーザをさまざまな Webサイトに誘導したことは興味深い点です。
メッセージサービスは、今回の事例のように、攻撃に頻繁に利用されるソーシャルエンジニアリングの餌です。今回のスパムメールが他のものよりも信ぴょう性が高いのは、Viber に PC版があるからでしょう。スパムメールを受信したユーザが、音声メールがあると考えてしまうのも無理はありません。
Eメールを開封するときは注意して下さい。スパムメール送信者やサイバー犯罪者がなりすまして Eメールを送信することは容易です。Eメール内のリンクをクリックすることはできる限り避けて下さい。Eメール上のリンクは信用せず、アドレスバーに直接 Webサイトの URL を入力すると良いでしょう。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。さらに「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。そして「ウイルスバスタ モバイル」は、不正なリンクをブロックし、モバイルユーザをこの脅威から保護します。
弊社は本件に関し、すでに Google に報告しています。
なお、今回確認された検体に関連するハッシュは以下のとおりです。
- 03f078d14c6714631f2f6acc78d0f5f23e80da70
- de0563e92daea91d028d5b26a2e2c01477af1ac8
協力執筆者:Chloe Ordonia、Sylvia Lascano、Francis Atanzo および Gideon Hernandez
参考記事:
- 「Fake Viber Spam Changes Routines Based on Platform」
by Wish Wu (Mobile Threat Response Engineer)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)