You could win 1 of 9 Nexus devices! All you have to do is visit the Android Police contest page and answer this question: What feature (or features) would you like to see added to avast! Mobile Security? Visit the Android Police contest page now, read through the description of the contest, and add your […]
A new threat has surfaced targeting users in Korea and Japan, but this attack, unlike others making the news, is not one motivated by political or ideological dogma. Instead, this one is based purely on old-fashioned greed. Vertu phone owners or those looking for a localized Vertu theme in Korean or Japanese for an Android Read more…
Following the recent discovery of Android/Chuli.A, yet another Android malware has now been found using the same method as Chuli.A: via forged email messages with the Android malware (APK file) as an attachment. However, instead of creating a standalone malicious application that shows a fake invitation about an upcoming congress, this time the attackers compromised Read more…
The Android threat landscape continues to evolve in 2013. To distribute Android threats, malware authors are transitioning away from attacking traditional vectors like the Google Play Market and third-party Android markets to vectors like spam and phishing emails and SMS. Recently a new information-stealing Android malware was found being distributed as an attachment in emails Read more…
Android.Uracto という悪質なアプリが、感染を広げる目的で、あるいはユーザーを欺いて、ありもしないサービスの利用料金を支払わせようとしてスパム SMS メッセージを送信していることは、1 つ前のブログでお伝えしたとおりです。この攻撃について調査を進めたところ、同じ詐欺グループがさらに別のアプリをいくつも用意していることが判明しました。これまでのところ、このグループが管理していると見られるいくつかの専用ドメインに合計 10 種類のアプリがホストされていることが確認されています。ドメインのホストに使われているサーバーは、シンガポールと、米国ジョージア州に置かれているようです。この記事の執筆時点でもまだ有効になっています。
図 1. 10 種類のアプリのマーケットページ
アプリの見かけはすべて異なりますが、基本的には 3 つの亜種に分類されます。1 つ目は、デバイスの連絡先に登録されているデータを盗み出すタイプです。2 つ目は、やはり連絡先情報を盗み出しますが、それに加えて、悪質なアプリのダウンロードリンクを含む SMS メッセージをすべての連絡先に送信します。3 つ目は、連絡先情報を盗み出しつつ、被害者を欺いて偽のサービス利用料金を支払わせようとするタイプです。
アプリの見かけ上のタイプとしては、母親向けの子育て支援アプリから、ビデオゲームのエミュレータ、無料で漫画を読めるアプリ、有名人のゴシップを読めるアプリ、占いアプリ、アダルト系の動画ビューア、そしてデバイスのカメラで服が透けて見えると謳うアプリなどが存在します。
図 2. 10 種類のアプリのアイコン
現時点で、Android デバイスユーザーがこれらのサイトに誘導される経路はわかっていません。ネットを閲覧している間にこれらのサイトに行き着く場合もありますが、おそらくはスパムが使われているものと考えられます。日本では、Android の脅威をダウンロードするよう誘導されるケースの多くが、スパムを経由したものだからです。
一部のアプリは、しばらく前から出回っていたようで、アプリをホストしているサーバーのディレクトリリストを見ると、早いものは 2012 年 7 月にサーバーにホストされていました。
図 3. アプリをホストしているサーバーのディレクトリリスト
もうひとつ注目すべき点は、Android.Uracto が、現在も盛んに活動を続けている Android Maistealer や Android.Enesoluty と同じコードを共有していることです。Android.Maistealer は Android.Enesoluty のプロトタイプとして作成されたとシマンテックでは考えています。これについて詳しくは、以下のブログをお読みください。
これらの悪質なアプリは、すべて同じ詐欺グループの手で運用されているのでしょうか。それとも同じ作成者が雇われて 2 つのグループにマルウェアを提供しているのでしょうか。シマンテックは今後もこれらに関する調査を続け、最新の情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Android デバイス搭載のカメラで衣服が透けて見えるアプリ。そんな謳い文句でユーザーを誘う SMS メッセージが日本で出回っています。この種のスパムはマルウェアの作成者自身から送信されるのが普通ですが、今回の作成者は、デバイスの連絡先に保存されている電話番号に宛てて SMS でスパムメッセージを送信するアプリを開発しました。アプリのダウンロードを誘う言葉が、赤の他人ではなく知人から届くのですから、このようなスパムを信じ込んでも無理はないかもしれません。友人から勧められたアプリなら、ひとまず試してみるくらいの気にはなるものです。
図 1. 感染したデバイスの所有者から送信された SMS メッセージ
リンクをタップすると、「Infrared X-Ray」という名前のアプリに誘導されます。このアプリでは、デバイスのカメラから服越しに透視することができ、その写真さえも撮影できると謳われています。
図 2. 悪質なアプリがホストされているページのスクリーンショット
このアプリを実行すると、デバイスの連絡先に保存されている情報が所定のサーバーにアップロードされます。もちろん、宣伝文句どおりにアプリが動作するはずもなく、中指を立てて人を侮蔑しながらユーザーをスケベ呼ばわりする男性の写真が表示されるだけです。
図 3. 「このスケベ野郎!」
このアプリには亜種がいくつか存在することも確認されており、最新の亜種には興味深いペイロードが追加されています。被害者の友人や家族に SMS メッセージを送信するのではなく、日本で「ワンクリック詐欺」と呼ばれている手口と同様に被害者を欺こうとします。連絡先データを盗み出してマルウェアの作成者に送信する点は変わりませんが、この新しい亜種はアダルトコンテンツをホストしている Web サイトの登録情報をダウンロードして表示します。以前の亜種のようにカメラ機能をオンにしようとはせず、1、2 秒間だけスプラッシュ画面を表示します。そして、次の瞬間には登録が完了したというメッセージとともに、「サービス利用料金」と称して 29,000 円が請求されます。
図 4. 登録情報
同時に、支払方法が詳しく記載された SMS メッセージも送られてきます。このメッセージには、「利用料金」の支払いがなければ連絡先リストに登録されている友人や知人に連絡するという脅しが書かれています。アプリは、アンインストールしない限り登録情報を表示し続け、被害者の連絡先に対しても SMS メッセージの送信をやめません。アプリをアンインストールしにくくするために、初回の起動後はランチャーから削除されますが、[設定]の[アプリケーション]から削除することができます。
図 5. 支払いの詳細を示す SMS メッセージ
デバイスや情報を保護するために、不明な送信者からだけでなく既知の送信者からであっても、疑わしい電子メールや SMS メッセージなどに記載されているリンクをクリックすることは避けてください。また、アプリは必ず信頼できるベンダーからのみダウンロードするようにしてください。ノートン モバイルセキュリティや Symantec Mobile Security などシマンテックのセキュリティアプリをインストール済みのお客様は、この脅威(Android.Uracto として検出されます)から保護されています。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Earlier today, we blogged about Android.Uracto, a malicious app that sends spam SMS messages in an attempt to infect others or scam users into paying a fee for a non-existing service. We continued doing further investigation on the attack and this has …
SMS messages attempting to lure Android device owners to download an app that supposedly allows the camera on the device to see through clothes are circulating in Japan. This type of spam is usually sent by the malware authors themselves, but in this c…
As we all migrate towards using smartphones and tablets, we need to be aware of the risks associated with them. Most of us know that we need to protect our computers with security software, but we don’t always take that precaution with our mobile devices. In fact nearly 75% of Americans do not use mobile Read more…
As most of our readers and fans know, we now protect more devices (PC, Mac, and Android) globally than any other antivirus provider. As our business model is such that our freemium software serves as our ‘advertising’ (we don’t do traditional advertising), and most of our users come to us via referrals, we receive quite […]
