初の「よそ者のボットネット」で広がるモバイル版トロイの木馬を発見
Kaspersky のアナリストは、過去 3 か月にわたって、Android を標的にした悪意のあるアプリObad.a Trojan がどのように拡散しているかを調査してきました。
本リリースは、2013 年 8 月 29 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky のアナリストは、過去 3 か月にわたって、Android を標的にした悪意のあるアプリObad.a Trojan がどのように拡散しているかを調査してきました。その調査結果によれば、犯罪者はトロイの木馬を拡散させるために新しいテクニックを採用したようです。このトロイの木馬はモバイルサイバー犯罪の歴史上、初めて「他の犯罪者グループがコントロールしているボットネット」を使用して拡散されています。また、Obad.aは主に CIS 諸国(独立国家共同体)で発見されていることも明らかになりました。全体的にみると、感染攻撃の 83% はロシアで記録されていますが、ウクライナ、ベラルーシ、ウズベキスタン、カザフスタンのモバイルデバイスでも検知されています。
今回の調査では、さまざまなバージョンの Obad.a が別のトロイの木馬 Trojan-SMS.AndroidOS.Opfake.aとともに拡散していることがわかりました。この二重の攻撃は、ダウンロードをユーザーに促すテキストメッセージから始まります。ここでユーザーがリンクをクリックすると、Opfake.a の仕込まれたファイルが自動的にスマートフォンまたはタブレットにダウンロードされます。
ユーザーがこのファイルを起動するとOpfake.a がインストールされ、デバイスに保存されている連絡先すべてに宛ててメッセージが送信されます。そのメッセージを受け取ったユーザーがこのメッセージに記載されているリンクをクリックすると、Obad.a がダウンロードされます。これは非常にうまく構成されたシステムです。ロシアのあるモバイルネットワークプロバイダーはわずか 5 時間のうちにこのようなリンクを含むメッセージを 600 通以上報告し、大量配信があったことを指摘しています。ほとんどの場合、マルウェアはすでに感染しているデバイスを通じて広がりました。
また、この非常に複雑な攻撃では、モバイルボットネット(乗っ取った多数のモバイルデバイスで構成されるネットワーク)だけでなく、スパムメッセージの配信によってもトロイの木馬を拡散させています。Obad.a Trojan の運び屋の大半はスパムメッセージなのです。よくみられるのは、未払いの「負債」を警告するメッセージで、Obad.a をモバイルデバイスに自動ダウンロードするリンクをクリックするようにユーザーを誘導します。しかし、この場合も、ダウンロードされたファイルを実行しなければ、トロイの木馬はインストールされません。
偽のアプリケーションストアも Backdoor.AndroidOS.Obad.a を広めます。このようなストアは Google Play ページのコンテンツを複製したもので、正規のリンクが悪意のあるリンクで置き換られています。つまりユーザーは改ざんされた正規のサイトから危険なサイトにリダイレクトされてしまうのです。ここで Obad.a がターゲットにするのはAndroidモバイルユーザーだけです。ユーザーがホームコンピュータからサイトにアクセスした場合は何も起こりませんが、スマートフォンやタブレットからであれば、偽のサイトにリダイレクトされます。
Kaspersky Lab のアンチウイルスエキスパート、ローマン・アニュチェク(Roman Unuchek)は次のように述べています。「3 か月間で 12 種類の Backdoor.AndroidOS.Obad.a を発見しました。これらはすべて同じ機能セットを持ち、コードは高いレベルで難読化されています。また、どれもマルウェアに 端末の管理者権限を与えるため、除去が非常に難しくなっていました。このAndroid OS のぜい弱性を悪用した攻撃については、発見と同時に Google に報告し、Android 4.3 では解決されています。しかし、このバージョンが稼働しているスマートフォンやタブレットはごく一部の新製品に限られているため、4.3 以前のバージョンを使っている古いデバイスは今でも危険にさらされています。公表されていない多数のぜい弱性を使用している Obad.a はAndroid を標的にしたその他のトロイの木馬よりも、むしろ Windows マルウェアに似ています。」
Obad.a の詳細については securelist.comをご覧ください。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については
http://www.kaspersky.co.jp/
をご覧ください。
初の「よそ者のボットネット」で広がるモバイル版トロイの木馬を発見
Kaspersky
関連記事 ウイルスニュース
Kaspersky Lab、インターポール主導のASEAN地域を対象としたサイバー犯罪捜査活動に参加
ASEAN地域においてインターポールが主導する官民連携のサイバー犯罪捜査活動に参加しました。この捜査活動の結果、8,800台のボットネットの指令サーバー(C2)と、政府の公式Webサイトを含む数百件のマルウェアに感染したWebサイトなどが特定されました。詳しくはこちら >インターポールをはじめ30以上の新規パートナーが「No More Ransom」プロジェクトに参加、新たに15の復号ツールを公開
2016年7月に発足した官民連携のランサムウェア対抗プロジェクトに、新たに30超の組織が参加し、計87組織となりました。今回、15の復号ツールが追加され、ポータルサイトも日本語をはじめ14の言語で利用が可能になりました。2016年12月以来、全世界で1万人以上のユーザーが同プロジェクトで提供されている復号ツールを利用して、攻撃を受けたデバイスを復号することに成功しています。詳しくはこちら >Kaspersky Lab、悪名高きサイバー犯罪組織「Lazarus」を追跡調査し、 金融機関からの大規模な金銭窃取の回避に貢献
Kaspersky Labのグローバル調査分析チームは、2016年にバングラデシュ中央銀行から8,100万ドルを窃取したとされるサイバー犯罪組織「Lazarus」を、1年以上に渡り調査した結果を発表しました。この分析結果から得られた知見は、Lazarusが別の金融機関を狙い、多額の金銭窃取を目的とした攻撃活動を中断させる手助けとなりました。詳しくはこちら >