社会情勢にあわせてサイバー犯罪も変わる
サイバー犯罪にはさまざまなものがある。気をつけたいのは、それらが常に進化しているということだ。世間の情勢にあわせて、より巧妙になっていく。
最近、とくに気をつけたいのが、正規のサービスなどをよそおったメールで、ニセのサイトに誘導させ、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出す「フィッシング詐欺」だ。
なぜフィッシング詐欺に気をつけなければいけないのか。外出しにくい情勢になったため、ネットショッピングなどの需要が増えた。そこで、不在通知など運送会社からのメッセージをよそおって、フィッシングサイトへ誘導するSMSの被害が増えているからだ。
たとえば、スマートフォンに、「ご本人様不在の為お荷物を持ち帰りました。ご確認ください。」といった文面のSMSが届く。不在通知となれば、「早く手続きをしないと、相手にも迷惑がかかってしまう」と思うかもしれない。しかし、リンクにアクセスすると、フィッシングサイトに誘導されてしまう。
フィッシングサイトは、実在の運送会社をかたるものが多く、外見、さらにはURLまでも本物に似せて作られている。IDとパスワードを入力すれば、不正ログインなどの被害に遭ってしまうというわけだ。
また、ビットコインなどを取り扱う仮想通貨の取引所になりすまし、「アカウントに異常ログインの可能性がある」などというメッセージを送る手口も報告されている。
一昔前はフィッシング詐欺といえば、PCが主なターゲットだった。しかし、最近はスマートフォンを標的にしていることもあり、セキュリティの知識がない人が被害に遭いやすい。今だからこそ気をつけたいサイバー犯罪といえるだろう。
対応は焦らないこと。気をつけるに越したことはない
SMSを利用したフィッシング詐欺の対策としては、焦って個人情報を入力することなく、しっかり確認することが肝心。リンクは開かずに無視し、SMSも削除する。万一サイトを開いてしまった場合は、個人情報やパスワードなどは絶対に入力しないこと。多くの場合、開いただけでは被害がないので、落ち着いて行動したい。
メールで送られてきたならメールアドレスは正規のものかをよくチェックしておこう。また、サイトにアクセスをうながされた場合、ウェブアドレスが正規のものであるかに注意しておきたい。「不在通知」「異常ログインの可能性」などの言葉に対しては、急いで対応しなければ……と思ってしまうかもしれないが、それが犯罪者のねらいでもある。気をつけるに越したことはない。
よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからのアクセスを心がけたい。疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認してみてもよいだろう。不審に思った場合や、トラブルにあった場合は、最寄りの消費生活センターなどに相談する手段もある。
なお、フィッシングの手口として、不正なアプリをスマホにインストールさせようとするものもある。不審なアプリ名称、詳しくないアプリ説明、ユーザーレビューがない……など、アプリがあやしく思えたなら、ダウンロードを控えたほうがよいといえる。
今回は、McAfee Blogの「Roaming Mantis Androidマルウェアによる日本ユーザーを標的としたフィッシング攻撃を確認」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Roaming Mantis Androidマルウェアによる日本ユーザーを
標的としたフィッシング攻撃を確認:McAfee Blog
Roaming Mantisフィッシングキャンペーンは、2018年以来、アジアのAndroidユーザーからSMSメッセージと連絡先リストを盗むために物流会社になりすましています。2020年の後半、このキャンペーンはダイナミックDNSサービスを採用し、偽のChromeアプリケーションMoqHaoで被害者を感染させたフィッシングURLを使用し、メッセージを拡散することによりその効果を向上させました。
さらに、2021年1月以降、McAfee モバイルリサーチチームでは、Roaming MantisがSmsSpyと呼ばれる新しいマルウェアを使用し日本のユーザーを標的にしていることを確認しました。悪意のあるコードは、対象のデバイスで使用されているOSのバージョンに応じて、2つのバリアントのいずれかを使用してAndroidユーザーに感染します。OSのバージョンに基づいて悪意のあるペイロードをダウンロードするこの機能により、攻撃者はさらに広範なAndroidデバイスに対し、巧みに感染を拡大させることが可能になります。
スミッシングテクニック
使用されているフィッシングSMSメッセージは最近のキャンペーンのメッセージと似ていますが、フィッシングURLの構成には「post」という用語が含まれています。
図:物流会社からの通知になりすましたフィッシングメッセージ(出典:Twitter)
別のスミッシングメッセージは、ビットコインオペレーターのふりをして、被害者をフィッシングサイトに誘導し、そこでユーザーは不正なログインを確認するように求められます。
図:ビットコインオペレーターからの通知になりすましたフィッシングメッセージ。(出典:Twitter)
調査中に、フィッシングWebサイト hxxps:// bitfiye [。] comがhxxps://post.hygvv [。] com にリダイレクトされるのを確認しました。リダイレクトされたURLには「post」という単語も含まれており、最初のスクリーンショットと同じ形式に従っています。このように、攻撃の背後にいる攻撃者は、標的の会社やサービスに似たドメインからリダイレクトすることにより、SMSフィッシングキャンペーンのバリエーションを拡大しようとします。
マルウェアのダウンロード
マルウェア配布プラットフォームの特徴である、フィッシングページにアクセスしたAndroid OSのバージョンに応じて、さまざまなマルウェアが配布されます。Android OS 10以降では、偽のGoogle Playアプリがダウンロードされます。Android 9以前のデバイスでは、偽のChromeアプリがダウンロードされます。
表示されたメッセージ:セキュリティ向上のため最新バージョンのChromeにアップデートしてください
図:ダウンロード用の偽のChromeアプリケーション(Android OS 9以下)
図:ダウンロード用の偽のGoogle Playアプリ(Android OS 10以降)
表示されたメッセージ:このページに埋め込まれているページの内容 【重要】セキュリティ向上のため、最新バージョンのGoogle Playにアップデートしてください!(左)
この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。GooglePlay.apkを保存しますか?(右)
悪意のあるプログラムコードはAndroidOSのメジャーアップグレードごとに変更する必要があるため、マルウェアの作成者は、1種類のマルウェアだけで小さなセットをカバーしようとするのではなく、OSを検出するマルウェアを配布することでより多くのデバイスをカバーしているようです。
技術的な振る舞い
このマルウェアの主な目的は、感染したデバイスから電話番号とSMSメッセージを盗むことです。マルウェアは実行されると、ChromeまたはGoogle Playアプリのふりをして、デフォルトのメッセージングアプリケーションに被害者の連絡先とSMSメッセージを読み取るように要求します。最新のAndroidデバイスでのGoogle Playによるセキュリティサービスのふりをしたり、さらに最新のAndroidデバイスのセキュリティサービスになりすますこともできます。両方の例を以下に示します。
図:偽のChromeアプリによるデフォルトのメッセージングアプリリクエスト
表示されたメッセージ:本製品の機能や情報にアクセスするアプリ/機能を初めて起動すると、アクセス権限の許可をリクエストする確認画面が表示されます。許可をしないとアプリ/機能を起動できない場合や、機能の利用が制限される場合があります。(右)
図:偽のGoogle Playアプリによるデフォルトのメッセージングアプリリクエスト
表示されたメッセージ:端末は保護されています
ウィルス/スパイウェア対策
フィッシング詐欺対策
迷惑メール対策
アイコンを非表示にした後、マルウェアはバックグラウンドで攻撃者のコマンドアンドコントロール(C2)サーバーと通信するためのWebSocket接続を確立します。デフォルトの宛先アドレスはマルウェアコードに埋め込まれています。さらに、必要に応じてC2サーバーの場所を更新するためのリンク情報があります。したがって、デフォルトサーバーが検出されない場合、またはデフォルトサーバーから応答が受信されない場合、C2サーバーの場所は更新リンクから取得されます。
MoqHaoファミリーは、ブログサービスのユーザープロファイルページでC2サーバーの場所を非表示にしますが、この新しいファミリーの一部のサンプルでは、中国のオンラインドキュメントサービスを使用してC2の場所を非表示にしています。以下は、オンラインドキュメントからの新しいC2サーバーの場所の例です。
図:オンラインドキュメントに記載されているC2サーバーの場所
ハンドシェイクプロセスの一環として、マルウェアはAndroid OSのバージョン、電話番号、デバイスモデル、インターネット接続タイプ(4G / Wi-Fi)、および感染したデバイス上の一意のデバイスIDをC2サーバーに送信します。
次に、C2サーバーからのコマンドを確認します。分析したサンプルは、連絡先とSMSメッセージの電話番号を盗むことを目的として以下のコマンドをサポートしていました。
| コマンド文字列 | 説明 |
|---|---|
| 通讯录 | アドレス帳 全体をサーバーに送信する |
| 收件箱 | すべてのSMSメッセージをサーバーに送信する |
| 拦截短信&open | <SMSメッセージの削除>を開始する |
| 拦截短信&close | <SMSメッセージの削除>を停止する |
| 发短信& | コマンドデータにはSMSメッセージと宛先番号が含まれており、感染したデバイスを介して送信する |
表:WebSocketを介したリモートコマンド
結論
アジア諸国を標的とした現在進行中のフィッシングキャンペーンでは、MoqHao、SpyAgent、FakeSpyなどのさまざまなモバイルマルウェアが使用されていると考えられます。私たちの調査に基づいて、今回発見された新しいタイプのマルウェアは、変更されたインフラストラクチャとペイロードを使用しています。サイバー犯罪者には複数のグループが存在する可能性があり、各グループは攻撃インフラストラクチャとマルウェアを個別に開発していると考えています。または、以前に成功したサイバー攻撃を利用した別のグループの作業である可能性があります。
McAfee Mobile Securityは、この脅威をAndroid / SmsSpyとして検出し、存在する場合はモバイルユーザーに警告し、データ損失からさらに保護します。McAfee Mobile Securityの詳細については、https://www.mcafeemobilesecurity.comでご確認いただけます。
※本ページの内容は2021年5月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Roaming Mantis Amplifies Smishing Campaign with OS-Specific Android Malware
著者:ZePeng Chen and Yukihiro Okutomi
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
