ルーターのDNS設定を改竄し悪意あるサイトへ誘導する「Roaming Mantis」、マイニングやフィッシングといった新たな機能を追加し、アジアから欧州および中東へと攻撃を拡大

[本リリースは、2018年5月18日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labの調査チームが4月16日に発表した「Roaming Mantis」は、当初アジア地域を主な標的としており、ルーターのドメインネームシステム（DNS）設定を改竄することで攻撃者のサーバーへ誘導し、そこでAndroid向けマルウェアのインストールを促していました。その後の調査により、攻撃対象となる地域やデバイスが拡大していることが明らかになりました。現在ではその標的の範囲を欧州および中東にまで広げ、さらには仮想通貨のマイニングやiOSデバイス向けのフィッシングの機能も加えています。この攻撃は、認証情報を含むユーザー情報の窃盗と、攻撃されたデバイスを攻撃者が完全にコントロールできるように設計されています。この背後には、金銭を目的とした韓国語または中国語を使用するサイバー犯罪組織が存在すると、調査チームは見ています。

■ Roaming Mantisの攻撃手法

Kaspersky Labの分析結果では、この攻撃者が、脆弱なルーターのDNS設定を改竄するというシンプルでありながら非常に効果的なトリックでマルウェアを配布することが分かっていますが、ルーターの侵害方法はまだ解明できていません。DNSが乗っ取られると、ユーザーがどのWebサイトにアクセスしようとしても、正規のWebサイトのドメインは攻撃者のサーバーのIPアドレスに誘導されてしまいます。この誘導先では、「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」といったメッセージを表示し、Androidデバイスに対して、バックドア機能を備えたトロイの木馬である「facebook.apk」や「chrome.apk」などのアプリケーションのインストールを促します。

Roaming Mantisは、標的としたAndroidデバイスのルート化の有無を確認し、ユーザーによるすべての通信やブラウジングが通知されるよう許可を求めてきます。また2段階認証のための情報を含め、幅広いデータを収集できます。攻撃者がこうした情報を取得していることや、マルウェアコードの一部に韓国のモバイルバンキングとゲームアプリのアプリケーションIDが含まれていることから、この攻撃は金銭目的の可能性があると考えられます。

■ Roaming Mantisの進化：攻撃対象地域と追加機能

4月の発表時点の調査では、それまで2か月間の当社の統計情報を確認したところ、韓国、バングラデシュ、日本を中心に、約150のカスペルスキー製品のユニークユーザーが標的となっていました。しかし攻撃者の指令サーバーとの通信が1日あたり数千を超えることも判明しており、攻撃の規模は当社の統計情報で確認された数よりも遥かに大きいものと見ていました。この時点で、マルウェアの対応言語は、韓国語、中国語（簡体字）、日本語、英語の4種類でした。

その後この攻撃は進化を続け、現在では27言語（ポーランド語、ドイツ語、アラビア語、ブルガリア語、ロシア語など）に対応し、攻撃対象がiOSデバイスであった場合には、Appleを騙ったフィッシングサイトに転送する機能や、誘導先のページ上にユーザーのPCのリソースを密かに使用して仮想通貨のマイニングを行う機能も追加されています。当社の観測によると、攻撃範囲の拡大と対象言語の増加に伴い、カスペルスキー製品で検知したユーザーの数も増加しています。対応言語が27言語に増えてから少なくとも数日以内に100以上のユニークユーザーの環境で検知しています。当社のリサーチャーは、この大規模な攻撃は今後も続くと見ています。

株式会社カスペルスキー　グローバル調査分析チーム（GReAT）^※1のセキュリティリサーチャー、石丸　傑（いしまる　すぐる）は次のように述べています。

「今年4月にRoaming Mantisに関するレポートを発表した時点で、これは活動的で急速に変化する脅威であると指摘しました。その後の調査により、標的範囲が劇的に拡大し、欧州や中東を含む地域まで広がっていることが明らかになりました。この攻撃者は、金銭目的のサイバー犯罪者であると見ており、中国語話者もしくは韓国語話者の関与を示す手がかりも複数発見しています。また、この攻撃に確固とした目的があることは明らかであるため、すぐに収束する可能性は低いものと考えられます。ルーターへの攻撃や、DNSを改竄する手法に対抗するには、より堅牢なデバイス保護とネット接続の安全性確保が不可欠です」

カスペルスキー製品は、このRoaming Mantisによる攻撃を以下の検知名で検知・ブロックします。

・Trojan-Banker.AndroidOS.Wroba

Kaspersky Labでは、この感染を回避し、安全にインターネットに接続するために以下を推奨しています：

・ルーターのユーザーマニュアルを参照し、DNS設定が改竄されていないかを確認するか、インターネットサービスプロバイダーに問い合わせること。

・ルーターの管理者用Webページのログイン名とパスワードを初期設定から変更し、定期的に公式サイトからルーターのファームウェアアップデートを行うこと。

・ルーターのファームウェアは、公式以外のサードパーティサイトから決してインストールしないこと。Androidデバイスについても、公式以外のサイトからアプリなどをインストールしないこと。

・常にブラウザーとWebサイトのアドレスを確認し、正規のサイトであることを確認すること。またデータの入力を求められた時には「https」の有無などを確認すること。

・脅威からデバイスを保護するため、モバイル向けのセキュリティ製品のインストールを検討すること。

■ Roaming Mantisの技術的な詳細は、

Securelistブログ「Roaming Mantis dabbles in mining and phishing multilingually」（英語）をご覧ください。日本語版はKaspersky Dailyブログ「Roaming Mantis続報：さらなる多言語化、フィッシング、そしてマイニング」をご覧ください。

4月に発表した調査については、Kaspersky Dailyブログ「DNS設定を乗っ取りAndroidデバイスに感染するRoaming Mantis」をご覧ください。

※ 上記統計情報はすべて、Kaspersky Security Network（以下KSN）で取得されたものです。KSNは、Kaspersky Labのアンチマルウェア製品の各種コンポーネントから情報を収集するクラウドベースのアンチウイルスネットワークです。ネット上の新しい脅威を即時に検知し、感染源を数分でブロックすることでKSNに接続されたすべてのコンピューターを保護します。KSNには全世界で数千万の個人および法人ユーザーが参加しており、悪意のある活動に関する情報を世界規模で共有しています。すべての情報は、ユーザーの同意を得て収集されています。

※ 1 Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。