メインコンテンツにスキップする

Kaspersky Lab、318,000のAndroidユーザーを攻撃したモバイルバンキング型トロイの木馬「Svpeng」の手口を解明

2016年11月8日

Kaspersky Labのリサーチャーは、SvpengがGoogle AdSense経由で拡散し、「Google Chrome for Android」のバグを悪用してAndroid端末内に侵入していることを突き止めました。攻撃対象は主にロシア語圏で、端末内の情報を窃取することを目的にしています。

~Google AdSenseを経由して拡散、Chromeブラウザのバグを悪用しAndroid端末内に侵入~

[本リリースは、2016年11月7日にKaspersky Labが発表したリリースに基づいた抄訳です]

Kaspersky Labのリサーチャーは、今年8月、モバイルバンキング型トロイの木馬の亜種「Svpeng」が、Googleの広告配信サービスAdSenseを経由して拡散されていることを発見しました。Svpengは7月中旬からこれまでに累計31,8000ユーザー、1日に最大37,000ユーザーのAndroid端末で検知されています。Svpengは「Google Chrome for Android」のバグを悪用して侵入し、Android端末内の銀行口座情報や通話履歴、SMSやMMS、ブラウザのブックマーク、連絡先などを窃取することを目的としていました。

Svpengの最初の事例は、2016年7月中旬に起きたロシアのオンラインメディアに対する攻撃だと見られています。Kaspersky Labのリサーチャーが、Svpengの攻撃プロセスを解明していくなかで、攻撃の起点がGoogle AdSenseで配信されている広告だったことを突きとめました。この広告はSvpengが仕込まれたAKPファイル をダウンロードさせるもので、マルウェアに感染していないWebサイトに「普通に」表示されていました。Google Chrome for AndroidでGoogle AdSenseの広告が設置されたWebサイトにアクセスし、その広告が読み込まれたとき、閲覧者のAndroid端末のSDカードにSvpengを仕込んだAKPファイルが自動的にダウンロードされていました。Svpengはブラウザの重要なアップデートや一般的なアプリケーションになりすますことで、ユーザーにインストールを承認させていました。Svpengはインストール済みアプリの一覧には表示されず、デバイス管理者の権限を要求するため、気づきにくくなっていました。

モバイル端末で外部のWebリンクからAPKファイルをダウンロードしようとすると、危険性のあるオブジェクトがダウンロードされるとして、通常はブラウザに警告が表示されますが、今回のケースでは、Google Chrome for Androidのバグを悪用してセキュリティの脆弱性を突き、ユーザーへの通知なしにSvpengが仕込まれたAPKファイルのダウンロードが可能になっていました。

Kaspersky Labは、このバグを発見し速やかにGoogleに報告しました。このバグに対応するパッチは、Google Chrome for Androidの直近の更新で提供される予定です。

Kaspersky Labのマルウェアアナリストであるニキータ・ブーチュカ(Nikita Buchka)は、次のように述べています。「Svpengのケースで、サイバー攻撃からユーザーを保護するという目標を企業間で共有し、協力することの重要性が裏付けられました。今回、Androidエコシステムの安全化に協力することができ光栄に感じるとともに、われわれの報告に対するGoogle社の素早い対応に感謝しています。ユーザー側でできる対策としては、信頼できない情報源からはアプリケーションをダウンロードせず、アプリが要求する権限やその要求の妥当性を理解し、必要性を判断することが大事です」

Kaspersky Labでは、Google Chrome for Androidを最新バージョンにアップデートし、効果的にセキュリティ製品を利用することを推奨しています。また、攻撃者やマルウェア作成者はユーザーを欺いて悪意あるソフトウェアをインストールさせ、広範なデバイス管理者権限を承認させようとします。そのために使われるツールや手口にも注意が必要です。

Svpengは、ロシア語圏を主な攻撃対象にしていますが、全世界に拡散する恐れもあります。このマルウェアは配信方法が特殊なため、Google AdSenceを利用して広告を表示している世界中の何百万ものWebページがリスクに晒されています。

カスペルスキー製品では、モバイルバンキング型トロイの木馬「Svpeng」をTrojan-Banker.AndroidOS.Svpeng.qとして検知・ブロックします。

Svpengの詳細については、Securelist.comをご覧ください。

※ Androidアプリケーションを格納するためのファイル形式


Kaspersky Lab、318,000のAndroidユーザーを攻撃したモバイルバンキング型トロイの木馬「Svpeng」の手口を解明

Kaspersky Labのリサーチャーは、SvpengがGoogle AdSense経由で拡散し、「Google Chrome for Android」のバグを悪用してAndroid端末内に侵入していることを突き止めました。攻撃対象は主にロシア語圏で、端末内の情報を窃取することを目的にしています。
Kaspersky logo

カスペルスキーについて

カスペルスキーは、1997年に設立されたグローバル企業です。サイバーセキュリティの普及と、デジタルライフにおけるプライバシーの保護を目的として活動しています。カスペルスキーは、「サイバーイミュニティ」というアプローチで業界の革新を推進し、サイバー脅威から一般ユーザー、企業、重要インフラ、政府を保護しています。これまでに保護したデバイスは、10億台を超えています。

カスペルスキーが実現するのは、「Cybersecurity True to Business」です。明確な成果の達成、収益の保護、業務負荷の軽減、ダウンタイムの防止に重点を置いています。カスペルスキーの高度な脅威インテリジェンスとセキュリティに関する専門知識は、あらゆる規模の組織に向けた革新的なソリューションやサービスという形で、絶えず具現化され続けています。小規模企業から大規模企業に至るまで、あらゆる規模をカバーする保護を、実績あるAI駆動型の保護技術と、シンプルな管理機能、エキスパートによるサポートの組み合わせで実現しています。

カスペルスキーは、独立系機関によるテストで高い評価を得ており、世界各地の数百万人の個人ユーザーや約20万の組織から信頼されています。脅威の早期検知、機動的な対応、高い信頼性と自由度が確保された運用を支援し、お客様にとって最も大切なものを守ります。詳細は、www.kaspersky.comをご覧ください。

関連記事 ウイルスニュース