Category Archives: Security Response News

Another Fake Application for Android Found on Google Play

Recently we released a blog talking about the difficulties of keeping app stores free of malicious applications. Today our automated system flagged yet another example of a misleading application that was posted on the Google Play store.
The applicatio…

Java Autorun ??? Java.Cogyeka?? 3 ??

このブログシリーズの第 1 回第 2 回でお伝えしたように、Java.Cogyeka は autorun.inf ファイルを使って拡散し、追加のモジュールをダウンロードします。サーバーとの接続を確立するのが難しかったため 1 週間以上掛かってしまいましたが、シマンテックは Java アプリケーションベースのダウンロードされるモジュールを入手することに成功しました。ダウンロードされるモジュールは、メインモジュールと同様に、Zelix KlassMaster による不明瞭化によって自身を隠そうとします。ダウンロードされるモジュールを調べたところ、Java.Cogyeka の目的は侵入先のコンピュータ上にあるゲームから情報を盗み出すことだとわかりました。

標的となるゲーム
Java.Cogyeka が標的とするゲームは、Riot Games 社が運営している『League of Legends(リーグオブレジェンズ)』という無料オンラインゲームです。このゲームは無料ですが、追加のキャラクターやキャラクタースキンを実際のお金で購入することができます。Java.Cogyeka がこのゲームを狙うのは、このように現実の金銭取引があるためでしょう。

Infostealer
ダウンロードされたモジュールは、『League of Legends』のプレイヤーのアカウント情報とキーストロークを盗み出して、そのアカウントを自由に制御しようとします。Java.Cogyeka の目的は、このゲームに関連する情報を盗み出すことにありますが、キーストロークを盗む機能があるので、それ以外の情報も盗み出される恐れがあります。

キーストロークの窃盗
ダウンロードされたモジュールは、32 ビット版と 64 ビット版の 2 種類の DLL ファイルを投下します。このとき利用されるのは、メインモジュールでリムーバブルドライブのドライブ名を取得するときに使われたのと同じ手口です(Java.Cogyeka に関する最初のブログを参照)。Java システムでは、Java アプリケーションが他のプロセスからキーストロークを取得することが許可されていません。Java.Cogyeka はパスワードを盗み出すことができますが、それにはネイティブコールを必要とするため、Java アプリケーションから Windows DLL ファイルを投下します。

キーストロークとマウス操作を記録するために、フックタイプとして WH_KEYBOARD_LL と WH_MOUSE_LL が使われているときに SetWindowsHookEx API を使います。盗み出されたキーストロークとマウス操作は、リモートサーバーに送信されます。

Fig1_1.png

図 1. ダウンロードされたモジュールがキーストロークとマウス操作を盗み出す

アカウント情報の窃盗
Java.Cogyeka がキーストロークを盗み出すのは、『League of Legends』のプレイヤーからユーザー名とパスワードを取得するためです。しかし、ゲームのログインウィンドウにはプレイヤーのユーザー名を記憶しておくオプションがあるため、このオプションが選択されている場合、Java.Cogyeka はユーザー名を取得できません。この問題を回避するために、Java.Cogyeka はユーザーのアカウント情報が記録されているファイルも盗み出そうとします。

Fig2_0.png

図 2. 『League of Legends』のログイン画面

ユーザーのアカウント情報を盗み出すために、Java.Cogyeka はすべてのドライブ上で以下のフォルダを検索します。

  • Riot Games/League of Legends/RADS/projects/lol_air_client/releases

このフォルダの中に、「0.1.2.0.」のようにゲームのバージョン名が付いたフォルダがあります。Java.Cogyeka は、バージョンフォルダでそれらのフォルダを走査して、以下のパスを検索します。

  • deploy/preferences/global/global.properties

このファイルには、ゲーム設定のほか、ログインに使われるプレイヤーのユーザー名が記録されています。

盗み出した情報の送信
ダウンロードされたモジュールによって取得されたログイン情報は、TCP ポート 1087 で Jkl.no-ip.biz というドメインに送信されます。

このサーバー名はすでに無効化されており、現在はアクセスできませんが、このサーバー名とポート番号はモジュールにハードコード化されており、その点でコマンド & コントロールサーバーの名前やポート番号とは異なります。また、盗み出された情報は暗号化されます。

Fig3.png

図 3. 標的となったゲームが全世界でプレイされているので、マルウェアも世界各地で確認されている

まとめ
このブログシリーズでは、Java.Cogyeka の拡散機能および情報窃盗機能と、不明瞭化ツールを使ってセキュリティスキャナによる検出をすり抜ける方法について説明してきました。はっきり狙われているのは『League of Legends』というオンラインゲームですが、取得されたキーストロークとマウス操作を通じて、それ以外の情報も盗み出される恐れがあります。追加の Java モジュールをダウンロードすることから、Java.Cogyeka には自身を更新する機能もあるかもしれません。シマンテックは、このマルウェアについて今後も監視と調査を続ける予定です。

Java.Cogyeka が、USB による拡散機能を必要としている理由は不明なままです。このマルウェアの目的はオンラインゲームから情報を盗み出すことにあります。『League of Legends』は、ユーザーがゲームサーバーに接続してオンラインでプレイするタイプのゲームなので、もしかすると、インターネットカフェのコンピュータに感染することを狙っているのかもしれません。その場合、プレイヤーやインターネットカフェの管理者は、USB メモリを使う可能性があります。あるいは、ユーザーが友人と同じ場所でプレイすることも考えられ、ファイルを共有するために USB メモリを使う可能性もあります。Java.Cogyeka は、そのような状況を利用しようとしているのかもしれません。

シマンテックは、これらのファイルを Java.CogyekaJava.Cogyeka!autorunJava.Cogyeka!gen1 としてそれぞれ検出します。セキュリティソフトウェアは常に最新状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Java Autorun ??? Java.Cogyeka?? 2 ??

不明瞭化
前回のブログでは、Java.Cogyeka で用いられているステルス技術について説明しました。ユーザーやセキュリティ研究者を欺く効果はありませんが、こうしたステルス技術が利用されているのは、Java マルウェアが絶えず改良されていることの証です。

ステルス技術とは別に、Java.Cogyeka はさまざまな不明瞭化技術によってセキュリティ研究者の目をすり抜けるように設計されています。成功している手口もありますが、なかには過剰な手口もあり、過剰な不明瞭化は、多くの場合マルウェアの効果を損ねているようです。

Java.Cogyeka で使われている不明瞭化技術は以下の 3 つです。

1. autorun.inf の不明瞭化
autorun.inf ファイルは、リムーバブルドライブを介した Java.Cogyeka の拡散に関与しています。このファイルは、以下の 3 つの部分で構成されています。

  1. Action
  2. Icon
  3. ShellExecute

autorun.inf がリムーバブルドライブの Recycler フォルダで自身を実行するには、ShellExecute 関数が必要です。前回のブログで述べたように、Java.Cogyeka はフォルダアイコンを使い、「Open folder to view files(ファイルを表示するにはフォルダを開いてください)」というメッセージも表示します。

Java.Cogyeka は、不明瞭化技術を使うことで、セキュリティスキャナによって autorun.inf が検出されないようにしています。不明瞭化する際には、エントリ間に無意味なゴミデータが挿入されます。そのゴミデータを構成しているのは、0x00 ~ 0x1F の制御文字です。このような不明瞭化技術は、悪質な .inf または .html ファイルでしばしば見つかります。

Figure1_3.png

図 1. 不明瞭化技術で挿入されるゴミデータ

不規則性を生ませるために、ASCII 文字の大文字と小文字がランダムに使われています。ゴミデータのサイズは 0 ~ 50 バイトで、細工された autorun.inf ファイルにトークンとともに配置されているクラスタの中にあります。シマンテックは、Java.Cogyeka によって細工された autorun.inf ファイルを Java.Cogyeka!autorun として検出します。

2. Zelix 不明瞭化ツール
Java.Cogyeka は、15 個のクラスファイル(a.class から o.class)を持つ JAR ファイルとして自身を拡散する Java マルウェアです。本来これらのクラスは、各クラスの機能に基づいて名前が付けられていたと考えられます。Zelix KlassMaster という名前の Java 不明瞭化ツールで、クラス名、メソッド名、Java バイトコード、文字列を変更しています。

Figure2_1.png

図 2. XOR テーブルで暗号化され復号される文字列の Zelix ビットマップ

Java 不明瞭化ツール自体はマルウェアではなく、正規のツールです。Java の開発者は、Java クラスファイルに重要なデータやコードを隠そうとすることがあります。Zelix による不明瞭化が適用されている場合、Java クラスファイルを逆コンパイルするのは困難です。

このツールを使うオブジェクトは、Java.Cogyeka だけではありません。たとえば、Java の脆弱性を悪用した悪質な Java アプレットの多くが、やはりこのツールを使っています。

3. ネットワーク接続の不明瞭化
サーバー名とポート番号の決定
コマンド & コントロール(C&C)サーバーから追加のモジュールをダウンロードするために、Java.Cogyeka は C&C サーバーに接続しなければなりません。しかし、既存のサーバーに接続しつつ多くの偽サーバーにも接続しようとするのは困難です。このようにして追加のモジュールをダウンロードするには長い時間が掛かりますが、その難しさの原因になっているのは、複雑なサーバー名とポート番号です。

C&C サーバーのホスト名は 5 個から 8 個のランダムな文字から成り、ドメインは動的 DNS に基づいてランダムに選択されます。ランダムな文字の選択には、マルウェアが実行される時刻に基づいたランダムなシードを使います。ドメインは、ランダムな文字の取得に使われたものと同じランダムシードによって、22 の有名なドメインサービスから選択されます。ポート番号も、同じランダムシードによってランダムに生成されます。シードの数は、64 ビット整数に基づいています。

Figure3_1.png

図 3. ホスト名、ドメイン名、ポート番号の決定に使われるランダムなシード

生成された C&C サーバー名は、動的な DNS サービスで別のユーザーによってホストされている正規のサーバー名と同じになる可能性もあります。その場合、マルウェアは生成された TCP ポート番号でこのサーバー名に接続しようとします。サーバーがこのポートでの接続を拒否した場合、接続はただちに停止されますが、マルウェアは接続を確立できないことがわかるまで待機しなければなりません。

ネゴシエーション
追加モジュールのダウンロードに使われるプロトコルはオリジナルのもので、不明瞭化されています。このプロトコルは、擬似乱数ジェネレータによって作成されるストリーム暗号を使うため、セキュアな接続を確立する可能性があります。

Java.Cogyeka とサーバープログラムでは、ランダムシードも擬似乱数ジェネレータも同じです。マルウェアは、2 つのバイトストリームを交換してネゴシエートします。

Figure4_1.png

図 4. Java.Cogyeka とサーバープログラムのネゴシエーション

Java.Cogyeka は擬似乱数ジェネレータで 1 つ目のバイトストリームとその長さを生成し、TCP 接続を介してサーバーに送信します。次にサーバーがデータを受信しますが、このサーバーがマルウェア作成者によって作成されたものである場合には、実行されるサーバープログラムはマルウェアと同じランダムシードと擬似乱数ジェネレータを備えています。サーバーは、同じジェネレータを使うことでバイトストリームとその長さを検証できます。再確認のため、サーバーは 2 つ目のバイトストリームを作成します。マルウェアは 2 つ目のバイトストリームを受け取り、先に生成したバイトストリームでそのデータを検証します。

ネゴシエーションに成功した時点で、マルウェアはサーバーが同じランダムシードと擬似乱数ジェネレータを使っていることを確認できたことになります。

モジュールのダウンロード
ネゴシエーションに成功すると、Java.Cogyeka はダウンロードするモジュールのサイズなどの設定をダウンロードしますが、この設定はストリーム暗号によって暗号化されています。サイズを取得すると、ストリーム暗号によって暗号化されたモジュールをダウンロードします。この設定には、ダウンロードされるモジュールのハッシュ値などが含まれており、マルウェアはダウンロードの成否を SHA-512 で確認します。

作成の意図
ここまで、Java.Cogyeka で使われている不明瞭化の 3 つの技術について説明しました。これらの技術はいくぶん複雑ではあるものの、マルウェアの autorun.inf ファイルはセキュリティスキャナで簡単に検出されます。サーバー名とポート番号に使われる不明瞭化技術の一部は、不明瞭化が行き過ぎているために効果を発揮していません。ストリーム暗号は、ネットワークタイプのセキュリティスキャナに対して効果を発揮する可能性があります。この不明瞭化技術は、Java.Cogyeka が単なる趣味として作成されたものではなく、明確な意図を持って作成されたものであることを示しています。

次回は…
このシリーズの最終回となる次回は、Java.Cogyeka の目的と、どのような情報がいかにして取得されるかについて説明します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????????????

      No Comments on ?????????????????????????

米国の独立記念日は国民の祝日であり、7 月 4 日という日付はよく知られています。さまざまな祝典が催され、政治的演説やパレード、花火で祝うのが伝統です。スパマーは、この日を悪用しようとして独立記念日のイベントにちなんだ多くのスパムメッセージを送りつけています。確認されたスパムサンプルの多くは、車の在庫一掃セールをはじめとして、お買い得商品を宣伝するものです。
 

Spammers Independence 1.jpeg

図 1. 米国の独立記念日を狙ったスパム
 

このスパムメールは、7 月 4 日のイベントを前に 2013 年モデルの自動車が記録的な需要を示していると述べてユーザーを誘おうとしています。電子メールに記載されているリンクをクリックすると Web ページにリダイレクトされ、価格を比較したい自動車の種類を選択するように求められます。詳しい情報を入力すると、今度は個人情報、電子メールアドレス、支払い方法などを入力する Web ページに移動します。

独立記念日にちなんで一掃セールを謳うスパム攻撃では、以下のような件名が確認されています。

  • (July 4th) Independence Day Sale – Insane!((7 月 4 日)独立記念日セール – 前代未聞!)
  • Retrieve 4th of July Day Prices On All Cars Today(全車対象、7 月 4 日の限定価格は今日だけ!)
  • Every 2013 automobile is (50%-off) July 4th(2013 年モデルがどれも 50% オフ、7 月 4 日限り)
  • Summer Kickoff (4th of July deals start now)(夏のキックオフセール(本日より、7 月 4 日特別価格))
  • INCREDIBLE 4th of July Savings on New Cars in Your Area xxx!(7 月 4 日は、お近くの xxx で信じられないようなお買い得)

Spammers Independence 2.jpeg

図 2. 7 月 4 日を狙った特別セールスパム
 

最近、スパマーの間でトレンドになっているのが、ディスカウント用の偽のクーポンコードで商品を購入できると謳ってユーザーを誘う手口です。このスパム攻撃で使われているディスカウントコードは、JULY [ランダムな数字] などの形式で、独立記念日のセールを利用しようとするユーザーを誘導してリンクをクリックさせることを狙っています。

次に示すスパムメールのサンプルは、偽の広告でユーザーを煽って医薬品を購入させようとしています。URL をクリックすると、医薬品販売を騙る偽の Web サイトにリダイレクトされます。このような偽の広告には十分に注意する必要があります。
 

Spammers Independence 3.jpeg

図 3. 偽の医薬品販売 Web ページ
 

迷惑メールや心当たりのない電子メールの扱いにはご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

一緒に、独立記念日をお祝いしましょう!

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Java Autorun Worm, Java.Cogyeka (3 of 3)

As I wrote in parts one and two of this series of blogs, Java.Cogyeka uses an autorun.inf file to propagate and download an additional module. I was able to get the downloaded module, based on a Java application, even though it took over a week because of the difficulty in establishing a connection with the server. The downloaded module, like the main module, tries to protect itself through obfuscation with Zelix KlassMaster. After investigating the downloaded module, I discovered that the purpose of Java.Cogyeka is to steal information from a video game on the compromised computer.

The targeted game
The game being targeted by Java.Cogyeka is League of Legends, a free-to-play video game published by Riot Games. While the game is free-to-play, users can purchase additional characters and character skins with real money. Java.Cogyeka may target League of Legends because of these real money transactions.

Infostealer
The downloaded module attempts to steal the League of Legends player’s account information and keystrokes to gain control of their account. While the purpose of the threat is to steal information related to the League of Legends game, it may also steal additional information because of its keystroke-stealing capabilities.

Stealing keystrokes
The downloaded module drops two types of DLL files, a 32-bit version and a 64-bit version. This is done using the same technique that the threat uses for obtaining the drive letters of the removal drive in the main module, as described in the second Java.Cogyeka blog. The Java system does not permit Java applications to obtain keystroke information from other processes. The malware may steal passwords, but it needs a native call, so it drops the Windows DLL file from the Java application.

The SetWindowsHookEx API is used to log keystrokes and mouse operations while WH_KEYBOARD_LL and WH_MOUSE_LL are used as hook types. The stolen keystrokes and mouse operations are then sent to a remote server.

Fig1_1.png

Figure 1. Downloaded module steals keystrokes and mouse operations

Stealing account information
The malware steals keystrokes in the hopes of obtaining a player’s League of Legends user name and password. However, the League of Legends login window has an option to remember a player’s user name and, if a player has selected this option, Java.Cogyeka cannot obtain the player’s user name. To get around this, the malware also attempts to steal a file that contains the user’s account information.

Fig2_0.png

Figure 2. League of Legends login screen

To steal the user’s account information, the malware tries to search for the following folder on all drives:

  • Riot Games/League of Legends/RADS/projects/lol_air_client/releases

This folder contains a folder with the name of the version number of the game, for example “0.1.2.0.” The malware traverses folders at the version folder searching for the following path:

  • deploy/preferences/global/global.properties

This file contains the game settings as well as the player’s user name that is used to log in to the game.

Sending the stolen information
Once the downloaded module has obtained the login information, it sends it to the domain Jkl.no-ip.biz on TCP port 1087.

This server name has been deactivated and is no longer accessible. However, both the server name and port number are hardcoded into the module unlike the command-and-control server name and port number, and the stolen information is encrypted.

Fig3.png

Figure 3. Malware observed worldwide as the targeted game is played all over the world

Conclusion
In this series of blogs, I have discussed the propagation and information-stealing functions of Java.Cogyeka and how it uses an obfuscation tool to protect itself from detection by security scanners. While the malware has a specific target, the video game League of Legends, other information may also be stolen through the captured keystrokes and mouse operations. Java.Cogyeka may also update itself because it downloads an additional Java module. We will continue to observe and investigate this malware.

I am left wondering why the malware requires the USB spreading functionality. The purpose of this malware is to steal information from an online game. The League of Legends is a type of game whereby users connect to a game server in order to play online. There is a possibility that it attempts to infect computers at Internet cafés. In this case, game players or administrators of the Internet café may use a USB storage device. On the other hand, a user may play the game with his or her friends at the same place and use USB storage devices to share files. It is possible that the malware aims to take advantage of such a situation.

Symantec detects these files as Java.Cogyeka, Java.Cogyeka!autorun, and Java.Cogyeka!gen1. We recommend  that users keep their security software up to date.

Tinder: ??????????????????????

      No Comments on Tinder: ??????????????????????

過去数年間に、このブログではさまざまなソーシャルネットワークサイトアプリを介して拡散する数々のスパム活動についてお伝えしてきました。どのようなソーシャルサービスでも同様ですが、人気が高くなってくるとスパマーはその人気につけ込んで、あの手この手でサービスの利用者を狙おうとします。

以前、出会い系サイトの人気について報告したブログでは、出会い系サイトをワナに使う悪質な攻撃の例について注意を促しました。最近人気を集めている出会い系サービスは Web サイトではなく、Tinder というモバイルアプリです。

Tinder は、自分を気に入っている近所のユーザーを探し、お互いに関心を持ったらつないでくれるモバイルアプリです。非常に簡単な仕組みですが、出会い系サービスの中でも特に人気が高くなっているのも、その簡単さが理由と考えられます。最近のレポートによると、Tinder のユーザーどうしが出会った回数は 5,000 万回を超え、プロフィールの評価は 45 億件にも達しています。

最近、このサービスを利用しているスパムアカウントを発見したという報告が、多くのユーザーから寄せられています。
 

Tinder-Spam-Fig1.png

図 1. Tinder の偽アカウントの例
 

詳しく調べたところ、Tinder では確かに多くのスパムアカウントが作成されていることが確認されました。
 

Tinder-Spam-Fig2.png

図 2. 相性マッチングの通知
 

予想どおり、こうしたスパムアカウントのいずれかに「いいね」を付けると、すぐに相性がいいと通知されます。スパムアカウントは、先にユーザーから接触しないかぎり応答しないようです。

スパムアカウントは、Tinder ユーザーと会話するときに同じような台本を使います。
 

Tinder-Spam-Fig3.png

図 3. スパムボットの自動応答は同一
 

いずれかのスパムアカウントに話しかけると、欠陥があることがわかります。
 

Tinder-Spam-Fig4.png

図 4. スパムボットは一瞬で 2 歳年を取る
 

スパムアカウントのプロフィールには年齢が 26 歳と書かれているにもかかわらず、スパムボットは年齢を 2 度も誤って報告するようです。

ボットが使う台本の典型的な文面は以下のとおりです(欠陥も含む)。

ボット: hey … have we spoken before? 22..female here…you ?あら、前にも話したことがあるかしら。こちらは 22 歳、女性です。あなたは?)
ボット: hey ….. have we chatted before?? 24..female here…..u?(あら、前にもチャットしたことがあるかしら。こちらは 24 歳、女性です。あなたは?)
ボット: i’m sorry…I get to be forgetful at times! how’re u??(ごめんなさい、最近忘れっぽくて。最近どう?)
ボット: Just got online….long week been kind of busy! But I’m feelin’ aroused!! So what’s up …. Wanna have some fun ??  :)(今オンラインに戻ったところ。1 週間ずっと、なんだか忙しかったけど、もう元気よ。そっちはどう…… 遊ばない?)
ボット: I need a guy who can [REMOVED]..have u ever [REMOVED]?? hahaa([削除済み]してくれる男の人が必要なんだけど、[削除済み]したことある??)
ボット: going to change my underwear….. want to see?? =)(下着を着替えるわね… 見たい?)

ここまで進んだところで、スパムボットは Web カメラの映像を見られるという言葉でユーザーを誘惑し始めます。
 

Tinder-Spam-Fig5.png

図 5. 誘惑を始めるスパムボット
 

ここからは、スパムボットによって短縮 URL が示され、Web カメラの映像にアクセスするための手順が指示されます。
 

Tinder-Spam-Fig6.png

図 6. Tinder スパムで使われているランディングページ
 

このランディングページの招待を承諾すると、会員登録を促す別のサイトにリダイレクトされ、個人情報のほか、年齢確認のためと称してクレジットカード番号も要求されます。
 

Tinder-Spam-Fig7.png

図 7. 会員登録でクレジットカード情報が要求される
 

スパムボットが、Web サイトやクレジットカード情報に関する疑問を先取りして答えるところは注目に値します。
 

Tinder-Spam-Fig8.png

図 8. 疑問に応答するスパムボット
 

ここでもボットには欠陥があり、ユーザーがサイトに登録済みかどうかを確認するときに、台本の中で「sexy(セクシー)」と「handsome(ハンサム)」を置き換えていました。

Tinder-Spam-Fig9.png

図 9. スパムボットの間違いと「ゴールド」の要求
 

ユーザーがサイトへの登録を済ませると、スパムボットは「ゴールド」と称するものも要求してきます。「ゴールド」とは、このサイトで使われている通貨を指していると思われ、ユーザーはそれを購入する必要があります。

では、詐欺師はこれをどうやって収益化しているのでしょうか。ソーシャルネットワークサイトで出回っているスパムは、大半がアフィリエイトプログラムを動機としています。今回の例では、いわゆる「ただし書きをよく読む」ようにしましょう。
 

Tinder-Spam-Fig10.png

図 10. 無料アクセスにはプラチナメンバーへのアップグレードが含まれている
 

デフォルトでは、[Upgrade me to a platinum membership(プラチナメンバーにアップグレードする)]というチェックボックスにチェックマークが付いています。このチェックマークを付けたままにすると、さらに別の 2 つのサイトに登録されます。2 つのサイトでは、それぞれ 10 日間と 7 日間のお試し会員期間が用意されていますが、アカウントを取り消さないでいると、1 カ月あたり最大 80 ドルが請求されます。あいにく、ユーザーはこれらのサイトにも登録されたことに気づかないことが多く、詐欺師は登録したアフィリエイトプログラムから報酬を得られるようになります。
 

Tinder-Spam-Fig11.png

図 11. Tinder の偽アカウントをブロック
 

現在、Tinder アプリ内でスパムアカウントを報告する機能はありません。ただし、ユーザーをブロックする方法は用意されているので、相性がいいとされたスパムアカウントはブロックすることをお勧めします。
 

Tinder-Spam-Fig12.png

図 12. Android 用 Tinder アプリも準備中
 

Tinder で見つかったスパムは今のところ限られているものの、今後はこのサービスでもスパムボットアカウントが増えるだろうと懸念されています。現時点で、Tinder アプリはまだ iPhone 版しかありませんが、Android 版もリリースされる予定です。昨年 1 年間の傾向からすると、新しい Android アプリがリリースされると、Tinder のような人気のサービスではスパム件数が増加するようです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????

      No Comments on ???????????????????

中国では、今年の全国大学統一入試を終え、高校生たちは大学選びと願書の記入という忙しい時期を迎えています。大学の選択は、大学入学を決める大切な問題です。

このような一大イベントと金儲けのチャンスを、フィッシング詐欺師も見逃すはずはありません。フィッシングによって個人情報を盗み出されてしまうと、受験生とその親は大量のスパムメッセージや迷惑電話を受け取るはめになります。私立大学や海外教育機関の広告、あるいは金融詐欺の場合もあります。フィッシングサイトによっては、入学願書の提出が完了したと受験生に思い込ませるものまでありますが、もちろん実際にはそんなことはなく、人生の重大な岐路に立っている受験生が将来を台無しにされかねません。また受験生の情報は、海外の教育機関や証明書の偽造業者、再出願サービスなどに営利目的で売買されます。

フィッシング詐欺師が使う手口は、以下のとおりです。

教育機関の Web サイトを複製
偽の Web ページは正規サイトとほとんど変わりませんが、悪質なスクリプトが埋め込まれていたり、大学の連絡先情報が偽物だったりすることもあります。偽ページにあるリンクも、本物のリンクを真似たものです。受験生が検索エンジンで大学を検索すると、検索結果には偽 Web ページのリンクが表示される可能性があります。そのようなリンクをクリックすると、悪質なフィッシングページに誘導されてしまいます。

pic1.png.jpg
図 1. 「北京経済管理学院」と称するフィッシングサイト

 

pic2.png
図 2. 正規のサイト

偽の「スマート」カード
これは、「大学入試出願スマートカード」を購入するように受験生を欺く手口です。出願書類の記入にこのスマートカードを使えると謳うのが一般的ですが、大学の選び方といったスキルの学習に利用できる、あるいは出願用の練習フォームも付いたスキル評価に参加できると称している場合もあります。もちろん、実際の出願には省の正規の出願用 Web サイトを使う必要があり、それ以外の方法はありません。こうした、いわゆる「大学入試出願スマートカード」も、受験生を欺いて金銭を引き出そうとするワナです。

pic3.png.jpg
図 3. 「大学入試出願スマートカード」詐欺

偽の入学ガイダンスサービス
これは、受験生にサービス料金を支払わせようとするタイプのフィッシングサイトです。実際に料金を払っても何かのガイダンスを受けられることはなく、お金を失うだけです。

pic4.png
図 4. 偽の入学ガイダンスサービス

裏口入学
大学入学試験で得点が足りなかった受験生に、入学の「近道」があると称する Web サイトも存在します。出願に必要な個人情報を送信するようにという説明が表示されますが、フォームに個人情報を入力すると、個人情報を盗み出されて営利目的に利用されてしまいます。

pic5.png
図 5. 大学入学の「近道」と称する偽の申請フォーム

フィッシングサイトのほとんどは、検索エンジン、フォーラム、教育相談サイトなどを使って詐欺を拡散しています。受験生や保護者の方は疑わしい URL をクリックしないようにしてください。特に、大学入試の出願中には注意が必要です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Amazon Android ??????????????

      No Comments on Amazon Android ??????????????

以前のブログでもお伝えしたように、アプリストアから悪質なアプリを除外するのはなかなか難しい目標です。特に、偽アプリやミスリーディングアプリは特定が容易ではありません。これは、謳っているとおりの機能を実行するかどうかが常に明確に判断できるわけではないためです。

シマンテックの自動システムによって、明らかに悪質なミスリーディングアプリが Amazon Android アプリストアで公開されていた例が見つかっています。

これは「Password Wifi Hacker Plus」という名前で、付近の Wi-Fi ネットワークのパスワードをクラックできると謳っていますが、実際には、そのように動作すると見せかけて、偽のダイアログボックスを表示するだけです。
 

Figure. Password Wifi Hacker Plus fake dialog box.png

図. Password Wifi Hacker Plus の偽ダイアログボックス
 

さらに、このアプリには 6 種類のネットワーク広告コンポーネントもバンドルされ、その一部はきわめて攻撃的なものです。これらの広告コンポーネントは、ユーザーの所在地などの情報を漏えいするほか、通知パネルに広告を表示し、ホーム画面にアイコンを作成します。また、ブックマークを追加して頻繁にポップアップ広告を表示します。

シマンテックから Amazon 社に対して、Amazon アプリストアにこのアプリが公開されていることを通知済みです。

ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、今回のアプリを Android.Fakeapp として検出します。

スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Kickoff Sale for United States Independence Day

Independence Day in the United States is a federal holiday, commonly known as the 4th of July. It is traditionally celebrated with various political speeches, ceremonies, fireworks, and parades. Spammers are exploiting the holiday by sending numerous s…

Fake Application Found on Amazon Appstore for Android

Keeping an app store free of malicious applications can be a hard task as we have discussed in our previous blogs. Fake or misleading applications, in particular, are often the hardest to spot because it is not always obvious whether they do what they …