Gone are the days when you had to click to “accept” a download or install a software update in order to become infected. Now, just opening a compromised web page could allow dangerous code to install on your device. You just need to visit or “drive by” a web page, without stopping to click or Read more…
ワンクリック詐欺とは、アダルト動画に興味のあるユーザーを誘い込み、有料サービスに登録させようとする詐欺行為のことです。このタイプの詐欺は、PC の世界では、この何年もの間よく見られるものですが、スマートフォンが普及するにつれ、スマートフォンデバイスを狙ったワンクリック詐欺も増加しています。こうした詐欺サイトには、興味のある語句で検索したり、スパムメッセージに記載されているリンクをクリックしたりしてアクセスしてしまうことが多いものです。昨年、ワンクリック詐欺を働く Android アプリの存在を確認しましたが、現在は Google Play でもこうしたアプリが見つかっています。
図 1. 詐欺アプリを提供している開発元の例
図 2. ワンクリック詐欺アプリの例
こういったアプリは、インターネット検索と同じように Google Play でキーワード検索を実行すると簡単に見つかります。たとえば、(このブログの執筆時点では)アダルト動画に関連する日本語の単語を入力すると、そうしたアプリの 1 つが検索結果の上位に表示されます。大抵の場合、アプリがユーザーに要求するのは、「ネットワーク通信」許可だけです。アプリによっては、何の許可も要求しないものもあります。これは、ユーザーに詐欺アダルトサイトを開かせるように誘い、詐欺に陥れるための道具としてしか、このアプリが使われていないためです。アプリには余計な機能が付いていないので、ユーザーはアプリが安全だと誤解して、無防備に起動してしまう可能性があります。
図 3. これらの詐欺アプリで通常要求される許可
このタイプのアプリを最初に確認したのは昨年の 1 月のことですが、それよりも前に公開されていた可能性もあります。以降、さまざまな開発元から何度もアプリが公開されています。一時、多くのアプリが理由は不明ながら Google Play から削除されたものの、その数は着実に増え続けています。現在では、複数の開発元がおびただしい数のアプリを毎日公開していることが確認されています。シマンテックで確認している限り、これまで 50 以上もの開発元によって、200 個以上の詐欺アプリが公開されていますが、実際には、おそらくそれ以上の数に上るでしょう。これらのアプリは、最近 2 か月で 5,000 回以上もダウンロードされています。この「サービス」には、99,000 円請求されますが、実際に詐欺グループにお金を払ってしまった被害者の数はわかっていません。2 か月以上もこの商売を続けていることを見ると、詐欺グループにとっては、時間と手間をかけるだけの価値があるのでしょう。
図 4. 詐欺アプリが開くサイトの例
図 5. 動画を見ようとすると表示される登録ページ
興味深いことに、詐欺グループが関心を持っているのは、ワンクリック詐欺だけではないようです。いくつかの開発元は、出会い系サービスアプリも公開していることが確認されています。出会い系サービスがいかがわしいものとされている日本では、詐欺グループがワンクリック詐欺アプリと出会い系サービスアプリの両方に手を染めていても、特に驚きはありません。
図 6. ワンクリック詐欺アプリ(右端)と出会い系サービスアプリの両方をリリースしている開発元
シマンテックは、このブログで説明しているアプリを Android.Oneclickfraud として検出します。アプリを探すときには、アプリがホストされている場所や見つかった場所にかかわらず、信頼できるサイトからダウンロードするようにしてください。ノートン モバイルセキュリティや Symantec Mobile Security などのセキュリティアプリをダウンロードして、デバイスを保護することも有効です。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Exploits of the Java Runtime Environment (JRE) have been extensively used in drive-by-download toolkits such as Blackhole and Red Kit. New vulnerabilities discovered in 2013, such as CVE-2013-1493 and CVE-2013-0422, are popular, and we still see lots of older exploits such as CVE-2012-1723, CVE-2012-4681, and CVE-2012-0507. These vulnerabilities are already fixed in the latest JRE. Read more…
You’ve felt it. That tiny nagging of a feeling making you doubt for a second whether or not you should post what you’re doing on Twitter, share that picture of your new car (including the license plate, shall I mention) on Facebook, or tag your location in an Instagram photo. But that’s just the beginning! Read more…
The economy is improving, consumer confidence is up, and eCommerce is expected to grow 13% in 2013, all good signs right? Along with these positive signs, the online threat landscape continues to grow as well. In the last two months alone, cyberattacks have not only been high in quantity, but also high in quality, hitting Read more…
One-click fraud refers to a scam that attempts to lure users interested in adult-related video to a site that attempts to trick them into registering for a paid service. For many years, it has been common to see this type of fraud on computers. As smar…
概要
韓国に対する大規模なサイバー攻撃は、過去 4 年間に何回か確認されています。シマンテックが特定したバックドア(Backdoor.Prioxer)は 2011 年の攻撃で浮かび上がったものですが、このバックドアを修正した亜種が 2013 年の攻撃でも検出されています。このバックドアは一般に入手可能なコードをベースにしていますが、同じ個人が 2011 年と 2013 年のどちらの攻撃にも関与している形跡があり、2 つの攻撃には何らかの関係性があるものと示唆されます。
背景
大規模な攻撃が初めて記録されたのは、2009 年 7 月のことでした。この攻撃は、米国の独立記念日に当たる 7 月 4 日に始まり、韓国と米国の政府系や金融系のさまざまな Web サイトに対して分散サービス拒否(DDoS)攻撃が仕掛けられました。2 度目の攻撃は 7 月 7 日、3 度目は 7 月 9 日に発生しています。一連の攻撃に使われたマルウェアは Trojan.Dozer で、電子メールを介して拡散しました。Trojan.Dozer のコードには時限爆弾が仕込まれており、7 月 10 日に発動するように設定されていました。この時限爆弾は、ハードディスク上の各種のファイルを上書きするうえ、ハードディスクの先頭の 1 MB も上書きして MBR とパーティションテーブルを破壊する機能があります。これにより、ハードディスクは、「Memory of the Independence Day(独立記念日を祝して)」という文字列で上書きされてしまいます。
2 度目の大規模攻撃は、2011 年 3 月 4 日に発生しました。このときも DDoS が利用され、同じく米国と韓国の政府系機関が狙われました。ここで使われたマルウェアは Trojan.Koredos ですが、やはり指定されたタイプのファイルを上書きし、MBR を破壊します。この攻撃の調査中に発見されたのが、Backdoor.Prioxer というトロイの木馬です。Backdoor.Prioxer は非常に高度で、ファイルへの感染の仕組みも慎重です。このときの詳しい手口については、以前のブログで紹介しています。
そして、3 度目に当たるのが今回、2013 年 3 月 20 日の攻撃です。この攻撃はハードディスクを上書きするだけで、DDoS 攻撃はないものと見られています。ここで使われている Trojan.Jokra は、MBR とハードディスクの内容を、ファイル形式に関係なく上書きしたうえで、マップされたネットワークドライブを探し、見つかればそれも上書きしようとします。インストールの経路は、電子メールやパッチ管理など複数あるようです。パッチ管理とは自動更新システムで、これが感染してマルウェアを拡散しました。
2011 年の Trojan.Koredos の調査と同様に、Trojan.Jokra に感染したコンピュータのファイルを調べているときに Backdoor.Prioxer の新しい亜種が見つかっています(Backdoor.Prioxer.B と命名されました)。この新しい亜種は、同じ C&C のベースプロトコルを共有していますが、以前の亜種とは異なり IRC 通信のプロキシは行いません。被害を受けたコンピュータへのインストール方法を判定しようとして、このファイルをさらに調べたところ、Trojan.Jokra とのつながりが確認されました。
関連性の発見
Trojan.Jokra のサンプルは Jokra パッカーによって不明瞭化されています。Jokra パッカーはダウンローダの不明瞭化にも利用されていました(2012 年 8 月に、50e03200c3a0becbf33b3788dac8cd46 という MD5 で発見)。このダウンローダは、次の場所から Backdoor.Prioxer をダウンロードします。
http://www.skymom.co.kr/[削除済み]/update_body.jpg
Trojan.Jokra と Backdoor.Prioxer.B のつながりも、Jokra パッカーが基になっています。2013 年の事案で見つかった別のマルウェアサンプル(Trojan.Gen.2)は、Jokra パッカーでパッケージ化され、ビルドのパス文字列を含んでいます。この文字列は、サンプルがディスク上のどこでコンパイルされたかを示しています。
パスは以下のとおりです。
Z:\Work\Make Troy\3RAT Project\3RATClient_Load\Release\3RATClient_Load.pdb
同じ調査で見つかった Backdoor.Prioxer.B サンプルにも、以下のビルド文字列が含まれています。
Z:\Work\Make Troy\Concealment Troy\Exe_Concealment_Troy(Winlogon_Shell)\Dll\Concealment_Troy(Dll)\Release\Concealment_Troy.pdb
2 つのマルウェアが、Z:\work\Make Troy という同じビルドソースディレクトリからコンパイルされたことが、これで明らかになりました。
仕事か趣味か
Jokra パッカーが 1 つのグループに限定されているとすれば、Backdoor.Prioxer.B と Trojan.Jokra のつながりは間違いありません。このパッカーは、検出数がきわめて少ないことから、公然と配布されているわけではなく、韓国に限定されているとシマンテックは考えています。今までのところ Jokra、ダウンローダ、そして「Z:」で始まるビルド文字列を含むバックドア型のトロイの木馬しか対象になっていません。こうした範囲の狭さから、Jokra パッカーが 1 つのグループのみによって使われていることが示唆されます。
Backdoor.Prioxer.B と 2011 年の攻撃とのつながりは、これまで明確にはなっていません。各バージョンの Backdoor.Prioxer が 2 つの攻撃を通じて存在していたとは考えにくく、トロイの木馬は単に調査の過程で検出されただけで、実際には攻撃に関係していなかったという説明も可能でしょう。とは言え、Jokra のつながりを考えると、サンプルはやはり関係していると考えてよさそうです。
最後に、Backdoor.Prioxer サンプルで使われているビルドパス自体が手がかりになります。パスは「Z:\work」ですが、個人のハックティビストがトロイの木馬を保存する場所として「work(作業用)」というラベルのフォルダを使うことは、まずありえません。ハックティビストであれば、トロイの木馬を開発することは仕事ではなく、趣味のようなものだからです。コードを作業用フォルダに保存するのは、コーディングを職業にしている人と考えれば、請負業者として報酬を得ている、あるいは従業員として指示されている何者かが一連の攻撃を実行した可能性があるということになります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
One thing that disturbs me is how people classify some malware by how surprising large the file is, how many libraries it uses, etc. In many cases, this just means the malware has inefficient code and all the tools are available to easily convert the binaries back into human-readable pseudocode. Let’s look back a bit Read more…
A recent scam has surfaced in which the identify of a Texas attorney, who had not practiced in years, was used to set up a fake law firm website using the attorney’s maiden name, former office address, and portions of her professional biography. Other attorneys have complained about the use… Read more »
Overview
In the past four years there have been several major cyber attacks against South Korea. We have identified a particular back door (Backdoor.Prioxer) that surfaced during the 2011 attacks. A modified version of this back door was also discover…