トレンドマイクロは、Google Play 上に公開された 340個のアプリに、広告のクリックを自動的にカウントするアドウェアが組み込まれているのを確認しました。弊社は、このアドウェアを「GhostClicker(ゴーストクリッカー)」(「ANDROIDOS_GHOSTCLICKER.AXM」として検出)と名づけました。問題の GhostClicker が組み込まれたアプリの1つに、既に 100万回以上ダウンロードされている「Aladdin’s Adventures World」というゲームアプリがあり、これ以外にも、クリーナやブースタのような最適化ツール、ファイル管理、QRスキャナやバーコードスキャナ、マルチメディアレコーダやプレーヤ、充電管理ツール、GPSやナビゲーションアプリなどが確認されています。
続きを読む2017 年 7 月に確認された「SLocker」の亜種は、感染端末のファイルを暗号化するランサムウェアでした。それとは異なり、今回新しく確認された Android 端末向けランサムウェア「LeakerLocker(リーカーロッカー)」(「ANDROIDOS_LEAKERLOCKER.HRX」として検出)は、遠隔サーバに送信した個人情報を連絡先に登録されたすべての宛先に転送すると脅すことによってユーザの恐怖心をあおります。
LeakerLocker を含む不正アプリは「Google Play」上で 3 つ確認されており、名称はそれぞれ「Wallpapers BlurHD」、「Booster & Cleaner Pro」、「Call Recorder」です。これらのアプリは既に Google Play から削除されています。これら 3 つのアプリが同一人物によって作成された証拠はありませんが、いずれも LeakerLocker を含んでいたことを考えると、その可能性は極めて高いと言えます。類似した名称のアプリが Google Play 上で確認できますが、今回確認された不正アプリとの関連は分かっていません。むしろこれは、正規アプリに紛れ込ませるために、攻撃者が一般的なアプリを模倣して不正アプリを作成したと考えるのが自然です。トレンドマイクロは、これら 3 つの不正アプリについて既に Google に通知しています。
本記事では、LeakerLocker を含むアプリの 1 つ「Call Recorder」を取り上げ、詳細に解説します。
続きを読む2017 年 6 月にイスラエルの病院への攻撃が確認された「RETADUP(レタダップ)」は、ワーム活動で拡散し、バックドア活動によって情報を窃取するマルウェアです。Windows を狙ったこの事例は攻撃の一部に過ぎず、少なくとも対象となるプラットフォームは当初の想定よりも広範であることが判明しました。イスラエルの事例に続き、今回、より多くの機能を備えた Android 端末向け不正アプリが確認されています。
続きを読むサイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム(OS)に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。
今回解説する「ADWIND(アドウィンド)(「JAVA_ADWIND」ファミリとして検出。別名:jRAT)」は、そのようなクロスプラットフォームの「Remote Access Tool(RAT)」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。
続きを読む2017年7月2日、モバイル向けランサムウェア「SLocker(エスロッカー)」の新しい亜種(「ANDROIDOS_SLOCKER.OPST」として検出)が確認されました。この亜種は、5月中旬に世界的に拡散した暗号化型ランサムウェア「WannaCry」の GUI をコピーしていました。SLockerファミリは、最も古くから拡散している端末ロック型および暗号化型ランサムウェアの一種で、ユーザに身代金を支払わせるために法執行機関を偽装する「ポリスランサム」の手口を利用します。ここ数年間あまり活動は確認されていませんでしたが、2017年5月に突然復活しました。この亜種は Android端末を狙う暗号化型ランサムウェアであること、そして先日の WannaCry の成功に便乗しようと企む最初のモバイル端末向けランサムウェアであることが特徴です。
続きを読む2017年4月下旬、友人が路上で iPhone を盗まれるという被害に遭いました。残念なことに、ブラジルのような国の大都市圏では珍しくない事件です。彼は新しい iPhone を購入しましたが、便宜のために以前と同じ電話番号を使用することにしました。その後何事もなく過ごしていたある日、彼は Facebook のパスワードが窃盗犯によって変更されたことに気付きました。
幸い Facebook のアカウントには電話番号を連携させていたので、彼はパスワードを取り戻し更新することができました。しかし、窃盗犯が被害者の Facebookアカウントにアクセスするとは不可解なことです。大抵、窃盗犯は盗んだ iPhone を自身で利用するか、あるいは転売するのが目的のはずです。なぜ被害者の Facebookアカウントに興味があるのでしょうか。事件はそこで終わらず、翌日、友人の新しい iPhone にフィッシング詐欺の SMS のメッセージ(以下、テキストメッセージ)が送信されました。
この事例で注目したいのは、サイバー空間での犯罪と現実世界での犯罪の境界線が曖昧になっている点です。具体的には、iPhone を盗んだ窃盗犯とフィッシング詐欺のテキストメッセージを送信したサイバー犯罪者間に明らかに連携が見られ、巧妙な攻撃を可能にしています。
続きを読むトレンドマイクロは、2017 年 3 月末の時点で、Android 端末向けのバックドア型不正アプリ「MilkyDoor」(「ANDROIDOS_MILKYDOOR.A」として検出)が仕掛けられた 200 個のアプリを「Google Play」上で確認しました。その中には、50万~100万 回インストールされたアプリも確認されています。どこからでも情報にアクセスできる利便性により、ますます多くのモバイル機器がプラットフォームとして利用される中、企業に大きな影響を与えるモバイル端末向け不正アプリによる感染も増加しています。
MilkyDoor は、「Socket Secure(SOCKS)プロトコル」を利用したプロキシを用いて、不正アプリに感染したモバイル端末が接続している内部ネットワークに足掛かりを築くという手法を用います。これは、2016年4月に確認された、企業の内部ネットワーク侵入の足掛かりとなる Android 端末向け不正アプリのファミリ「DressCode(ドレスコード)」(「ANDROIDOS_SOCKSBOT.A」として検出)に類似しています。MilkyDoor は、SOCKS プロキシを設置することによって、企業が予期せぬうちに、サイバー犯罪者がネットワークを偵察し脆弱なサービスにアクセスする手段を提供します。この不正活動はユーザが知らないうちに同意無しで実行されます。
続きを読む2017年1月に報告したマイクロソフトアカウントを狙うフィッシング詐欺事例のように、Google アカウント、Apple ID、Yahoo! アカウントといった複数のクラウドサービスの使用に利用可能なマルチサービスアカウントの詐取を狙う攻撃が目立ってきています。トレンドマイクロではそのようなフィッシングサイトの事例として、「Google Play」を偽装し、Google アカウントの詐取を狙う日本語フィッシングサイトを確認しました。このフィッシングサイトに関しては特に大規模な誘導は確認されていませんが、携帯電話のテキストメッセージ(ショートメッセージサービス、SMS)による誘導も確認されており、特徴的な事例であるため情報共有いたします。
![図1:](/wp-content/uploads/2017/02/170216comment01.png)
図1:「Google Play」を偽装した日本語フィッシングサイトの例