トレンドマイクロのサイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターでは、一般財団法人日本サイバー犯罪対策センター(JC3)及びその会員企業と協力し、フィッシング詐欺グループの分析を行っております。この度、これまでの調査結果について弊社およびJC3から発表することに合わせ、本ブログ記事では調査を通じて分類された国内金融機関を騙るフィッシングサイトの二大勢力についてその特徴を報告いたします。
Android向け不正アプリ「Geost(ゲオスト)」は、ロシアのモバイルバンキングを標的とするバンキングトロジャンの活動を行うものです。Geostのボットネットによる被害者は、Virus Bulletinで調査報告が公開された昨年2019年の時点で、80万人を超えていました。調査によって、Geostがユーザから収集する情報や、利用する手法、そしてボットマスターとボットネット間で行われる通信など、ボットネットの背後にあるグループの活動について明らかにされています。
続きを読む長期にわたって活動を継続しているマルウェアは、時間と共にその活動内容を変化させていく傾向にあります。2013年前後に登場したAndroid向けバンキングトロジャン「FakeToken(フェイクトークン)」もその1つです。2017年に確認されたFakeTokenは、タクシー配車アプリを偽装し、感染端末から個人を特定できる情報(PII)を窃取する機能に加え、ランサムウェア機能まで持っていました。そして2020年に入り、カスペルスキーのリサーチャは、約5,000台のスマートフォンがSMSで海外へ迷惑メッセージを送信していたことを検知しました。そしてそれは、FakeTokenの新しい機能によるものであることが確認されました。
続きを読むトレンドマイクロは、2018年のモバイルの脅威動向において、オンライン銀行詐欺ツール(バンキングトロジャン)が検出回避とさらなる収益化を目的として戦略と手法を多様化していることを報告しました。Android端末向け不正アプリ「Anubis」の場合、通常のバンキングトロジャンでは見られないようなその他の不正活動のための機能も備えています。初めてAnubisが確認されて以来、サイバー諜報活動を目的とした使用から、情報窃取とランサムウェアのような機能を組み合わせたバンキングマルウェアへの変化まで、Anubisにはいくつかの変更が施されました。2019年1月中旬には、サンドボックス解析を回避するためのモーションセンサの利用や個人情報(Personally Identifiable Information、PII)を窃取するオーバーレイ画面など、Anubisが多数の手法を使用したことが確認されました。
(さらに…)
トレンドマイクロは2019年1月、感染端末にオンライン銀行詐欺ツール(バンキングトロジャン)をドロップするAndroid端末向け不正アプリ(「ANDROIDOS_ANUBISDROPPER」として検出)をGoogle Playで2つ確認しました。これらの不正アプリはユーティリティアプリに偽装しており、「Currency Converter」および「BatterySaverMobi」という名前が付けられていました。Googleはすでにこれらの不正アプリをGoogle Playから削除しています。
図 1:Google Playで確認された不正アプリ
「BatterySaverMobi」と「Currency Converter」
Android 端末向け不正アプリ「FAKESPY(フェイクスパイ)」(「ANDROIDOS_FAKESPY.HRX」として検出)が確認されました。不正アプリの拡散には、サードパーティのアプリストアを利用する手法が一般的ですが、「CPUMINER」、「BankBot」、「MilkyDoor」のように、正規アプリストアである Google Play や App Store で不正アプリが公開されていた事例も確認されています。しかし、FAKESPY は、テキストメッセージ(ショートメッセージ、SMS)を利用して対象を不正な Web ページに誘導する「スミッシング(SMS+Phishing)」によって拡散します。有名企業からのメッセージを偽装するこの手法は 1 月 15 日および 2 月 2 日の本ブログでお伝えした不正アプリの攻撃が継続しているものと言えます。
続きを読む2018 年 3 月上旬以降、日本、韓国、中国、台湾、そして香港を対象とする新しいネットワーク攻撃が確認されています。これは、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる攻撃で、総当たり攻撃や辞書攻撃のような手法を利用して DNS サーバに侵入し、設定を書き換えたものと考えられます。変更された DNS 設定によって誘導されるドメインは、Android 端末向け不正アプリ「XLOADER(エックスローダ)」(「ANDROIDOS_XLOADER.HRX」として検出)の拡散およびインストールに利用されています。
XLOADER は、DNS 設定の変更によって誘導されたドメインからユーザの端末に送信される通知によって拡散し、正規の Facebook アプリまたは Chrome アプリに偽装しています。この不正アプリは、個人情報や金融機関情報、インストールされているアプリ一覧情報などを窃取します。また、感染端末を乗っ取って SMS を送信したり、管理者権限を利用して設定の変更を防いだり、活動を継続したりすることが可能です。
図 1:偽の Facebook アプリおよび Chrome アプリ(赤枠)
(さらに…) 続きを読む
トレンドマイクロは、2017 年 8 月末、Android 端末向けオンライン銀行詐欺ツール「BankBot(バンクボット)」(「ANDROIDOS_BANKBOT」ファミリとして検出)の新たな亜種を確認しました。このモバイル向け不正アプリは、2017 年 1 月に初めて確認されたものであり、アンダーグラウンド市場に流出した別のオンライン銀行詐欺ツールのソースコードを改造したものだと報告されています。BankBot は、端末に存在する正規銀行アプリの起動に合わせて偽の画面を表示し、ユーザが入力した認証情報を窃取します。この手法は PC 向けのオンライン銀行詐欺ツールが行う、Web インジェクション(特定の Web サイトの表示時に偽画面を表示する手口)と似ています。また、ショートメッセージサービス(SMS)を乗っ取る機能により SMS を利用した二要素認証を突破することも可能であり、まさにモバイル向けに特化したオンライン銀行詐欺ツールと言えます。また、この亜種の解析の中で、日本の銀行も標的となっていることを初めて確認しています。
図 1:日本の 銀行の表示に偽装した画面の例
(さらに…) 続きを読む
多くのマルウェアが昨今、自身の攻撃に比較的新しい手法を取り入れている一方で、侵入方法は従来の手法がいまだに採用されています。例えば、暗号化型ランサムウェア、オンライン銀行詐欺ツール(バンキングトロジャン)、標的型攻撃では、不正なマクロやショートカット(LNK)ファイルが依然として利用されています。しかし、効果が実証されているこれらの手法の他に、PowerShell 等の正規ツールや機器を遠隔で操作する不正な字幕用ファイルのような新しい手法の利用も確認されています。
トレンドマイクロは、2017 年 5 月、PowerPoint のスライド上でハイパーリンクが張られた画像やテキストにマウスカーソルを乗せる動作(マウスオーバー)を利用してマルウェアを送り込む新しい手法を確認しました。この手法は、欧州・中東・アフリカ地域で確認されたスパムメール送信活動で利用されたダウンローダ(「TROJ_POWHOV.A」および「P2KM_POWHOV.A」として検出)によって利用されていました。このスパムメール活動では特に、英国、ポーランド、オランダ、スウェーデンにおいて、製造業、機器作製、教育、運輸、花火製造などの業界が影響を受けました。
続きを読む