Category Archives: Security Response News

今年の Mobile World Congress は、2 月 24 日から 27 日の会期で開催されています。スマートフォンやタブレットの最新技術が一堂に会し、それが今後 1 年のうちに私たちの前に姿を現すことでしょう。しかし、モバイルデバイスのメーカーやアプリ開発者が毎年技術を競い合うように、マルウェアの作成者も腕を磨いています。シマンテックは 2013 年、Android モバイルオペレーティングシステムを標的としたマルウェアの新しい亜種を 1 カ月当たり平均 272 種類、新しいマルウェアグループを平均 5 つ発見しました。こうした脅威が、さまざまな手口でモバイルデバイスを標的にしており、個人情報と銀行口座やクレジットカードなどの情報を盗み出すほか、ユーザーを追跡する、プレミアム SMS メッセージを送信する、執拗なアドウェアを表示するなどの攻撃を試みます。これまでに確認された顕著な脅威が先駆けとなって、新しいタイプのモバイルマルウェアが出現するかもしれません。

さらに大胆に財布を狙う Android マルウェア
オンラインバンキングやショッピングにスマートフォンとタブレットを使うユーザーは増え続けています。PewResearch が行った最近の調査によると、米国の成人のうちオンラインバンキングを利用しているのは 51% で、オンラインバンキングに携帯電話を使っている率も 35% に達しています。若い世代ほどモバイルバンキングの利用率が高い傾向があるので、時間が経てばさらに普及率は高くなるでしょう。

オンラインバンキング用のアプリと併せて、モバイルデバイスは 2要素認証（2FA）プロセスにも対応しています。ユーザーが PC 上でオンラインバンクの口座にログインしようとすると、モバイルデバイスにコードが送信され、そのコードをオンラインバンキングサイトに入力して初めてそのユーザーの ID が確認される仕組みです。

この方式を理解している攻撃者によって、2FA のコードを盗み出す Android マルウェアが開発されており、Android.Hesperbot や Android.Perkel といったマルウェアは、2FA コードの記載された SMS メッセージを傍受して、攻撃者に直接送信します。オンラインバンキングに関する他の利用者情報も盗み出し、PC ベースの他のマルウェアを組み合わせて被害者のアカウントに侵入します。

モバイルウォレットという概念が普及していることから、この手のマルウェアは今後数年で増加する恐れがあります。実店舗の買い物にモバイルデバイスを使うという考え方はまだ主流ではありませんが、攻撃者がこれに目を付けるのも時間の問題でしょう。

ステルス性の強化 – Android ブートキット
ブートキットは、主に Windows コンピュータを標的にした高度な脅威で使われています。オペレーティングシステムの奥深くで活動し、通常はマスターブートレコードなどコンピュータの起動コードに感染するため、オペレーティングシステム自体の起動より前にマルウェアを実行することが可能です。このような形の脅威を攻撃者が利用すれば、長期間にわたって侵入先のコンピュータに潜伏し、特定のプロセスを検出から逃れるようにすることができます。その結果、脅威のコンポーネントはルートキットやその他のステルス機能によって守られるため、ブートキットは対処が難しい厄介な存在になりかねません。シマンテックが提供している Symantec Power Eraser、ノートン パワーイレイサー、ノートン ブータブルリカバリツールを使って、この手の脅威をコンピュータから除去することができます。

最近見つかったブートキット（Android.Gooboot として検出されます）は、Android デバイスを狙うことがわかっています。Android.Gooboot は Android デバイスのブートパーティションとブートスクリプトを書き換えて、オペレーティングシステムの起動中に起動することができます。これは特に除去が難しいブートキットですが、そもそも感染させるためには攻撃者は物理的にデバイスに触れなければなりません。また、Android.Gooboot は何の悪用コードも伴わず、権限を昇格する機能も持っていません。とは言え、攻撃者がスマートフォンへの感染を試みる手口はますます大胆になっているので、これが Android マルウェアを取り巻く状況について今後の傾向を示しているとは言えそうです。現時点では、ルート権限を取得した携帯電話を購入する際は警戒してください。

モバイルデバイスに侵入する新たな経路
Android マルウェアはユーザーを欺いて Android マーケットから悪質なアプリをインストールさせるのが常套手段です。しかし、アプリの審査が厳密になりつつあるため、攻撃者が悪質なアプリを Android マーケットに送り出すのは以前より難しくなってきました。その代わりに攻撃者は、PC を経由して Android デバイスに侵入することを試み始めており、そこからハイブリッド型の脅威も生まれています。

シマンテックが Trojan.Droidpak として検出する最近の脅威は、まず Windows コンピュータに侵入し、最終的に悪質な Android アプリケーションパッケージ（APK）を侵入先のコンピュータにダウンロードします。ユーザーがこのコンピュータに Android デバイスを接続すると、トロイの木馬が悪質な APK（Android.Fakebank.B として検出されます）を Android デバイスにインストールしようとします。インストールに成功すると、APK は韓国の特定のオンラインバンキングアプリを探して、悪質なバージョンをインストールさせるようユーザーを誘導しようとします。

この脅威を回避するために、信頼できない PC にはモバイルデバイスを接続しないよう注意して、また PC にもモバイルデバイスにもセキュリティソフトウェアを必ずインストールしてください。

もちろん、ハイブリッド型の脅威で狙われる経路は PC ばかりではありません。モノのインターネットが現実のものとなりつつある今、モバイルデバイスを利用してホームオートメーションシステムに、あるいはその逆方向に感染を試みる脅威が登場すると思われます。

増え続けるモバイルマルウェア
モバイルマルウェアは進化を続けています。Windows マルウェアの歴史を手掛かりにすることも多く、最新の技術動向にも常に敏感です。Android マルウェアの作成者の技量が向上していることは、ブートキットのような高度な手口が登場していることからも明らかです。PC を標的としたサイバー犯罪と同様、ほとんどの攻撃者の動機は金銭の詐取です。モバイル決済技術が普及していけば、モバイルデバイスは攻撃者にとってさらに魅力的な標的となるでしょう。パーソナルコンピューティングのためにモバイルデバイスへの依存度が高くなればなるほど、モバイルデバイスの保護は不可欠になります。ノートン モバイルセキュリティなど、定評のあるセキュリティソフトウェアを使って、さまざまな脅威からモバイルデバイスを保護してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Mobile World Congress is set to take place this year between February 24 and 27. The event promises to showcase smartphone and tablet innovations that will become a reality over the next 12 months. However, as mobile manufacturers and app developers have upped their game each year, so too have malware authors. Symantec discovered an average of 272 new malware variants and five new malware families per month targeting the Android mobile operating system in 2013. These threats have taken aim at mobile devices in several ways, such as by attempting to steal personal and financial information, track users, send premium rate SMS messages, and display intrusive adware. We have seen some notable threats that could pave the way for what’s next in mobile malware:

More aggressive financial Android threats
Consumers have been increasingly turning to their smartphones and tablets in order to do their online banking or shopping. According to a recent Pew research study, 51 percent of US adults bank online and 35 percent use their mobile phones to do so. Young people are leading the mobile banking trend, suggesting that this could become more widespread as time goes on.

Along with accessing banking apps, mobile devices can be used for two factor authentication (2FA) processes. Once the user tries to log into their online bank account on a computer, a code gets sent to their mobile device, which they can input onto the banking site to verify their identity.

Attackers have caught onto these methods and have developed Android malware to steal these 2FA codes. Threats such as Android.Hesperbot and Android.Perkel intercept SMS messages with 2FA codes and send them directly to attackers. They can also either steal other banking credentials or work with other computer-based threats to compromise victims’ accounts.

These threats could become more prevalent in the next few years as the concept of the mobile wallet catches on. Though the idea of paying for goods in physical stores with a mobile device hasn’t become mainstream yet, it will surely be an avenue that attackers will be keeping an eye on.

Increasing stealth – Android bootkits
Bootkits are used in advanced threats to typically target Windows computers. These threats operate deep within the operating system, usually infecting the computer’s startup code, such as the Master Boot Record, allowing the malware to execute before the operating system starts up. These forms of threats let an attacker maintain persistence on the compromised computer and hide certain processes from detection. As a result, bootkits can be tricky to deal with, as their components are protected by rootkits or other stealth features. Symantec offers Symantec Power Eraser, Norton Power Eraser, or Norton Bootable Recovery Tool to remove these types of threats on computers.

Recently, a bootkit threat, detected as Android.Gooboot, has been discovered targeting Android devices. The bootkit modifies the Android device’s boot partition and booting script, allowing it to launch while the operating system is starting up. It’s a particularly difficult threat to remove, though the attacker needs physical access to the device in order to infect it in the first place. Along with this, Android.Gooboot does not carry any exploits nor does it elevate privileges. That said, it could be a sign of things to come on the Android malware landscape, as attackers become more aggressive in attempting to infect smartphones. For now, users should be wary of buying rooted phones.

New routes onto the handset
Android malware typically relies on tricking users into installing a malicious application from an Android marketplace. Increased screening of applications is making it more difficult for attackers to get their malicious apps onto the marketplace. Attackers are instead starting to use desktop computers as a vehicle onto Android handsets, leading to the birth of hybrid threats.

A recent threat, which we detect as Trojan.Droidpak, first arrives on the Windows PC and eventually leads to the download of a malicious Android application package file (APK) onto the compromised computer. If the user connects any Android device to the compromised computer, the Trojan will attempt to install the malicious APK, detected as Android.Fakebank.B, onto the mobile device. If installation is successful, the APK looks for particular Korean banking applications and tries to convince users to install malicious versions instead.

To avoid this threat, users should be wary of connecting their mobile device to untrustworthy desktop computers and ensure that they have security software on both their desktop and mobile devices.

Of course, desktops may not be the only medium involved in these hybrid threats. As the Internet of Things becomes a reality, it’s likely we’ll see threats attempt to use mobile devices to infect home automation systems and vice-versa.

The growing mobile malware threat
Mobile malware has continued to evolve, often taking cues from Windows malware developments or attempting to keep up with the latest technology trends. Android malware authors show growing sophistication, evidenced by the use of advanced techniques such as bootkits. As with desktop cybercrime, most attackers are financially motivated. Mobile devices will become increasingly attractive to attackers as mobile payment technology becomes more widely adopted. As users growing more reliant on mobile devices for their personal computing needs, they should ensure that their devices remain protected against today’s and tomorrow’s threats with reputable security software such as Norton Mobile Security.