日本と韓国を標的にした偽ブランドアプリを確認

日本と韓国のユーザーを標的にした新たな脅威が出てきました。この攻撃は、最近ニュースになっているような、政治的信念など極端な思想を動機としたものではなく、単純に昔からある私利私欲によるものです。Vertu*1 の持ち主や、Android用の日本語版・韓国語版Vertu テーマ*2 を探している人は、アプリ等をダウンロードするときは十分に気を付けるべきでしょう。マカフィーでは、Vertu のアップデートやテーマを偽ったAndroid/Smsilenceの新しい亜種を確認しています。

クリックすると拡大します
偽の日本語版Vertuアプリ [ 拡大図 ]

このマルウェアAndroid/Smsilence.C は、 インストール時にロード中のスクリーンを表示しますが、バックグラウンドではHTTP POSTリクエストを送信して、外部サーバー[XXX.XX.24.134]に端末の電話番号を記録しています。そして、このマルウェアは、ローカル端末上にインターネットフィルタを登録した後、すべての着信メッセージはトロイの木馬によって処理され、上記の外部サーバーに転送されます。ロード中を示すスクリーンはしばらくすると変わり、日本語又は韓国語で「サービスを中断しました。再度お試しください」というメッセージに変わります。

クリックすると拡大します
 [ 拡大図 ]

この攻撃で使用している制御管理システムを調べたところ、マルウェアを拡散するために複数の偽装が使用されており、また同じサーバーに向けた複数のドメインが使用されていることがわかりました。コーヒーやファーストフードに始まり、Google Playにアップされた後削除された韓国製アンチウイルス製品まで、20ほどの偽ブランドアプリが使われています。 Android/Smsilenceは、他のモバイルボットネットと比較するとそれほど洗練されてはいないものの、私たちの分析では50,000から60,000人のモバイルユーザーに感染を広げています。

クリックすると拡大します
韓国の偽アプリ [ 拡大図 ]

新しい亜種は日本にも広がっています。今年出て来た日本をターゲットとしている脅威は、ワンクリック詐欺(スケアウェアとも呼ばれています)のマイナーなバリエーションで、この種類の脅威は2004年から存在しています。Android/Smsilence.Cに感染すると、より多くの情報を外部に送信することが可能で、さらにスパイウェアもダウンロードされます。

日本のキャリアは、テキストメッセージにCMAILプロトコルを使用しているものもあり、国外からモバイルボットネットをコントロールし、維持するのは簡単なことではありません。(日本のキャリアが搭載しているセキュリティ機能*3 により)。もしかしたら、感染した端末の拡散やコントロールを手助けしている共犯者がいるのかもしれません。そうだとしたら、ボットネットコントローラーによるオンデマンドによって感染した端末にダウンロードされる第2弾のパッケージの機能に関する説明がつきます。このパッケージは、テキストメッセージの送信にとどまらないスパイウェア機能を持っています。

この新しい系列に関するもっとも奇妙な部分はここからで、アンチマルウェアのリサーチ分野における限界を浮かび上がらせるようなものです。Androidのトロイの木馬やStuxnetのような複雑な脅威にせよ、時間さえ十分にあれば、どんなコードであっても基本的な要素に分解することができます。しかし、時々どんなに時間を使っても、マルウェア作者の考えていることが理解できないことがあります。今回のケースについては、マルウェアの中でパッケージハッシュを変えるファイルが見つかっています;これは、サーバーサイドのポリモーフィズムを付け加える回避技術で、アンチウイルスベンダーの検知を回避するためのものです。こういった技術が東ヨーロッパの脅威ファミリー以外で使用されているのを見るのは初めてですが、この技術自体に困惑しているわけではありません。なんとも奇妙なのは、回避技術の重要なコンポーネントである選ばれたファイルがボリス・ジョンソン ロンドン市長の写真であったことです。

クリックすると拡大します

マルウェアの作成者は、ロンドン市長であるボリス・ジョンソンの画像をマルウェアに仕込んでいました [ 拡大図 ]

*1 ノキア傘下の高級携帯電話端末ブランド
*2 スマホ画面の外観をVertuらしくカスタマイズするための設定ファイル
*3 SMS(Cメール)安心ブロック機能/ 国内他事業者ブロック機能/ 海外事業者ブロック機能 等

※本ページの内容はMcAfee Blogの抄訳です。
原文:Fake Vertu App Infects Korean and Japanese Android Users

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速