日本と韓国を標的にした偽ブランドアプリを確認

脅威情報
2013.4.12

日本と韓国のユーザーを標的にした新たな脅威が出てきました。この攻撃は、最近ニュースになっているような、政治的信念など極端な思想を動機としたものではなく、単純に昔からある私利私欲によるものです。Vertu^*1 の持ち主や、Android用の日本語版・韓国語版Vertu テーマ^*2 を探している人は、アプリ等をダウンロードするときは十分に気を付けるべきでしょう。マカフィーでは、Vertu のアップデートやテーマを偽ったAndroid/Smsilenceの新しい亜種を確認しています。

偽の日本語版Vertuアプリ　[　拡大図　]

このマルウェアAndroid/Smsilence.C は、インストール時にロード中のスクリーンを表示しますが、バックグラウンドではHTTP POSTリクエストを送信して、外部サーバー[XXX.XX.24.134]に端末の電話番号を記録しています。そして、このマルウェアは、ローカル端末上にインターネットフィルタを登録した後、すべての着信メッセージはトロイの木馬によって処理され、上記の外部サーバーに転送されます。ロード中を示すスクリーンはしばらくすると変わり、日本語又は韓国語で「サービスを中断しました。再度お試しください」というメッセージに変わります。

　[　拡大図　]

この攻撃で使用している制御管理システムを調べたところ、マルウェアを拡散するために複数の偽装が使用されており、また同じサーバーに向けた複数のドメインが使用されていることがわかりました。コーヒーやファーストフードに始まり、Google Playにアップされた後削除された韓国製アンチウイルス製品まで、20ほどの偽ブランドアプリが使われています。 Android/Smsilenceは、他のモバイルボットネットと比較するとそれほど洗練されてはいないものの、私たちの分析では50,000から60,000人のモバイルユーザーに感染を広げています。

韓国の偽アプリ　[　拡大図　]

新しい亜種は日本にも広がっています。今年出て来た日本をターゲットとしている脅威は、ワンクリック詐欺（スケアウェアとも呼ばれています）のマイナーなバリエーションで、この種類の脅威は2004年から存在しています。Android/Smsilence.Cに感染すると、より多くの情報を外部に送信することが可能で、さらにスパイウェアもダウンロードされます。

日本のキャリアは、テキストメッセージにCMAILプロトコルを使用しているものもあり、国外からモバイルボットネットをコントロールし、維持するのは簡単なことではありません。（日本のキャリアが搭載しているセキュリティ機能^*3 により）。もしかしたら、感染した端末の拡散やコントロールを手助けしている共犯者がいるのかもしれません。そうだとしたら、ボットネットコントローラーによるオンデマンドによって感染した端末にダウンロードされる第2弾のパッケージの機能に関する説明がつきます。このパッケージは、テキストメッセージの送信にとどまらないスパイウェア機能を持っています。

この新しい系列に関するもっとも奇妙な部分はここからで、アンチマルウェアのリサーチ分野における限界を浮かび上がらせるようなものです。Androidのトロイの木馬やStuxnetのような複雑な脅威にせよ、時間さえ十分にあれば、どんなコードであっても基本的な要素に分解することができます。しかし、時々どんなに時間を使っても、マルウェア作者の考えていることが理解できないことがあります。今回のケースについては、マルウェアの中でパッケージハッシュを変えるファイルが見つかっています；これは、サーバーサイドのポリモーフィズムを付け加える回避技術で、アンチウイルスベンダーの検知を回避するためのものです。こういった技術が東ヨーロッパの脅威ファミリー以外で使用されているのを見るのは初めてですが、この技術自体に困惑しているわけではありません。なんとも奇妙なのは、回避技術の重要なコンポーネントである選ばれたファイルがボリス・ジョンソンロンドン市長の写真であったことです。