国内利用者を狙う不正アプリ、複数の有名企業を偽装して拡散

2018 年 1 月 15 日の本ブログ記事でお伝えした、SMS を発端とした Android 向け不正アプリ拡散の攻撃ですが、これは複数の日本企業を偽装したキャンペーンの一部であったことが確認されました。このキャンペーンでは、いずれも国内有名企業を偽装した電子メールや SMS により、正規サイトに偽装した不正サイトへの誘導を行うものであり、完全に日本国内の利用者を狙った攻撃と言えます。誘導先の不正サイトは、最終的にバックドア型不正アプリの拡散を目的としています。このように、同一の Android 向け不正アプリを複数の日本企業を偽装した電子メールや SMS により配布する攻撃キャンペーンは、これまでにほとんど例がないものと言えます。

図：プロバイダからのギフト券プレゼントを偽装する不正サイトの例

前回のブログ記事では、宅配荷物の不在通知を偽装し不正アプリ配布サイトへの誘導を狙う SMS について言及しました。同様の不在通知を偽装した攻撃は現在も継続していますが、それ以外にも同一の不正アプリを拡散する ２ 種の攻撃を確認しています。1 件は本文に「カード発行状況確認は下記よりご確認ください」という文字列を含む SMS による攻撃、もう 1 件は件名に「ギフト券 ２ 万円分プレゼント！」という文字列を含む電子メールによる攻撃です。これらの SMS や電子メールは、プロバイダのギフト券プレゼントページやクレジットカードの発行状況確認ページ、といった正規サイトを偽装した不正サイトへ受信者を誘導します。誘導先の不正サイトからは最終的に前回と同じバックドア型の不正アプリ「AndroidOS_Wroba」がダウンロードされる状態となっていました。

図：「カード発行状況確認」を偽装した不審 SMS の例（実物を元に再構成）

図：カードの発行状況確認ページを偽装する誘導先不正サイトの例
情報の入力を促した下には確認用と称するアプリのインストール方法が表示されている

また、件名に「ギフト券 ２ 万円分プレゼント！」という文字列を含む電子メールに関しては 1 月13 日の 1 日間で 1,000 通以上の拡散を確認しています。そのすべてで無作為の文字列からなるメールアドレスが送信元として使用されていました。

図：不正アプリ拡散目的の電子メールで使用されていた送信元メールアドレスの例

使用されたメールアドレスはおよそ 1,000 種類を確認しており、ほぼ 1 通につき 1 種の無作為文字列からなるメールアドレスが使われていたことになります。この手口はメールアドレスのブラックリストによるスパムメール対策製品のブロックを免れるためのものと推測されますが、受信者にとっては不審なメールと気づくためのポイントになり得ます。

トレンドマイクロの確認では前回の配送業者の偽装ページ、今回のギフト券プレゼント偽装ページとカード発行状況確認の偽装ページが、すべて同一ドメイン上で設置されている事例を確認しており、同一の攻撃者によるキャンペーンであることが推測されます。その他、実際の攻撃は未確認ですが、国内のネット銀行を思わせる不正 URL の準備もわかっており、今後も日本国内の有名企業を偽装する手口での不正アプリ拡散が続く可能性があります。

■被害に遭わないためには

このようなネット上の危険へ誘導しようとする手口に関しては、その手口を知り騙されないようにすることが対策の 1 つとなります。メールや SMS 内の URL はリンク先をよく確認してからアクセスしてください。また、短縮 URL などでアクセス前には情報が不明な場合、アクセス後にブラウザ上で表示されている URL が正規のものかどうか確認してください。

■トレンドマイクロの対策

トレンドマイクロ製品では、不正アプリを「モバイルアプリケーションレピュテーション（MAR）」技術で検出します。今回確認された不正アプリは「AndroidOS_Wroba」などの名称で検出対応しています。また、フィッシング詐欺や不正プログラム拡散目的などの不正サイトについては「Webレピュテーション（WRS）」技術でアクセスをブロックします。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品や、「ウイルスバスターモバイル」、「Trend Micro Mobile Security」などのモバイル端末向け製品では、MAR 技術により不正アプリの検出を、WRS技術により不正サイトへのアクセスブロックを行います。

※調査協力：秋保　陽介（日本リージョナルトレンドラボ）