2018 年 1 月 15 日の本ブログ記事でお伝えした、SMS を発端とした Android 向け不正アプリ拡散の攻撃ですが、これは複数の日本企業を偽装したキャンペーンの一部であったことが確認されました。このキャンペーンでは、いずれも国内有名企業を偽装した電子メールや SMS により、正規サイトに偽装した不正サイトへの誘導を行うものであり、完全に日本国内の利用者を狙った攻撃と言えます。誘導先の不正サイトは、最終的にバックドア型不正アプリの拡散を目的としています。このように、同一の Android 向け不正アプリを複数の日本企業を偽装した電子メールや SMS により配布する攻撃キャンペーンは、これまでにほとんど例がないものと言えます。
続きを読むトレンドマイクロは、この Android端末を狙うマルウェア「ZNIU(ズィーニュー)」について Google に報告しました。これを受けて Google は、Google Play プロテクトのセキュリティ機能によって端末が保護されることを検証済みです。
「Dirty COW」と呼ばれる Linuxの脆弱性「CVE-2016-5195」が、2016年に初めて一般に公開されました。この脆弱性は、Red Hat のようなアップストリームの Linuxや、Linuxベースのカーネルを持つ Android などのプラットフォームに確認されました。攻撃者によってシステムのルート権限を取得される可能性のある深刻な権限昇格の脆弱性に分類されたものの、その後、Dirty COW を利用した Android端末への攻撃は確認されていませんでした。理由としては、Android端末主要モデルへの攻撃手法を確立するために時間を要したことが考えられます。それから約1年が経過し、トレンドマイクロは、Androidプラットフォームの脆弱性「Dirty COW」を狙う初の不正アプリ「ZNIU(「AndroidOS_ZNIU」として検出)」の検体を入手しました。
ZNIU は、2017年8月には世界中 40カ国以上で検出され、そのほとんどが中国およびインドで確認されています。米国、日本、カナダ、ドイツ、インドネシアでも検出され、本記事執筆時点(2017年9月25日)、5,000人を超えるユーザに影響を与えています。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の情報によると、ZNIUが仕込まれた不正アプリ 1,200余りが、不正な Webサイト上で確認されています(※)。不正アプリには、Dirty COW の脆弱性を攻撃できるルートキットが含まれ、ポルノやゲームアプリなどとして偽装されています。
続きを読むトレンドマイクロは、2017 年 8 月末、Android 端末向けオンライン銀行詐欺ツール「BankBot(バンクボット)」(「ANDROIDOS_BANKBOT」ファミリとして検出)の新たな亜種を確認しました。このモバイル向け不正アプリは、2017 年 1 月に初めて確認されたものであり、アンダーグラウンド市場に流出した別のオンライン銀行詐欺ツールのソースコードを改造したものだと報告されています。BankBot は、端末に存在する正規銀行アプリの起動に合わせて偽の画面を表示し、ユーザが入力した認証情報を窃取します。この手法は PC 向けのオンライン銀行詐欺ツールが行う、Web インジェクション(特定の Web サイトの表示時に偽画面を表示する手口)と似ています。また、ショートメッセージサービス(SMS)を乗っ取る機能により SMS を利用した二要素認証を突破することも可能であり、まさにモバイル向けに特化したオンライン銀行詐欺ツールと言えます。また、この亜種の解析の中で、日本の銀行も標的となっていることを初めて確認しています。
図 1:日本の 銀行の表示に偽装した画面の例
(さらに…) 続きを読む
2017 年 7 月に確認された「SLocker」の亜種は、感染端末のファイルを暗号化するランサムウェアでした。それとは異なり、今回新しく確認された Android 端末向けランサムウェア「LeakerLocker(リーカーロッカー)」(「ANDROIDOS_LEAKERLOCKER.HRX」として検出)は、遠隔サーバに送信した個人情報を連絡先に登録されたすべての宛先に転送すると脅すことによってユーザの恐怖心をあおります。
LeakerLocker を含む不正アプリは「Google Play」上で 3 つ確認されており、名称はそれぞれ「Wallpapers BlurHD」、「Booster & Cleaner Pro」、「Call Recorder」です。これらのアプリは既に Google Play から削除されています。これら 3 つのアプリが同一人物によって作成された証拠はありませんが、いずれも LeakerLocker を含んでいたことを考えると、その可能性は極めて高いと言えます。類似した名称のアプリが Google Play 上で確認できますが、今回確認された不正アプリとの関連は分かっていません。むしろこれは、正規アプリに紛れ込ませるために、攻撃者が一般的なアプリを模倣して不正アプリを作成したと考えるのが自然です。トレンドマイクロは、これら 3 つの不正アプリについて既に Google に通知しています。
本記事では、LeakerLocker を含むアプリの 1 つ「Call Recorder」を取り上げ、詳細に解説します。
続きを読む「フィッシング詐欺」は、利用者をだまして認証情報や個人情報を詐取するサイバー犯罪です。典型的な手口としては、電子メール(フィッシングメール)により不正サイト(フィッシングサイト)へ誘導し、利用者自身にサイトへのログインに必要なアカウントとパスワードなどの認証情報を入力させて詐取するものです。このようなフィッシング詐欺は既に古典的ともいえるサイバー犯罪手口の 1 つですが、現在も個人と法人、双方のインターネット利用者にとって深刻な問題となっています。事実、フィッシング詐欺撲滅を目指す米国の非営利団体「Anti-PhishingWorking Group(APWG)」の最新レポート(2016 年第4 四半期(10~12 月)版・英語情報)によれば、2016 年の 1 年間に確認されたフィッシング詐欺の攻撃状況は 2004 年の監視開始以降最悪と報告されており、その脅威はますます高まっているものと言えます。
続きを読む