宅配荷物の不在通知を偽装するSMSの攻撃は継続してその手口を変化させています。前回3月の記事では新たに携帯電話事業者Webページを偽装した手口をお伝えしましたが、この4月にはまた別の事業者のWebページを偽装する手口にシフトしてきました。この不正アプリ拡散をねらう偽装SMSの攻撃では、去年前半にも活発に詐称する業者を変えていましたが今後も同様の変化に注意が必要です。
続きを読む昨年2018年を通じ拡大した宅配業者の偽装SMSを発端としたAndroid不正アプリ拡散を狙う攻撃は、現在も続いています。またAndroid端末だけでなく、iPhoneなどiOS端末でアクセスした場合にもフィッシングサイトへ誘導する動きも確認されており、スマートフォンを中心としたモバイル機器全体を狙う攻撃となっていることはこれまでも報告してまいりました。この国内のモバイル機器全体を狙う継続した攻撃の中で、新たな動きが2つ確認されました。1つは誘導先の不正サイトが詐称する企業の変化です。これまでの宅配業者から新たに、携帯電話事業者Webページの偽装が確認されました。もう1つは、誘導先の不正サイト上でiOS端末の固有情報を窃取するために不正な構成プロファイルを使用する手口です。
続きを読む本ブログでは、2017 年 9 月に iOS の不正な構成プロファイル「iXintpwn(アイシントポウン)(別名:YJSNPI(ヤジュウセンパイ)ウイルス)」について解説しました。iXintpwn は、未署名の構成プロファイルの形で侵入し、ホーム画面に大量のアイコンを作成します。インストール時に、場合によっては iOS のホーム画面を管理する標準アプリが強制終了し、端末が応答不能の状態に陥ることもあります。また、アンインストールを困難にするために、作成されるアイコンは削除不可に設定されていました。
トレンドマイクロは、2017 年 10 月、署名済みプロファイルを利用して前回とは異なる攻撃を実行する iXintpwn の新しい亜種(「IOS_YJSNPI.A」として検出)を確認しました。「IOS_YJSNPI.A」は、 2 つのアプリストア「hxxp://m[.]3454[.]com」および「hxxp://m[.]973[.]com」で配布されていました。弊社の解析によると、この新しい亜種の主な目的は、前回のように対象端末のオペレーティング・システム(OS)に負担をかけることではなく、「リパックアプリ」をダウンロードさせる Web サイトへの誘導です。
図 1:前回確認された未署名のプロファイル(左)、今回確認された署名済みプロファイル(右)
署名済みプロファイル(右)の説明には、「ゲーム、ソフトウェア、壁紙を提供するiOS アプリストア」とある。
(さらに…) 続きを読む
2017 年 6 月、ランサムウェア作成の容疑で日本の未成年者が逮捕された事例が注目を集め、本ブログでも解説しました。本記事では、同未成年者が作成および拡散したとされる別のマルウェア「iXintpwn(アイシントポウン)(別名:YJSNPI(ヤジュウセンパイ)ウイルス)」(「TROJ_YJSNPI.A」として検出)について解説します。先に iXintpwn を「マルウェア」と呼びましたが、その実体はアプリではなく、不正な構成プロファイルです。「構成プロファイル」とは、iOS の各種設定を自動的に行うための仕組みです。iXintpwn はこの仕組みを悪用し、iOS 端末のホーム画面に大量のアイコンを作成すると同時に、アイコンの削除を不可に設定します。場合によっては端末が応答不能の状態になることもあります。
図 1:削除不可に設定されたアイコン(左)
ホーム画面に作成されるアイコン(右)
(さらに…) 続きを読む
