ホーム » モバイル

国内スマートフォン利用者を狙う新たな動きを詳細解説

投稿日:2019年4月3日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

偽装SMSを発端とする国内スマートフォン利用者を狙った攻撃の継続と新たな変化については3月15日の記事にてお知らせしました。本記事ではその新たな変化についてより詳細な解析をお伝えします。この攻撃で使用されるAndroid向け不正アプリとして、トレンドマイクロは「XLoader」の新しい亜種（「AndroidOS_XLoader.HRXD」として検出）の拡散を確認しました。2018年12月11日の記事で報告した以前のバージョンは、FacebookやChromeのような正規アプリに偽装して情報を窃取するAndroid端末向け不正アプリでした。今回確認された亜種は、Android端末に対しては正規セキュリティアプリに偽装して端末に侵入します。また、iPhoneなどのiOS端末に対してはiOSの構成プロファイルをインストールさせることで端末情報を窃取します。このようなデプロイ手法に加えて、コマンドや、コマンド&コントロール（C&C）サーバのアドレスを隠ぺいするSNSの種類にも変化が確認されました。新しい亜種は、前回の調査における最新バージョンに続けて6.0とラベル付けされています。

■感染の流れ

図1：XLoaderの感染の流れ

(さらに…)

Google Playでスパイウェアを確認、偽のログイン画面を利用したフィッシング攻撃も実行

投稿日:2019年2月8日
脅威カテゴリ:モバイル, フィッシング
執筆:Trend Micro

トレンドマイクロは、通常のアプリに偽装してユーザの情報を窃取するAndroid端末向け不正アプリ「MobSTSPY」（「ANDROIDOS_MOBSTSPY」ファミリとして検出）をGoogle Playで確認しました。MobSTSPYは、端末の情報を窃取するだけでなく、FacebookやGoogleのログイン画面に偽装したフィッシングページをを利用してユーザの認証情報を窃取します。

MobSTSPYファミリとして確認された6つの不正アプリ、「Flappy Birr Dog」「FlashLight」、「HZPermis Pro Arabe」、「Win7imulator」、「Win7Launcher」、「Flappy Bird」のうち、5つは2018年2月以降Google Playで停止されており、本記事執筆時点（2019年1月3日）ではすべてが削除されています。「Win7imulator」は世界中のユーザによってすでに10万回以上ダウンロードされていました。

図1：ゲームアプリに偽装した不正アプリ「Flappy Birr Dog」

(さらに…)

カメラアプリに偽装した不正アプリをGoogle Playで確認、ポップアップ広告を介してフィッシングサイトやポルノアプリに誘導

トレンドマイクロは、カメラアプリに偽装した複数のAndroid端末向け不正アプリ（「AndroidOS_BadCamera.HRX」として検出）)をGoogle Playで確認しました。これらの不正アプリは、遠隔サーバから設定をダウンロードしてポップアップ広告を表示し、クリックしたユーザをフィッシングサイトやポルノアプリに誘導します。他にも、ユーザがアップロードした画像を窃取する、画像加工アプリに偽装した不正アプリも確認されています。これらの中にはすでに百万回以上ダウンロードされている不正アプリもありました。カメラアプリや画像加工アプリの人気を考えると、このようなダウンロード数は驚くべきことではありません。ダウンロードの大半はインドを中心としたアジアからのものでした。

本記事執筆時点（2019年1月30日）でGoogle はすでにこれらの不正アプリをGoogle Playから削除しています。

図 1：Google Playで確認された不正なカメラアプリ

(さらに…)

モバイルバンキングを狙う不正アプリ「Anubis」をGoogle Playで確認、モーションセンサーを利用して検出を回避

投稿日:2019年1月22日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

トレンドマイクロは2019年1月、感染端末にオンライン銀行詐欺ツール（バンキングトロジャン）をドロップするAndroid端末向け不正アプリ（「ANDROIDOS_ANUBISDROPPER」として検出）をGoogle Playで2つ確認しました。これらの不正アプリはユーティリティアプリに偽装しており、「Currency Converter」および「BatterySaverMobi」という名前が付けられていました。Googleはすでにこれらの不正アプリをGoogle Playから削除しています。

図 1：Google Playで確認された不正アプリ
「BatterySaverMobi」と「Currency Converter」

(さらに…)

Google Playにアドウェアを含む偽アプリ、既に900万回ダウンロード

投稿日:2019年1月10日
脅威カテゴリ:モバイル
執筆:Trend Micro

ユーザの望まない広告表示活動を行う「アドウェア」は、長い間ユーザを煩わせてきた課題であり、現在もその状況は変わりません。事実、トレンドマイクロは2018年12月に、Android端末向けアドウェアアプリ（「AndroidOS_HidenAd」ファミリとして検出）を85個確認しました。これらのアドウェアアプリは、Google Play上で、ゲーム、テレビ視聴、およびテレビ用リモコン等のアプリに偽装しており、世界全体で合計約900万回ダウンロードされていました。Googleはトレンドマイクロの通知を検証し、迅速にこれらの偽アプリを公開停止にしました。

確認された偽アプリは、全画面広告の表示、アイコンの隠ぺい、端末ロック解除操作の監視機能を備えており、アイコンを非表示にした後はバックグラウンドで動作を続けます。

図 1：アドウェアが埋め込まれたGoogle Play上の偽アプリ

(さらに…)

Google Playで複数の偽音声アプリを確認、ボットネット構築機能の追加が予想される

投稿日:2018年12月20日
脅威カテゴリ:モバイル, ボットウイルス
執筆:Trend Micro

トレンドマイクロは、ボイスメッセンジャーアプリに偽装した複数のAndroid端末向け不正アプリをGoogle Playで確認しました。これらの不正アプリは、偽のアンケート調査ページを自動的にポップアップさせる機能や、広告の自動クリックのような機能を備えています。2018年10月以降、検出回避機能や多段階の感染挙動が追加されたこの不正アプリの亜種が、次々とGoogle Playで公開されています。解析した検体のモジュール化された機能には1.0というバージョンが付けられており、サイバー犯罪者は、ボットネットを利用した攻撃のような将来の不正活動に備えて機能を追加している過程にあると考えられます。感染数はまだそれほど多くありませんが、早いペースで開発とGoogle Playへの公開が進められています。この不正アプリのアップロード数およびダウンロード数の増加は、今後も継続的な監視が必要であることを示しています。問題の偽アプリはすでにGoogle Playから削除されています。

本記事では偽アプリの1つを例に挙げ、共通する挙動について解説します。トレンドマイクロは、７つのアプリケーションIDを特定し、検体を解析しました。すべての検体が類似したコードと挙動を備えていることから、今後もモジュールの追加とGoogle Playへの公開が続くと予想されます。

(さらに…)

Android端末向け不正アプリ「XLOADER」と「FAKESPY」に類似点、中国のサイバー犯罪集団「Yanbian Gang」とのつながりを示唆

投稿日:2018年12月11日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

Android 端末向け不正アプリ「XLOADER（エックスローダ）」および「FAKESPY（フェイクスパイ）」は、モバイル端末を狙う脅威状況の中で近年流行している２つのマルウェアファミリです。本ブログでも、XLOADER については 2018 年 4 月の記事で、FAKESPY については 2018 年 6 月の記事で報告しています。XLOADER は、正規アプリに偽装してユーザから個人情報および金融機関情報を窃取する不正アプリで、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる手法を利用して拡散します。正規アプリになりすます点は同じですが、FAKESPY は、テキストメッセージ（ショートメッセージ、SMS）を利用してユーザを不正な Web ページに誘導する「スミッシング（SMS＋Phishing）」によって拡散します。

2018 年 10 月の時点で、XLOADER および FAKESPY の検出数は、世界全体で合計 384,748 件となっており、その大部分は日本および韓国のユーザです。

図 1：Android 端末向け不正アプリ「XLOADER」および「FAKESPY」の月別検出数

(さらに…)

「2018 FIFAワールドカップ」から学ぶ : スポーツイベントに便乗する脅威

投稿日:2018年12月3日
脅威カテゴリ:不正プログラム, モバイル, フィッシング, スパムメール, サイバー犯罪, Webからの脅威
執筆:Trend Micro

ワールドカップのようなイベントではセキュリティ上の問題が発生します。会場から観客、選手やチーム関係者まですべてを物理的に警備するだけでなく、サイバーセキュリティ対策も同様に重要です。

2018年6月14日から7月15日までロシアで開催された第21回目のFIFAワールドカップは、世界人口のほぼ半数が観戦するという、史上最も注目されたスポーツイベントの1つとなりました。数字だけを見てもその注目度がうかがえます。視聴率も驚異的でしたが、このイベントを主催したロシアは推定約120億米ドル（2018年11月20日時点で約1兆3,546億円）を費やし、FIFAや他の関係組織へは数十億米ドル（約数千億円）の収益をもたらしました。規模に関して言えば、この2018 FIFAワールドカップは他のイベントの中でも比類ないスポーツイベントとなりました。

もちろん、これだけ大規模なイベントとなるとセキュリティの問題が発生します。会場や観客、選手やチーム関係者まですべてを警備する物理的なセキュリティの問題がまず挙げられます。加えて、Facebookで約240万回のインタラクション、Twitterで約2,800万回のツイートを発生させた「第51回スーパーボウル（Super Bowl LI ）」の例が示すように、インターネット上でも人気を博す大規模スポーツイベントにおいては、オンラインのセキュリティ対策も非常に重要です。

(さらに…)

大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取

Android 端末向け不正アプリ「FAKESPY（フェイクスパイ）」（「ANDROIDOS_FAKESPY.HRX」として検出）が確認されました。不正アプリの拡散には、サードパーティのアプリストアを利用する手法が一般的ですが、「CPUMINER」、「BankBot」、「MilkyDoor」のように、正規アプリストアである Google Play や App Store で不正アプリが公開されていた事例も確認されています。しかし、FAKESPY は、テキストメッセージ（ショートメッセージ、SMS）を利用して対象を不正な Web ページに誘導する「スミッシング（SMS＋Phishing）」によって拡散します。有名企業からのメッセージを偽装するこの手法は 1 月 15 日および 2 月 2 日の本ブログでお伝えした不正アプリの攻撃が継続しているものと言えます。

(さらに…)

DNS 設定書き換え攻撃によって拡散する Android 端末向け不正アプリ「XLOADER」を確認

2018 年 3 月上旬以降、日本、韓国、中国、台湾、そして香港を対象とする新しいネットワーク攻撃が確認されています。これは、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる攻撃で、総当たり攻撃や辞書攻撃のような手法を利用して DNS サーバに侵入し、設定を書き換えたものと考えられます。変更された DNS 設定によって誘導されるドメインは、Android 端末向け不正アプリ「XLOADER（エックスローダ）」（「ANDROIDOS_XLOADER.HRX」として検出）の拡散およびインストールに利用されています。

XLOADER は、DNS 設定の変更によって誘導されたドメインからユーザの端末に送信される通知によって拡散し、正規の Facebook アプリまたは Chrome アプリに偽装しています。この不正アプリは、個人情報や金融機関情報、インストールされているアプリ一覧情報などを窃取します。また、感染端末を乗っ取って SMS を送信したり、管理者権限を利用して設定の変更を防いだり、活動を継続したりすることが可能です。

図 1：偽の Facebook アプリおよび Chrome アプリ（赤枠）
(さらに…)

Page 1 of 2012 › »