昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、トレンドマイクロでは新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。
図:新たに確認された不正サイトに Android OS でアクセスした場合の表示例
昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、トレンドマイクロでは新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。
トレンドマイクロでは、日夜多くのサイバー攻撃を監視しています。その監視の中で、この 3 月中旬ころから、ルータを侵害して DNS を書き換え、ルータ配下の端末を不正サイトへ誘導して Android 向け不正アプリを強制的にダウンロードさせる攻撃が国内で発生していることを確認しました。トレンドマイクロとしては現時点で侵害されたルータ自体の調査が行えておらず、攻撃手法の全貌については確認できておりませんが、当社として確認できている実際の被害について本ブログ記事において注意喚起します。
Android 端末向け不正アプリ「AndroRAT」(「ANDROIDOS_ANDRORAT.HRXC」として検出)の新しい亜種が確認されました。この不正アプリは「Remote Access Tool(RAT)」で、サイレントインストール、シェルコマンドの実行、Wi-Fi パスワードの収集、画面キャプチャのような不正活動のために、脆弱性を利用して端末をルート化します。この AndroRAT の亜種は、2016 年に公表された脆弱性「CVE-2015-1805」を利用し、権限を必要とするさまざまな不正活動を実行します。CVE-2015-1805 は Marshmallow より前の Android バージョンに影響を与えます。
続きを読むトレンドマイクロは、2017 年末から、Android 端末ユーザを標的とする諜報活動を確認してきました。今回報告する攻撃では、インドのユーザを狙った Android 端末向け不正アプリが利用されており、その背後には、以前政府職員を標的とした攻撃で確認されたハッカー集団がいると考えられます。弊社は当該アプリを「PORIEWSPY(ポリュースパイ)」と名付け、「ANDROIDOS_PORIEWSPY.HRX」として検出対応しています。共通のコマンド&コントロール(C&C)サーバを利用していることから、同集団は、「DroidJack/SandroRAT」(「ANDROIDOS_SANRAT.A」として検出)を元に作成された不正アプリも利用してると考えられます。DroidJackは感染した Android 端末を完全に操作することのできる「Remote Access Tool(RAT)」です。
これらの不正アプリの背後にいる攻撃者は、2016 年に報告されたサイバー諜報活動集団と関連しているかもしれませんが、この集団が以前の活動とは関係の無い別の攻撃を開始している可能性もあります。
続きを読むトレンドマイクロは、プログラミング言語「Kotlin」で開発されたものでは初めてとなる Android 端末向け不正アプリ(「ANDROIDOS_BKOTKLIND.HRX」として検出)を確認しました。Kotlin は、マルチプラットフォーム向けアプリケーション開発のためのオープンソースのプログラミング言語です。トレンドマイクロが Google Play で確認した検体は「Swift Cleaner」という名称で、不要なデータを削除し Android 端末を最適化するユーティリティツールに偽装していました。この不正アプリは 2018 年 1 月 9 日の時点で 1,000 回から 5,000 回インストールされており、遠隔からのコマンド実行、情報窃取、テキストメッセージ(ショートメッセージサービス、SMS)の送信、URL の転送、広告クリック詐欺等が可能です。また、ユーザの許可無しに有料の SMS サービスに登録する機能も備えています。
続きを読むトレンドマイクロは、Android の「Toast」機能を利用したオーバーレイ攻撃によって、感染端末に密かに不正アプリをインストールする新しい Android 端末向け不正アプリ「TOASTAMIGO(トーストアミーゴ)」(「ANDROIDOS_TOASTAMIGO」として検出)を Google Play で確認しました。TOASTAMIGO の 1 つは、2017 年 11 月 6 日時点で 100,000~500,000 回インストールされています。この不正アプリは、Android 端末の「ユーザー補助機能」を悪用し、少なくとも今のところ、広告のクリック、アプリのインストール、削除防止による攻撃の持続等の機能を備えています。
続きを読む2017 年 7 月に確認された「SLocker」の亜種は、感染端末のファイルを暗号化するランサムウェアでした。それとは異なり、今回新しく確認された Android 端末向けランサムウェア「LeakerLocker(リーカーロッカー)」(「ANDROIDOS_LEAKERLOCKER.HRX」として検出)は、遠隔サーバに送信した個人情報を連絡先に登録されたすべての宛先に転送すると脅すことによってユーザの恐怖心をあおります。
LeakerLocker を含む不正アプリは「Google Play」上で 3 つ確認されており、名称はそれぞれ「Wallpapers BlurHD」、「Booster & Cleaner Pro」、「Call Recorder」です。これらのアプリは既に Google Play から削除されています。これら 3 つのアプリが同一人物によって作成された証拠はありませんが、いずれも LeakerLocker を含んでいたことを考えると、その可能性は極めて高いと言えます。類似した名称のアプリが Google Play 上で確認できますが、今回確認された不正アプリとの関連は分かっていません。むしろこれは、正規アプリに紛れ込ませるために、攻撃者が一般的なアプリを模倣して不正アプリを作成したと考えるのが自然です。トレンドマイクロは、これら 3 つの不正アプリについて既に Google に通知しています。
本記事では、LeakerLocker を含むアプリの 1 つ「Call Recorder」を取り上げ、詳細に解説します。
続きを読む2017 年 6 月にイスラエルの病院への攻撃が確認された「RETADUP(レタダップ)」は、ワーム活動で拡散し、バックドア活動によって情報を窃取するマルウェアです。Windows を狙ったこの事例は攻撃の一部に過ぎず、少なくとも対象となるプラットフォームは当初の想定よりも広範であることが判明しました。イスラエルの事例に続き、今回、より多くの機能を備えた Android 端末向け不正アプリが確認されています。
続きを読むトレンドマイクロは、2017 年 3 月末の時点で、Android 端末向けのバックドア型不正アプリ「MilkyDoor」(「ANDROIDOS_MILKYDOOR.A」として検出)が仕掛けられた 200 個のアプリを「Google Play」上で確認しました。その中には、50万~100万 回インストールされたアプリも確認されています。どこからでも情報にアクセスできる利便性により、ますます多くのモバイル機器がプラットフォームとして利用される中、企業に大きな影響を与えるモバイル端末向け不正アプリによる感染も増加しています。
MilkyDoor は、「Socket Secure(SOCKS)プロトコル」を利用したプロキシを用いて、不正アプリに感染したモバイル端末が接続している内部ネットワークに足掛かりを築くという手法を用います。これは、2016年4月に確認された、企業の内部ネットワーク侵入の足掛かりとなる Android 端末向け不正アプリのファミリ「DressCode(ドレスコード)」(「ANDROIDOS_SOCKSBOT.A」として検出)に類似しています。MilkyDoor は、SOCKS プロキシを設置することによって、企業が予期せぬうちに、サイバー犯罪者がネットワークを偵察し脆弱なサービスにアクセスする手段を提供します。この不正活動はユーザが知らないうちに同意無しで実行されます。
続きを読む