昨年2018年を通じ拡大した宅配業者の偽装SMSを発端としたAndroid不正アプリ拡散を狙う攻撃は、現在も続いています。またAndroid端末だけでなく、iPhoneなどiOS端末でアクセスした場合にもフィッシングサイトへ誘導する動きも確認されており、スマートフォンを中心としたモバイル機器全体を狙う攻撃となっていることはこれまでも報告してまいりました。この国内のモバイル機器全体を狙う継続した攻撃の中で、新たな動きが2つ確認されました。1つは誘導先の不正サイトが詐称する企業の変化です。これまでの宅配業者から新たに、携帯電話事業者Webページの偽装が確認されました。もう1つは、誘導先の不正サイト上でiOS端末の固有情報を窃取するために不正な構成プロファイルを使用する手口です。
図:今回確認された携帯電話事業者のWebサイトを偽装する不正サイトにAndroid端末でアクセスした際の表示例
この不正サイトでは、アクセスした端末のOSを判定し、Androidだった場合には不正モバイルアプリ「XLoader(トレンドマイクロ製品では「AndroidOS_XLoader」として検出)」をダウンロードさせます。
「XLoader」は2018年前半に「ルータのDNS改ざんによる拡散」が観測されていましたが、8月以降はほとんど観測されていませんでした。また、これまでの偽装SMSを発端とする不正アプリ拡散の事例では、2018年8月以降ほぼすべてが「FakeSpy」と呼ばれる不正アプリの拡散となっていました。しかし2019年2月に入り、宅配業者を装うという同じ手法で「XLoader」が再度拡散しはじめ、今回のような新たな偽装手法による拡散も見受けられるなど、活動が活発化してきています。トレンドマイクロでは、「XLoader」と「FakeSpy」の2種の不正アプリについて、共通のサイバー犯罪集団との繋がりを指摘していました。この偽装SMSを発端とする拡散の事例は、その繋がりを表す新たな証左となるものと言えます。
図:今回確認された不正サイトが不正アプリをダウンロードさせる際のAndroid側の表示例
またアクセスした端末がiOSだった場合には別の不正サイトへ誘導します。このiOS向けの不正サイトでは「ネットワークセキュリティのアップグレード」と称して不正な構成プロファイル(以後「不正プロファイル」)をインストールさせ、端末固有情報の窃取を試みます。
図:iOSの場合に誘導される不正サイトの表示例
英語で「ネットワークセキュリティのアップグレード」を促すメッセージが表示される
図:不正プロファイルのインストール時にiOSが表示する確認の例
「構成プロファイル」とは、iOS の各種設定を自動的に行うための仕組みです。この仕組みを悪用する不正プロファイルの攻撃としては、2017年に「iXintpwn(アイシントポウン)(別名:YJSNPI(ヤジュウセンパイ)ウイルス)」やリパックアプリをインストールさせようとする攻撃が確認されています。
今回の事例で不正プロファイルをインストールしてしまうと、端末やSIMカードの固有情報、OSバージョンや製品情報が攻撃者の元に送信される仕組みになっていました。また、最終的にはApple社を偽装するフィッシングサイトへ誘導されます。
図:不正プロファイル内に含まれている取得する情報の記述例
図:最終的に誘導されるフィッシングサイトの表示例
■被害に遭わないためには
モバイル利用者に対し、有名企業やサービスを詐称するメールやSMSを利用し、不正なサイトへ誘導する手口は常套的な手法となっています。誘導先サイトのURLが該当企業やサービスの正規URLであるかどうかを確認してください。また、公式アプリストアまたは信頼できるアプリストアからのみアプリをインストールしてください。一般のWebサイト利用時にアプリのインストールを促された場合には、その正当性を確認し、必要なものであるかどうかを判断してください。
iOSに対し、不正な構成プロファイルを利用する攻撃は今後も発生する可能性があります。日本語環境のiOSの場合、構成プロファイルのインストール開始時には以下のような表示があります。意図せずインストールが開始された場合には安易にインストールを許可せず、正当性の確認を行ってください。
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や、関連する不正 Webサイトのブロックに対応しています。
「Trend Micro Mobile Security」は、モバイルデバイス、アプリケーション、データの可視化と制御を標準装備の単一コンソールで実現するとともに、脆弱性攻撃や不正アクセスから端末を保護し、マルウェアや不正なWebサイトをブロックします。
※調査協力: 原 弘明、小林 恵子(Trend Micro Research)
※本記事内の画像について、直接の危険や権利侵害に繋がりかねないと判断される部分には修正を施しています