「2014 FIFA ワールドカップ」に便乗する脅威、Android端末も視野に。偽アプリ多数確認

2014年6月12日、「2014 FIFA ワールドカップ」がブラジルで開幕しました。この世界的なイベントは、各出場国を支持するファンを熱狂の渦に巻き込んでいます。しかし、サイバー犯罪者もまた、このお祭りムードにつけ込もうとしています。

今月に入ってから、インターネット上で数多くのフィッシング詐欺が確認され、また社会的・政治的な主張を目的としたハッキング活動を行う「ハクティビスト（hactivist）」によって 2つのブラジル政府関連の Webサイト（サンパウロ軍警察およびワールドカップの公式サイト）が一時停止しました。そしてさらに、サイバー犯罪者はモバイルも視野に入れ始めました。これまでに、少なくとも 375 のワールドカップに便乗した不正なアプリが確認されています。トレンドマイクロは、こうしたアプリが、未承認のサードパーティのアプリストアに潜み、ユーザがモバイル端末にインストールするのを待ち構えていることを確認しました。

弊社の解析の結果、この Android端末を狙った大量の不正プログラムは、モバイル上で感染が広がっている不正プログラムのファミリの亜種であることが分かりました。

■偽のモバイルアプリ
今回確認された不正プログラムの 1つは、「ANDROIDOS_OPFAKE.CTD」として検出される「OPFAKE」ファミリの亜種です。この問題のファミリは、2013年5月に初めて確認されており、人気のアプリに似せた偽アプリとして販売されています。この偽アプリは、「高額料金が発生するサービス悪用」、連絡先やメッセージなどの個人情報の収集、不正なリンクやショートカットをモバイル端末のホーム画面に設定する、などの不正活動を行います。「ANDROIDOS_OPFAKE.CTD」の検出件数は、約 1年で 10万に到達し、1万4千707 の偽アプリが確認されています。

弊社はまた、このアプリが接続するリモートサーバには、66 の異なるドメインがあり、それぞれのドメインは、Bitcoin（ビットコイン）取引所「MtGox.com」のような有名な Webサイトになりすましていることを明らかにしました。

図1：ワールドカップに便乗した偽のゲームアプリ

図2：「高額料金が発生するサービス悪用」を行う偽のゲームアプリ

■SMSフィルタと情報収集
ワールドカップの熱狂に便乗したもう 1つの不正プログラムは、「ANDROIDOS_SMSSTEALER.HBT」です。このファミリの亜種は、「OPFAKE」に類似した詐欺とだましの手法を用いますが、異なる点が 1つあります。それは、この不正プログラムが自身のコマンド＆コントロール（C&C）サーバに接続し、コマンドの受信および実行をすることです。また、この不正プログラムの一部には、SMSフィルタを追加して、特定の受信メッセージをブロックもしくは隠ぺいしたり、SMS のメッセージ（以下、テキストメッセージ）の送信や、別の不正プログラムをインストールするものもあります。

図3：偽のワールドカップのゲームアプリ

弊社がこの C&Cサーバを解析したところ、76 のドメインがあり、そのすべてが「Tanasov Hennadiy」という名前で登録されていました。弊社ではまた、この C&Cサーバは、サードパーティのアプリストアをホストしていることを確認しました。これらのサードパーティのアプリストアでは、ほとんどのアプリがリパックされ、広告表示と情報収集の不正活動を行います。

図4：C&Cサーバのドメインの登録者名と住所

図5：ホストされた不正なアプリおよびファイルの一覧

■「高額料金が発生するサービス悪用」
弊社ではまた、過去の記事で言及したトロイの木馬型不正プログラムが、ワールドカップに便乗したサイバー犯罪の一部を担っていることを確認しました。「ANDROIDOS_OPFAKE.HTG」として検出されるこの新しい亜種は、典型的な「高額料金が発生するサービス悪用」を行う不正プログラムで、ユーザは、この不正プログラムにより、何も購入していないにも関わらず、高額な請求を受けることになります。

図6：「高額料金が発生するサービス悪用」を行う偽のワールドカップのゲームアプリ

■スロットゲーム詐欺
また、弊社では、「ANDROIDOS_MASNU.HNT」と検出される不正なワールドカップのスロットゲームアプリを確認しています。この不正アプリは、ユーザの支払い確認のメッセージを隠ぺいするため、ユーザはゲームをした際に、実際にいくら支払ったかを知らされません。そのため、際限なしに使ってしまう可能性があります。

図7：不正なワールドカップのスロットゲームアプリ

サッカーの試合予想を賭けるアプリには、ユーザが気づかないうちに情報が漏えいするものや、少額決済を行う際、明らかにセキュリティを侵害するものなどが確認されています。ユーザは、このようなアプリを使用するときは、金銭や個人情報の保護には十分注意を払って下さい。こうしたアプリを使用しないことも 1つの手です。

こうした不正プログラムに加え、弊社では、ワールドカップに便乗した数多くの高リスクアプリを確認しています。こうしたアプリのほとんどが、情報収集を行ったり、広告を勝手に表示するなどの不正活動を行います。

ワールドカップのような世界的なスポーツイベントに便乗してサイバー攻撃が行なわれるのは避けられません。しかし、その被害者にならないようにすることは可能です。ユーザは、モバイル端末を保護するために、不審なサードパーティのアプリストアからダウンロードせず、また、モバイル端末用のセキュリティ対策製品を取り入れるとよいでしょう。トレンドマイクロ製品をご利用のお客様は、「ウイルスバスター モバイル」「Trend Micro Mobile Security」により守られています。

参考記事：

　翻訳：品川　暁子（Core Technology Marketing, TrendLabs）