エフセキュアブログ

インストール 偽装 を含む記事

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

AndroidマルウェアがSMTPに向かう

 Androidマルウェアの世界では新しいことは何もない、と思う間もなく、小さなことだが、非常に興味深いと驚くことがあった。SMTPサーバに接続してメール送信するAndroidマルウェアだ。

 SMTPを使用すること以外、このマルウェアはまったくもってありきたりのものだ。インストールすると、モバイル機器上に永続的に留まるために、アプリケーションはデバイス管理をアクティベートするかどうかユーザに尋ねる。この脅威はアプリケーションメニュー内に重要なアイコンを何も追加しない。むしろユーザは、アプリケーションマネージャを確認しないと、「Google Service」と偽装しているアプリケーションがあることに気付かない。

mobile1 (138k image)

 インストール後、当該アプリケーションは電話番号や、送受信したSMS、録音された音声のような慎重に扱うべきユーザ情報を、あるメールアドレスに向けて収集する。続いて、SMTPサーバ、特定したところではsmtp.gmail.com、smtp.163.com、smtp.126.comを用いて、盗んだデータを送信する。以下には、非常に中国臭がするものを感じている…。

code (169k image)

 この脅威がSMTPサーバに接続しようと試みているところのスクリーンショットを次に示す。

smtp (161k image)

 この脅威は、大抵の場合サードパーティーのAndroid市場や悪意あるWebサイトからダウンロードされることがわかっている。我々は1ヶ月前に初めてこのマルウェアファミリを目にしたが、以来活発に活動している。当社では既にこの脅威をTrojan:Android/SMSAgentとして検知する。

msms_android (59k image)

Post by — Swee Lai

Androidでトロイの木馬の古いトリック

  我々は最近、トロイの木馬「AdSMS」に関する分析を行った。これは先週あたりに広まったもので、最近目にするトロイの木馬化されたAndroidアプリの増加と、興味深いコントラストをなしていると思われる。

  「AdSMS」は、大量送信されたSMSメッセージ内の悪意あるリンクを介して配布される。同SMSは、主要な中国のテレコムネットワークからのもののように偽装されており、ダウンロードリンクは故意に同ネットワークに関連するドメイン名になりすましていることから、このマルウェアは中国本土のAndroidユーザを標的としているようだ。

  「AdSMS」は「セキュリティ脆弱性に関するアップデート」としてプロモートされる。これと全く同じディストリビューションおよびソーシャルエンジニアリング戦略を使用した、Symbianの古いトロイの木馬(例えば「Merogo」や「MapUp」)への逆行のようだ。

  ユーザがリンクをクリックすると、同マルウェアがダウンロードされる。以下はこのトロイの木馬が求めるパーミッションだ:

     

  SMSメッセージを送信する必要があるアップデート? 用心深いユーザはそれに気付き、何かが不適切であると思ってくれると良いのだが。

  いったんインストールされると、「AdSMS」はアプリケーションメニューに自信のアイコンを追加せず、バックグラウンドでひっそりと動作する。ユーザは「Setttings > Applications > Manage Applications」メニューをチェックして、「andiord.system.providers」という名で存在するかどうかを見る必要がある:



  このケースでは、以前「Phone Creeper」や「Flexispy」といったモバイルスパイスイートで見られたタイプではあるものの、またもや古いトリックが使われている。ちなみに、ユーザは「Manage Applications」メニューから、同トロイの木馬を通常のアプリケーションの様にアンインストールすることができる。

  一度インストールされると、このトロイの木馬は携帯電話の詳細を盗み、さらなるファイルをダウンロードするためリモートサイトに接続する。これには以前の「Trojan:AndroidOS/Fakeplayer.A」のようにSMSメッセージを読み書きし、送信する機能も有している。

  したがって、このトロイの木馬のトリックには本質的に、何ら新しいところはないが、我々が見た中で、Androidプラットフォームでそうしたトリックを試みた最初のトロイの木馬ではある。

  エフセキュアのAndroidセキュリティ製品は、これを「Trojan:AndroidOS/AdSMS.A」として検出している。

Threat Solutions post by — Irene

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード