7 月下旬、千葉県警は Android.Enesoluty をダウンロードするリンクが記載された電子メールを含むスパムを配信したとして 9 人を逮捕しました。Android.Enesoluty は、所有者のデバイスに保存されている連絡先情報を収集するマルウェアです。逮捕された 9 人の中には、東京都渋谷区の IT 関連企業コーエイプランニング社長、香川雅昭容疑者(50)も含まれていました。香川容疑者は、熱心なポーカープレイヤーとしても有名で、世界中のポーカー大会に参加しては、これまでの大会で累計 1 億円以上を稼ぎ出してきました。スパム活動では主犯格であったと見られています。イチかバチかに賭けるその情熱が、ポーカーの世界では膨大な稼ぎをもたらしましたが、Android マルウェアをめぐる賭けでは運に見放されたようです。香川容疑者とその関係者は間もなく起訴されると見られています。
シマンテックの調べによると、このスパム活動は 2012 年 9 月頃に始まっており、捜査当局の家宅捜査があった 2013 年 4 月に停止しました。シマンテックは、この期間に悪質なアプリのホスト先として約 150 のドメインが登録されていたことを確認しています。報道によれば、このグループは 810,000 台前後の Android デバイスからおよそ 3,700 万件もの電子メールアドレスを集めていました。また、スパム活動の最後の 5 カ月間には、「サクラ」サイトと呼ばれる偽のオンライン出会い系サービスを運営して、3 億 9,000 万円以上の稼ぎを上げています。被害者をこの出会い系サイトに誘導したスパムの送信先は、マルウェアによって収集されたアドレスでした。
シマンテックは 2012 年 7 月以来、Enesoluty 詐欺を綿密に追跡してきました。その詳しい経緯は、以下のブログでお伝えしています。
シマンテックは、Android.Maistealer と Android.Enesoluty も、Android.Uracto という別のマルウェアと共通のソースコードを使っていると考えていますが、マルウェアを拡散する手口が大きく異なることから、Uracto は別の詐欺グループが管理しているものと思われます。この別グループはまだ特定に至っていないため、こちらのグループをめぐっては今後もしばらく紆余曲折がありそうです。Android.Uracto によって実行される詐欺の詳しい情報は、以下の 2 回のブログでお伝えしています。
最後になりましたが、今回の逮捕について千葉県警に称賛の意を表したいと思います。シマンテックは、この逮捕に至るまで捜査当局に協力しており、今後も犯罪者の摘発や告訴については協力を続けていきます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Earlier this week, the Chiba Prefectural Police in Japan arrested nine individuals for distributing spam that included emails with links to download Android.Enesoluty – a malware used to collect contact details stored on the owner’s device. The …
Android.Enesoluty を運用している犯人グループは、アプリサイトのホスティングに使うドメインを 100 以上も登録したり、それらのドメインからスパムを送信したりと、昨年の夏以来、活発な活動を見せています。このグループは、現在もマルウェアの亜種の開発に余念がないようです。数日前に、シマンテックは Android.Enesoluty の新しい亜種を発見しました。
これまでの亜種と同様に、アプリページへのリンクが掲載されたスパムが、何も知らないユーザーに送りつけられています。
図 1. 無防備なユーザーをアプリページに誘導するスパム
アプリページに新しく登録された悪質なアプリは「Lime Pop」という名前で、偶然にも(とは言いがたいかもしれませんが)、ある大人気のゲームアプリと名前が酷似しています。ページの最後に利用規約へのリンクが表示される点も従来の亜種と同じです。このアプリはデバイスから個人情報をアップロードするという説明が書かれていますが、こうした利用規約が掲載されているのは、法律上の抜け道を作る目的と思われます。
図 2. 利用規約へのリンクがあるアプリページ
Android.Enesoluty の新しい亜種とは言っても、以前の亜種と異なるのはマルウェアの外見的な変化だけです。以前の亜種はバッテリ節約アプリや電波改善アプリ、セキュリティアプリを装っていましたが、今回は GUI を一新し、ゲームのように見せかけています。このアプリを起動すると、ゲームサーバーへの接続を試行中であるというメッセージが表示されますが、次の瞬間には「通信状況を確認してください」という指示に変わります。この時点ではもう、連絡先のデータが詐欺グループのサーバーにアップロードされています。
図 3. 最新の亜種で使われているスキン
ソースコードは他の亜種とほとんど同じですが、新しい機能や機能強化が追加されています。
この詐欺の標的は日本のユーザーにほぼ限定されていますが、それでもやはり、言語を問わず Android ユーザーは全員この手の詐欺に警戒する必要があります。このブログですでにおわかりのように、目新しい手口は何も使われていません。毎度おなじみの作戦で、ただ新しい武器がひとつ増えたにすぎません。アプリを探すときには、必ず信頼できるサイトからダウンロードするようにしてください。また、アプリのダウンロードを誘う電子メールや SMS メッセージのリンクをタップする前に、一度立ち止まって再考しましょう。ノートン モバイルセキュリティや Symantec Mobile Security などのセキュリティアプリをデバイスにインストールすることも有効です。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
The gang that maintains Android.Enesoluty has been busy since last summer registering over one hundred domains used to host app sites and sending spam from these domains. It is now apparent that the group is also still busy developing malware variants….
Android.Uracto という悪質なアプリが、感染を広げる目的で、あるいはユーザーを欺いて、ありもしないサービスの利用料金を支払わせようとしてスパム SMS メッセージを送信していることは、1 つ前のブログでお伝えしたとおりです。この攻撃について調査を進めたところ、同じ詐欺グループがさらに別のアプリをいくつも用意していることが判明しました。これまでのところ、このグループが管理していると見られるいくつかの専用ドメインに合計 10 種類のアプリがホストされていることが確認されています。ドメインのホストに使われているサーバーは、シンガポールと、米国ジョージア州に置かれているようです。この記事の執筆時点でもまだ有効になっています。
図 1. 10 種類のアプリのマーケットページ
アプリの見かけはすべて異なりますが、基本的には 3 つの亜種に分類されます。1 つ目は、デバイスの連絡先に登録されているデータを盗み出すタイプです。2 つ目は、やはり連絡先情報を盗み出しますが、それに加えて、悪質なアプリのダウンロードリンクを含む SMS メッセージをすべての連絡先に送信します。3 つ目は、連絡先情報を盗み出しつつ、被害者を欺いて偽のサービス利用料金を支払わせようとするタイプです。
アプリの見かけ上のタイプとしては、母親向けの子育て支援アプリから、ビデオゲームのエミュレータ、無料で漫画を読めるアプリ、有名人のゴシップを読めるアプリ、占いアプリ、アダルト系の動画ビューア、そしてデバイスのカメラで服が透けて見えると謳うアプリなどが存在します。
図 2. 10 種類のアプリのアイコン
現時点で、Android デバイスユーザーがこれらのサイトに誘導される経路はわかっていません。ネットを閲覧している間にこれらのサイトに行き着く場合もありますが、おそらくはスパムが使われているものと考えられます。日本では、Android の脅威をダウンロードするよう誘導されるケースの多くが、スパムを経由したものだからです。
一部のアプリは、しばらく前から出回っていたようで、アプリをホストしているサーバーのディレクトリリストを見ると、早いものは 2012 年 7 月にサーバーにホストされていました。
図 3. アプリをホストしているサーバーのディレクトリリスト
もうひとつ注目すべき点は、Android.Uracto が、現在も盛んに活動を続けている Android Maistealer や Android.Enesoluty と同じコードを共有していることです。Android.Maistealer は Android.Enesoluty のプロトタイプとして作成されたとシマンテックでは考えています。これについて詳しくは、以下のブログをお読みください。
これらの悪質なアプリは、すべて同じ詐欺グループの手で運用されているのでしょうか。それとも同じ作成者が雇われて 2 つのグループにマルウェアを提供しているのでしょうか。シマンテックは今後もこれらに関する調査を続け、最新の情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Earlier today, we blogged about Android.Uracto, a malicious app that sends spam SMS messages in an attempt to infect others or scam users into paying a fee for a non-existing service. We continued doing further investigation on the attack and this has …