ホーム » Android端末向け不正アプリ

「スパムボット」化した不正アプリにより、7 月に偽装 SMS 拡散が急拡大

2017 年末に登場し 2018 年を通じて継続して確認されている、有名企業を偽装するショートメッセージ（SMS）による Android 向け不正アプリの拡散ですが、この 7 月にはさらに攻撃規模を拡大していることがわかりました。この攻撃に関しては本ブログでも数回にわたり（1 月 15 日の記事、2 月 2 日の記事、6 月 26 日の記事）取り上げていますが、この 7 月には不正アプリ本体から自身を拡散させるための偽装 SMS を送信するなど、大きな活動内容の変化が見られました。この変化の影響は大きく、国内から多くのモバイル利用者が不正アプリをインストールさせる偽サイトへ誘導されていたことがわかりました。トレンドマイクロのクラウド型次世代セキュリティ技術基盤である「Smart Protection Network（SPN）」の統計から、この攻撃の偽装 SMS 経由で誘導される不正サイトに対し、国内モバイル端末からアクセスした利用者数を確認したところ、4~6 月の 3 カ月間を合わせても 1,600 件程度だったのに対して、7 月の 1 カ月間だけで 8,000 件を超えており、この 7 月に急激な攻撃の拡大が起こっていたことがわかります。

図：宅配物の不在通知を偽装した SMS メッセージの例

(さらに…)

大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取

Android 端末向け不正アプリ「FAKESPY（フェイクスパイ）」（「ANDROIDOS_FAKESPY.HRX」として検出）が確認されました。不正アプリの拡散には、サードパーティのアプリストアを利用する手法が一般的ですが、「CPUMINER」、「BankBot」、「MilkyDoor」のように、正規アプリストアである Google Play や App Store で不正アプリが公開されていた事例も確認されています。しかし、FAKESPY は、テキストメッセージ（ショートメッセージ、SMS）を利用して対象を不正な Web ページに誘導する「スミッシング（SMS＋Phishing）」によって拡散します。有名企業からのメッセージを偽装するこの手法は 1 月 15 日および 2 月 2 日の本ブログでお伝えした不正アプリの攻撃が継続しているものと言えます。

(さらに…)

「Monero」を発掘する Android 端末向け不正アプリ「HIDDENMINER」、端末に不具合を発生させる可能性も

投稿日:2018年4月3日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

トレンドマイクロは、感染端末の計算能力を盗用して仮想通貨「Monero（XMR）」を発掘する Android 端末向け不正アプリ「HIDDENMINER（ヒドゥンマイナー）」（「ANDROIDOS_HIDDENMINER」として検出）を確認しました。この不正アプリは、ユーザが感染に気付かないように自身を隠ぺいし、管理者権限を悪用することによって活動を継続する機能を備えています。管理者権限の悪用は、「SLocker」のような Android 端末向けランサムウェアでよく確認されていた手法です。

HIDDENMINER をさらに詳しく解析したところ、この不正アプリに関連する発掘プールとウォレットアドレスを確認することができました。あるウォレットアドレスからは 26 XMR（2018 年 4 月 2 日時点で約 495,000 円）の Monero が引き出されていたことも判明しています。ウォレットアドレスの利用状況から、感染端末を利用した非常に活発な仮想通貨発掘活動が行われていることが分かりました。

HIDDENMINER は端末の CPU の計算能力を利用して Moneroを発掘しますが、発掘活動を停止する機能は無く、制御や最適化も行いません。そのため、端末のリソースを消費し尽くすまで発掘を続けます。これによって端末が過熱し、場合によっては物理的な損傷が発生する可能性もあります。

(さらに…)

続報：ルータの DNS 設定変更による不正アプリ感染事例で新たな不正サイトを確認

昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、トレンドマイクロでは新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。

図：新たに確認された不正サイトに Android OS でアクセスした場合の表示例

(さらに…)

不正アプリをダウンロードさせるルータの DNS 設定書き換え攻撃が発生

トレンドマイクロでは、日夜多くのサイバー攻撃を監視しています。その監視の中で、この 3 月中旬ころから、ルータを侵害して DNS を書き換え、ルータ配下の端末を不正サイトへ誘導して Android 向け不正アプリを強制的にダウンロードさせる攻撃が国内で発生していることを確認しました。トレンドマイクロとしては現時点で侵害されたルータ自体の調査が行えておらず、攻撃手法の全貌については確認できておりませんが、当社として確認できている実際の被害について本ブログ記事において注意喚起します。

図：Android OS で今回確認された攻撃で誘導される不正サイトにアクセスした場合の表示例

(さらに…)

Android 端末向け不正アプリ「AndroRAT」の新しい亜種、古い権限昇格脆弱性を利用し端末をルート化

投稿日:2018年2月28日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

Android 端末向け不正アプリ「AndroRAT」（「ANDROIDOS_ANDRORAT.HRXC」として検出）の新しい亜種が確認されました。この不正アプリは「Remote Access Tool（RAT）」で、サイレントインストール、シェルコマンドの実行、Wi-Fi パスワードの収集、画面キャプチャのような不正活動のために、脆弱性を利用して端末をルート化します。この AndroRAT の亜種は、2016 年に公表された脆弱性「CVE-2015-1805」を利用し、権限を必要とするさまざまな不正活動を実行します。CVE-2015-1805 は Marshmallow より前の Android バージョンに影響を与えます。

(さらに…)

Android 端末向け不正アプリ「PORIEWSPY」を利用した諜報活動をインドで確認

投稿日:2018年2月5日
脅威カテゴリ:モバイル, サイバー攻撃
執筆:Trend Micro

トレンドマイクロは、2017 年末から、Android 端末ユーザを標的とする諜報活動を確認してきました。今回報告する攻撃では、インドのユーザを狙った Android 端末向け不正アプリが利用されており、その背後には、以前政府職員を標的とした攻撃で確認されたハッカー集団がいると考えられます。弊社は当該アプリを「PORIEWSPY（ポリュースパイ）」と名付け、「ANDROIDOS_PORIEWSPY.HRX」として検出対応しています。共通のコマンド&コントロール（C&C）サーバを利用していることから、同集団は、「DroidJack／SandroRAT」（「ANDROIDOS_SANRAT.A」として検出）を元に作成された不正アプリも利用してると考えられます。DroidJackは感染した Android 端末を完全に操作することのできる「Remote Access Tool（RAT）」です。

これらの不正アプリの背後にいる攻撃者は、2016 年に報告されたサイバー諜報活動集団と関連しているかもしれませんが、この集団が以前の活動とは関係の無い別の攻撃を開始している可能性もあります。

(さらに…)

「Kotlin」で作成された不正アプリを初めて確認：ユーザを有料 SMS サービスに登録

トレンドマイクロは、プログラミング言語「Kotlin」で開発されたものでは初めてとなる Android 端末向け不正アプリ（「ANDROIDOS_BKOTKLIND.HRX」として検出）を確認しました。Kotlin は、マルチプラットフォーム向けアプリケーション開発のためのオープンソースのプログラミング言語です。トレンドマイクロが Google Play で確認した検体は「Swift Cleaner」という名称で、不要なデータを削除し Android 端末を最適化するユーティリティツールに偽装していました。この不正アプリは 2018 年 1 月 9 日の時点で 1,000 回から 5,000 回インストールされており、遠隔からのコマンド実行、情報窃取、テキストメッセージ（ショートメッセージサービス、SMS）の送信、URL の転送、広告クリック詐欺等が可能です。また、ユーザの許可無しに有料の SMS サービスに登録する機能も備えています。

(さらに…)

「Toast」機能を利用してオーバーレイ攻撃を実行する Android 端末向け不正アプリを Google Play で確認

トレンドマイクロは、Android の「Toast」機能を利用したオーバーレイ攻撃によって、感染端末に密かに不正アプリをインストールする新しい Android 端末向け不正アプリ「TOASTAMIGO（トーストアミーゴ）」（「ANDROIDOS_TOASTAMIGO」として検出）を Google Play で確認しました。TOASTAMIGO の 1 つは、2017 年 11 月 6 日時点で 100,000～500,000 回インストールされています。この不正アプリは、Android 端末の「ユーザー補助機能」を悪用し、少なくとも今のところ、広告のクリック、アプリのインストール、削除防止による攻撃の持続等の機能を備えています。

(さらに…)

モバイル端末向けランサムウェア「LeakerLocker」、ユーザ情報の流出と引き換えに身代金を要求

投稿日:2017年8月3日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

2017 年 7 月に確認された「SLocker」の亜種は、感染端末のファイルを暗号化するランサムウェアでした。それとは異なり、今回新しく確認された Android 端末向けランサムウェア「LeakerLocker（リーカーロッカー）」（「ANDROIDOS_LEAKERLOCKER.HRX」として検出）は、遠隔サーバに送信した個人情報を連絡先に登録されたすべての宛先に転送すると脅すことによってユーザの恐怖心をあおります。

LeakerLocker を含む不正アプリは「Google Play」上で 3 つ確認されており、名称はそれぞれ「Wallpapers BlurHD」、「Booster & Cleaner Pro」、「Call Recorder」です。これらのアプリは既に Google Play から削除されています。これら 3 つのアプリが同一人物によって作成された証拠はありませんが、いずれも LeakerLocker を含んでいたことを考えると、その可能性は極めて高いと言えます。類似した名称のアプリが Google Play 上で確認できますが、今回確認された不正アプリとの関連は分かっていません。むしろこれは、正規アプリに紛れ込ませるために、攻撃者が一般的なアプリを模倣して不正アプリを作成したと考えるのが自然です。トレンドマイクロは、これら 3 つの不正アプリについて既に Google に通知しています。

本記事では、LeakerLocker を含むアプリの 1 つ「Call Recorder」を取り上げ、詳細に解説します。

(さらに…)

Page 1 of 212