ホーム » モバイル

Android端末向け不正アプリ「XLOADER」と「FAKESPY」に類似点、中国のサイバー犯罪集団「Yanbian Gang」とのつながりを示唆

投稿日:2018年12月11日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

Android 端末向け不正アプリ「XLOADER（エックスローダ）」および「FAKESPY（フェイクスパイ）」は、モバイル端末を狙う脅威状況の中で近年流行している２つのマルウェアファミリです。本ブログでも、XLOADER については 2018 年 4 月の記事で、FAKESPY については 2018 年 6 月の記事で報告しています。XLOADER は、正規アプリに偽装してユーザから個人情報および金融機関情報を窃取する不正アプリで、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる手法を利用して拡散します。正規アプリになりすます点は同じですが、FAKESPY は、テキストメッセージ（ショートメッセージ、SMS）を利用してユーザを不正な Web ページに誘導する「スミッシング（SMS＋Phishing）」によって拡散します。

2018 年 10 月の時点で、XLOADER および FAKESPY の検出数は、世界全体で合計 384,748 件となっており、その大部分は日本および韓国のユーザです。

図 1：Android 端末向け不正アプリ「XLOADER」および「FAKESPY」の月別検出数

(さらに…)

「2018 FIFAワールドカップ」から学ぶ : スポーツイベントに便乗する脅威

投稿日:2018年12月3日
脅威カテゴリ:不正プログラム, モバイル, フィッシング, スパムメール, サイバー犯罪, Webからの脅威
執筆:Trend Micro

ワールドカップのようなイベントではセキュリティ上の問題が発生します。会場から観客、選手やチーム関係者まですべてを物理的に警備するだけでなく、サイバーセキュリティ対策も同様に重要です。

2018年6月14日から7月15日までロシアで開催された第21回目のFIFAワールドカップは、世界人口のほぼ半数が観戦するという、史上最も注目されたスポーツイベントの1つとなりました。数字だけを見てもその注目度がうかがえます。視聴率も驚異的でしたが、このイベントを主催したロシアは推定約120億米ドル（2018年11月20日時点で約1兆3,546億円）を費やし、FIFAや他の関係組織へは数十億米ドル（約数千億円）の収益をもたらしました。規模に関して言えば、この2018 FIFAワールドカップは他のイベントの中でも比類ないスポーツイベントとなりました。

もちろん、これだけ大規模なイベントとなるとセキュリティの問題が発生します。会場や観客、選手やチーム関係者まですべてを警備する物理的なセキュリティの問題がまず挙げられます。加えて、Facebookで約240万回のインタラクション、Twitterで約2,800万回のツイートを発生させた「第51回スーパーボウル（Super Bowl LI ）」の例が示すように、インターネット上でも人気を博す大規模スポーツイベントにおいては、オンラインのセキュリティ対策も非常に重要です。

(さらに…)

大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取

Android 端末向け不正アプリ「FAKESPY（フェイクスパイ）」（「ANDROIDOS_FAKESPY.HRX」として検出）が確認されました。不正アプリの拡散には、サードパーティのアプリストアを利用する手法が一般的ですが、「CPUMINER」、「BankBot」、「MilkyDoor」のように、正規アプリストアである Google Play や App Store で不正アプリが公開されていた事例も確認されています。しかし、FAKESPY は、テキストメッセージ（ショートメッセージ、SMS）を利用して対象を不正な Web ページに誘導する「スミッシング（SMS＋Phishing）」によって拡散します。有名企業からのメッセージを偽装するこの手法は 1 月 15 日および 2 月 2 日の本ブログでお伝えした不正アプリの攻撃が継続しているものと言えます。

(さらに…)

DNS 設定書き換え攻撃によって拡散する Android 端末向け不正アプリ「XLOADER」を確認

2018 年 3 月上旬以降、日本、韓国、中国、台湾、そして香港を対象とする新しいネットワーク攻撃が確認されています。これは、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる攻撃で、総当たり攻撃や辞書攻撃のような手法を利用して DNS サーバに侵入し、設定を書き換えたものと考えられます。変更された DNS 設定によって誘導されるドメインは、Android 端末向け不正アプリ「XLOADER（エックスローダ）」（「ANDROIDOS_XLOADER.HRX」として検出）の拡散およびインストールに利用されています。

XLOADER は、DNS 設定の変更によって誘導されたドメインからユーザの端末に送信される通知によって拡散し、正規の Facebook アプリまたは Chrome アプリに偽装しています。この不正アプリは、個人情報や金融機関情報、インストールされているアプリ一覧情報などを窃取します。また、感染端末を乗っ取って SMS を送信したり、管理者権限を利用して設定の変更を防いだり、活動を継続したりすることが可能です。

図 1：偽の Facebook アプリおよび Chrome アプリ（赤枠）
(さらに…)

「Monero」を発掘する Android 端末向け不正アプリ「HIDDENMINER」、端末に不具合を発生させる可能性も

投稿日:2018年4月3日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

トレンドマイクロは、感染端末の計算能力を盗用して仮想通貨「Monero（XMR）」を発掘する Android 端末向け不正アプリ「HIDDENMINER（ヒドゥンマイナー）」（「ANDROIDOS_HIDDENMINER」として検出）を確認しました。この不正アプリは、ユーザが感染に気付かないように自身を隠ぺいし、管理者権限を悪用することによって活動を継続する機能を備えています。管理者権限の悪用は、「SLocker」のような Android 端末向けランサムウェアでよく確認されていた手法です。

HIDDENMINER をさらに詳しく解析したところ、この不正アプリに関連する発掘プールとウォレットアドレスを確認することができました。あるウォレットアドレスからは 26 XMR（2018 年 4 月 2 日時点で約 495,000 円）の Monero が引き出されていたことも判明しています。ウォレットアドレスの利用状況から、感染端末を利用した非常に活発な仮想通貨発掘活動が行われていることが分かりました。

HIDDENMINER は端末の CPU の計算能力を利用して Moneroを発掘しますが、発掘活動を停止する機能は無く、制御や最適化も行いません。そのため、端末のリソースを消費し尽くすまで発掘を続けます。これによって端末が過熱し、場合によっては物理的な損傷が発生する可能性もあります。

(さらに…)

続報：ルータの DNS 設定変更による不正アプリ感染事例で新たな不正サイトを確認

昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、トレンドマイクロでは新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。

図：新たに確認された不正サイトに Android OS でアクセスした場合の表示例

(さらに…)

不正アプリをダウンロードさせるルータの DNS 設定書き換え攻撃が発生

トレンドマイクロでは、日夜多くのサイバー攻撃を監視しています。その監視の中で、この 3 月中旬ころから、ルータを侵害して DNS を書き換え、ルータ配下の端末を不正サイトへ誘導して Android 向け不正アプリを強制的にダウンロードさせる攻撃が国内で発生していることを確認しました。トレンドマイクロとしては現時点で侵害されたルータ自体の調査が行えておらず、攻撃手法の全貌については確認できておりませんが、当社として確認できている実際の被害について本ブログ記事において注意喚起します。

図：Android OS で今回確認された攻撃で誘導される不正サイトにアクセスした場合の表示例

(さらに…)

Android 端末向け不正アプリ「PORIEWSPY」を利用した諜報活動をインドで確認

投稿日:2018年2月5日
脅威カテゴリ:モバイル, サイバー攻撃
執筆:Trend Micro

トレンドマイクロは、2017 年末から、Android 端末ユーザを標的とする諜報活動を確認してきました。今回報告する攻撃では、インドのユーザを狙った Android 端末向け不正アプリが利用されており、その背後には、以前政府職員を標的とした攻撃で確認されたハッカー集団がいると考えられます。弊社は当該アプリを「PORIEWSPY（ポリュースパイ）」と名付け、「ANDROIDOS_PORIEWSPY.HRX」として検出対応しています。共通のコマンド&コントロール（C&C）サーバを利用していることから、同集団は、「DroidJack／SandroRAT」（「ANDROIDOS_SANRAT.A」として検出）を元に作成された不正アプリも利用してると考えられます。DroidJackは感染した Android 端末を完全に操作することのできる「Remote Access Tool（RAT）」です。

これらの不正アプリの背後にいる攻撃者は、2016 年に報告されたサイバー諜報活動集団と関連しているかもしれませんが、この集団が以前の活動とは関係の無い別の攻撃を開始している可能性もあります。

(さらに…)

Facebook の認証情報を窃取するAndroid端末向け不正アプリ「GHOSTTEAM」を確認

投稿日:2018年1月24日
脅威カテゴリ:モバイル
執筆:Trend Micro

Facebook の認証情報を窃取する Android端末向け不正アプリ「GHOSTTEAM」を確認

トレンドマイクロは、Facebook アカウントの認証情報を窃取し、不正に広告を表示する Android端末向け不正アプリ「GHOSTTEAM（ゴーストチーム）」（「ANDROIDOS_GHOSTTEAM」として検出）を合計 53 個、 Google Play 上で確認しました。当該不正アプリの多くは早くも 2017 年 4 月、ほぼ同時期にまとめて Google Play に公開されているようです。解析した検体の多くは Google Play の説明も含めてベトナム語で書かれていました。

(さらに…)

iPhoneやMacをクラッシュさせる不具合「chaiOS」

投稿日:2018年1月23日
脅威カテゴリ:モバイル, 脆弱性
執筆:Trend Micro

iPhoneや Macをクラッシュさせる不具合「chaiOS」

ソフトウェア開発者の Abraham Masri氏は、Appleの端末機器に影響を与える不具合を確認し、「chaiOS」と命名しました。かつて、iMessageアプリをクラッシュさせる「Effective Power」と呼ばれる不具合が報告されましたが、今回の chaiOS もそれと同様に iMessageアプリをクラッシュさせる不具合です。chaiOSは、細工したデータを送信することにより、受信者のアプリを繰り返しクラッシュさせる「メッセージ爆弾」を可能にします。

(さらに…)

Page 1 of 2012 › »