トレンドマイクロは、2018年のモバイルの脅威動向において、オンライン銀行詐欺ツール(バンキングトロジャン)が検出回避とさらなる収益化を目的として戦略と手法を多様化していることを報告しました。Android端末向け不正アプリ「Anubis」の場合、通常のバンキングトロジャンでは見られないようなその他の不正活動のための機能も備えています。初めてAnubisが確認されて以来、サイバー諜報活動を目的とした使用から、情報窃取とランサムウェアのような機能を組み合わせたバンキングマルウェアへの変化まで、Anubisにはいくつかの変更が施されました。2019年1月中旬には、サンドボックス解析を回避するためのモーションセンサの利用や個人情報(Personally Identifiable Information、PII)を窃取するオーバーレイ画面など、Anubisが多数の手法を使用したことが確認されました。
(さらに…)
宅配荷物の不在通知を偽装するSMSの攻撃は継続してその手口を変化させています。前回3月の記事では新たに携帯電話事業者Webページを偽装した手口をお伝えしましたが、この4月にはまた別の事業者のWebページを偽装する手口にシフトしてきました。この不正アプリ拡散をねらう偽装SMSの攻撃では、去年前半にも活発に詐称する業者を変えていましたが今後も同様の変化に注意が必要です。
続きを読む偽装SMSを発端とする国内スマートフォン利用者を狙った攻撃の継続と新たな変化については3月15日の記事にてお知らせしました。本記事ではその新たな変化についてより詳細な解析をお伝えします。この攻撃で使用されるAndroid向け不正アプリとして、トレンドマイクロは「XLoader」の新しい亜種(「AndroidOS_XLoader.HRXD」として検出)の拡散を確認しました。2018年12月11日の記事で報告した以前のバージョンは、FacebookやChromeのような正規アプリに偽装して情報を窃取するAndroid端末向け不正アプリでした。今回確認された亜種は、Android端末に対しては正規セキュリティアプリに偽装して端末に侵入します。また、iPhoneなどのiOS端末に対してはiOSの構成プロファイルをインストールさせることで端末情報を窃取します。このようなデプロイ手法に加えて、コマンドや、コマンド&コントロール(C&C)サーバのアドレスを隠ぺいするSNSの種類にも変化が確認されました。新しい亜種は、前回の調査における最新バージョンに続けて6.0とラベル付けされています。
■感染の流れ
図1:XLoaderの感染の流れ
昨年2018年を通じ拡大した宅配業者の偽装SMSを発端としたAndroid不正アプリ拡散を狙う攻撃は、現在も続いています。またAndroid端末だけでなく、iPhoneなどiOS端末でアクセスした場合にもフィッシングサイトへ誘導する動きも確認されており、スマートフォンを中心としたモバイル機器全体を狙う攻撃となっていることはこれまでも報告してまいりました。この国内のモバイル機器全体を狙う継続した攻撃の中で、新たな動きが2つ確認されました。1つは誘導先の不正サイトが詐称する企業の変化です。これまでの宅配業者から新たに、携帯電話事業者Webページの偽装が確認されました。もう1つは、誘導先の不正サイト上でiOS端末の固有情報を窃取するために不正な構成プロファイルを使用する手口です。
続きを読むトレンドマイクロは、通常のアプリに偽装してユーザの情報を窃取するAndroid端末向け不正アプリ「MobSTSPY」(「ANDROIDOS_MOBSTSPY」ファミリとして検出)をGoogle Playで確認しました。MobSTSPYは、端末の情報を窃取するだけでなく、FacebookやGoogleのログイン画面に偽装したフィッシングページをを利用してユーザの認証情報を窃取します。
MobSTSPYファミリとして確認された6つの不正アプリ、「Flappy Birr Dog」「FlashLight」、「HZPermis Pro Arabe」、「Win7imulator」、「Win7Launcher」、「Flappy Bird」のうち、5つは2018年2月以降Google Playで停止されており、本記事執筆時点(2019年1月3日)ではすべてが削除されています。「Win7imulator」は世界中のユーザによってすでに10万回以上ダウンロードされていました。
図1:ゲームアプリに偽装した不正アプリ「Flappy Birr Dog」
トレンドマイクロは、カメラアプリに偽装した複数のAndroid端末向け不正アプリ(「AndroidOS_BadCamera.HRX」として検出))をGoogle Playで確認しました。これらの不正アプリは、遠隔サーバから設定をダウンロードしてポップアップ広告を表示し、クリックしたユーザをフィッシングサイトやポルノアプリに誘導します。他にも、ユーザがアップロードした画像を窃取する、画像加工アプリに偽装した不正アプリも確認されています。これらの中にはすでに百万回以上ダウンロードされている不正アプリもありました。カメラアプリや画像加工アプリの人気を考えると、このようなダウンロード数は驚くべきことではありません。ダウンロードの大半はインドを中心としたアジアからのものでした。
本記事執筆時点(2019年1月30日)でGoogle はすでにこれらの不正アプリをGoogle Playから削除しています。
図 1:Google Playで確認された不正なカメラアプリ
トレンドマイクロは2019年1月、感染端末にオンライン銀行詐欺ツール(バンキングトロジャン)をドロップするAndroid端末向け不正アプリ(「ANDROIDOS_ANUBISDROPPER」として検出)をGoogle Playで2つ確認しました。これらの不正アプリはユーティリティアプリに偽装しており、「Currency Converter」および「BatterySaverMobi」という名前が付けられていました。Googleはすでにこれらの不正アプリをGoogle Playから削除しています。
図 1:Google Playで確認された不正アプリ
「BatterySaverMobi」と「Currency Converter」
ユーザの望まない広告表示活動を行う「アドウェア」は、長い間ユーザを煩わせてきた課題であり、現在もその状況は変わりません。事実、トレンドマイクロは2018年12月に、Android端末向けアドウェアアプリ(「AndroidOS_HidenAd」ファミリとして検出)を85個確認しました。これらのアドウェアアプリは、Google Play上で、ゲーム、テレビ視聴、およびテレビ用リモコン等のアプリに偽装しており、世界全体で合計約900万回ダウンロードされていました。Googleはトレンドマイクロの通知を検証し、迅速にこれらの偽アプリを公開停止にしました。
確認された偽アプリは、全画面広告の表示、アイコンの隠ぺい、端末ロック解除操作の監視機能を備えており、アイコンを非表示にした後はバックグラウンドで動作を続けます。
図 1:アドウェアが埋め込まれたGoogle Play上の偽アプリ
トレンドマイクロは、ボイスメッセンジャーアプリに偽装した複数のAndroid端末向け不正アプリをGoogle Playで確認しました。これらの不正アプリは、偽のアンケート調査ページを自動的にポップアップさせる機能や、広告の自動クリックのような機能を備えています。2018年10月以降、検出回避機能や多段階の感染挙動が追加されたこの不正アプリの亜種が、次々とGoogle Playで公開されています。解析した検体のモジュール化された機能には1.0というバージョンが付けられており、サイバー犯罪者は、ボットネットを利用した攻撃のような将来の不正活動に備えて機能を追加している過程にあると考えられます。感染数はまだそれほど多くありませんが、早いペースで開発とGoogle Playへの公開が進められています。この不正アプリのアップロード数およびダウンロード数の増加は、今後も継続的な監視が必要であることを示しています。問題の偽アプリはすでにGoogle Playから削除されています。
本記事では偽アプリの1つを例に挙げ、共通する挙動について解説します。トレンドマイクロは、7つのアプリケーションIDを特定し、検体を解析しました。すべての検体が類似したコードと挙動を備えていることから、今後もモジュールの追加とGoogle Playへの公開が続くと予想されます。
続きを読むAndroid 端末向け不正アプリ「XLOADER(エックスローダ)」および「FAKESPY(フェイクスパイ)」は、モバイル端末を狙う脅威状況の中で近年流行している 2 つのマルウェアファミリです。本ブログでも、XLOADER については 2018 年 4 月の記事で、FAKESPY については 2018 年 6 月の記事で報告しています。XLOADER は、正規アプリに偽装してユーザから個人情報および金融機関情報を窃取する不正アプリで、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる手法を利用して拡散します。正規アプリになりすます点は同じですが、FAKESPY は、テキストメッセージ(ショートメッセージ、SMS)を利用してユーザを不正な Web ページに誘導する「スミッシング(SMS+Phishing)」によって拡散します。
2018 年 10 月の時点で、XLOADER および FAKESPY の検出数は、世界全体で合計 384,748 件となっており、その大部分は日本および韓国のユーザです。
図 1:Android 端末向け不正アプリ「XLOADER」および「FAKESPY」の月別検出数
