新型コロナウイルスの流行により、他者とのコミュニケーションに利用するための、メッセージやビデオ会議などのソフトウェアやサービスに注目が集まっています。このようなユーザの興味に乗じ、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する不正なダウンロードサイトについて、セキュリティ企業「CronUp」のセキュリティリサーチャーがツイッターで報告しています。トレンドマイクロでも、問題の不正サイトとインストーラを確認しています。これらではロシア語が使用されており、ロシア語話者のユーザを狙った活動と考えられます。
これらのサイトからダウンロードされるファイルの名称はそれぞれ異なりますが、ハッシュは同一です。ただし、トレンドマイクロの調査時に入手できたファイルは破損しており、実行しようとしても起動することができません。さらに調査を進めると、広告を表示させる「Adware(アドウェア)」のような挙動を示すことが明らかになりました。
アドウェアは、ポップアップウィンドウや、既存のウインドウの下に隠れるように現れるポップアンダーウィンドウとして広告を表示する、ソフトウェアまたはアプリケーションです。アドウェアは大抵の場合、他の便利なソフトウェアにバンドルの形でインストールされます。例えば、ツールバーやHD壁紙、ウィジェットなどのフリーウェアなどと共に、意図せずインストールされます。それ自体は必ずしも不正なソフトウェアとは言えないため「グレイゾーンのプログラム(グレイウェア)」と見なされますが、不要な広告はユーザにとって迷惑なものとなる可能性があります。また、アドウェアによって、端末の処理速度やネットワークのパフォーマンスが低下することもあります。
不審な活動には偽のインストーラだけではなく、正規のインストーラ(ただし、公式のダウンロードサイトではなく、詐欺サイトで確認されたもの)も利用されていました。多くのサイバー犯罪者は、不正なファイルを通信などの用途の正規インストーラと組み合わせて利用します。今回の調査ではアドウェアが仕込まれていただけですが、背後のサイバー犯罪者によってはマルウェアを送り込まれたり、端末やシステムに不正アクセスされたりする可能性もあるため、注意が必要です。
■偽アプリによる被害に遭わないためには
新型コロナウイルスの流行により、多くの企業や組織では勤務形態をテレワークに移行することを余儀なくされています。テレワークでは、リモートのチームメンバー間のコミュニケーションを容易にするための通信アプリが大きな役割を担っています。そのため、テレワークで使用するツールを保護することが重要になっています。
ソフトをダウンロードする際は、必ず公式サイトからダウンロードしてください。偽ダウンロードサイトが正規ソフトの名前とデザインを偽装することを十分認識し、正規のダウンロードサイトかどうか、URLなどからよく確認してください。
■トレンドマイクロの対策
企業や組織は、多層的なアプローチをセキュリティに導入することによって、このような脅威からユーザを保護することができます。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
※調査協力:Raphael Centeno
参考記事:
- 「Fake Messaging App Installers Promoted on Fraudulent Download Sites, Target Russian Users」
By Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)