Yesterday, Facebook users may have noticed an influx of their friends posting about something called Facebook Black.
Figure 1. Facebook photo plugging “Faecbook” Black (notice the typo in this image)
Similar to previous sca…
Android.Uracto という悪質なアプリが、感染を広げる目的で、あるいはユーザーを欺いて、ありもしないサービスの利用料金を支払わせようとしてスパム SMS メッセージを送信していることは、1 つ前のブログでお伝えしたとおりです。この攻撃について調査を進めたところ、同じ詐欺グループがさらに別のアプリをいくつも用意していることが判明しました。これまでのところ、このグループが管理していると見られるいくつかの専用ドメインに合計 10 種類のアプリがホストされていることが確認されています。ドメインのホストに使われているサーバーは、シンガポールと、米国ジョージア州に置かれているようです。この記事の執筆時点でもまだ有効になっています。
図 1. 10 種類のアプリのマーケットページ
アプリの見かけはすべて異なりますが、基本的には 3 つの亜種に分類されます。1 つ目は、デバイスの連絡先に登録されているデータを盗み出すタイプです。2 つ目は、やはり連絡先情報を盗み出しますが、それに加えて、悪質なアプリのダウンロードリンクを含む SMS メッセージをすべての連絡先に送信します。3 つ目は、連絡先情報を盗み出しつつ、被害者を欺いて偽のサービス利用料金を支払わせようとするタイプです。
アプリの見かけ上のタイプとしては、母親向けの子育て支援アプリから、ビデオゲームのエミュレータ、無料で漫画を読めるアプリ、有名人のゴシップを読めるアプリ、占いアプリ、アダルト系の動画ビューア、そしてデバイスのカメラで服が透けて見えると謳うアプリなどが存在します。
図 2. 10 種類のアプリのアイコン
現時点で、Android デバイスユーザーがこれらのサイトに誘導される経路はわかっていません。ネットを閲覧している間にこれらのサイトに行き着く場合もありますが、おそらくはスパムが使われているものと考えられます。日本では、Android の脅威をダウンロードするよう誘導されるケースの多くが、スパムを経由したものだからです。
一部のアプリは、しばらく前から出回っていたようで、アプリをホストしているサーバーのディレクトリリストを見ると、早いものは 2012 年 7 月にサーバーにホストされていました。
図 3. アプリをホストしているサーバーのディレクトリリスト
もうひとつ注目すべき点は、Android.Uracto が、現在も盛んに活動を続けている Android Maistealer や Android.Enesoluty と同じコードを共有していることです。Android.Maistealer は Android.Enesoluty のプロトタイプとして作成されたとシマンテックでは考えています。これについて詳しくは、以下のブログをお読みください。
これらの悪質なアプリは、すべて同じ詐欺グループの手で運用されているのでしょうか。それとも同じ作成者が雇われて 2 つのグループにマルウェアを提供しているのでしょうか。シマンテックは今後もこれらに関する調査を続け、最新の情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Android デバイス搭載のカメラで衣服が透けて見えるアプリ。そんな謳い文句でユーザーを誘う SMS メッセージが日本で出回っています。この種のスパムはマルウェアの作成者自身から送信されるのが普通ですが、今回の作成者は、デバイスの連絡先に保存されている電話番号に宛てて SMS でスパムメッセージを送信するアプリを開発しました。アプリのダウンロードを誘う言葉が、赤の他人ではなく知人から届くのですから、このようなスパムを信じ込んでも無理はないかもしれません。友人から勧められたアプリなら、ひとまず試してみるくらいの気にはなるものです。
図 1. 感染したデバイスの所有者から送信された SMS メッセージ
リンクをタップすると、「Infrared X-Ray」という名前のアプリに誘導されます。このアプリでは、デバイスのカメラから服越しに透視することができ、その写真さえも撮影できると謳われています。
図 2. 悪質なアプリがホストされているページのスクリーンショット
このアプリを実行すると、デバイスの連絡先に保存されている情報が所定のサーバーにアップロードされます。もちろん、宣伝文句どおりにアプリが動作するはずもなく、中指を立てて人を侮蔑しながらユーザーをスケベ呼ばわりする男性の写真が表示されるだけです。
図 3. 「このスケベ野郎!」
このアプリには亜種がいくつか存在することも確認されており、最新の亜種には興味深いペイロードが追加されています。被害者の友人や家族に SMS メッセージを送信するのではなく、日本で「ワンクリック詐欺」と呼ばれている手口と同様に被害者を欺こうとします。連絡先データを盗み出してマルウェアの作成者に送信する点は変わりませんが、この新しい亜種はアダルトコンテンツをホストしている Web サイトの登録情報をダウンロードして表示します。以前の亜種のようにカメラ機能をオンにしようとはせず、1、2 秒間だけスプラッシュ画面を表示します。そして、次の瞬間には登録が完了したというメッセージとともに、「サービス利用料金」と称して 29,000 円が請求されます。
図 4. 登録情報
同時に、支払方法が詳しく記載された SMS メッセージも送られてきます。このメッセージには、「利用料金」の支払いがなければ連絡先リストに登録されている友人や知人に連絡するという脅しが書かれています。アプリは、アンインストールしない限り登録情報を表示し続け、被害者の連絡先に対しても SMS メッセージの送信をやめません。アプリをアンインストールしにくくするために、初回の起動後はランチャーから削除されますが、[設定]の[アプリケーション]から削除することができます。
図 5. 支払いの詳細を示す SMS メッセージ
デバイスや情報を保護するために、不明な送信者からだけでなく既知の送信者からであっても、疑わしい電子メールや SMS メッセージなどに記載されているリンクをクリックすることは避けてください。また、アプリは必ず信頼できるベンダーからのみダウンロードするようにしてください。ノートン モバイルセキュリティや Symantec Mobile Security などシマンテックのセキュリティアプリをインストール済みのお客様は、この脅威(Android.Uracto として検出されます)から保護されています。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Earlier today, we blogged about Android.Uracto, a malicious app that sends spam SMS messages in an attempt to infect others or scam users into paying a fee for a non-existing service. We continued doing further investigation on the attack and this has …
SMS messages attempting to lure Android device owners to download an app that supposedly allows the camera on the device to see through clothes are circulating in Japan. This type of spam is usually sent by the malware authors themselves, but in this c…
Symantec recently received information on a new Java zero-day, Oracle Java Runtime Environment CVE-2013-1493 Remote Code Execution Vulnerability (CVE-2013-1493). The final payload in the attack consisted of a DLL file, detected by Symantec as Tro…
Over the last few years, many reports, white papers, and blogs have been released detailing targeted attacks. For example, some attacks employ sophisticated infection methods, such as watering hole attacks, and some rely on exploit code hidden in docum…
昨年シマンテックは、Windows Help ファイル(.hlp)が標的型攻撃の攻撃経路として悪用されていることについて報告しました。シマンテックの遠隔測定によると、製造業や政府機関に対する標的型攻撃で、この攻撃経路が使われる件数が増えてきています。シマンテックは、この標的型攻撃で使われている不正な WinHelp ファイルを Bloodhoud.HLP.1 および Bloodhound.HLP.2 として検出します。
図 1. 悪質な .hlp ファイルが含まれている ZIP 形式の添付ファイル
攻撃経路として WinHelp ファイルを使う手口が増えている一因は、攻撃者が脆弱性を悪用せずにコンピュータに侵入できることにあります。攻撃者はソーシャルエンジニアリングを使って被害者を欺き、標的型の電子メールに添付した Windows ヘルプファイルを開かせようとします。Windows ヘルプファイルには Windows API を呼び出す機能があり、これを利用すればシェルコードの実行と悪質なペイロードファイルのインストールが可能になります。この機能は脆弱性の悪用ではなく、本来の仕様です。Microsoft 社はこの機能がセキュリティ上問題であることをすでに認識しており、2006 年からは WinHelp のサポートを段階的に廃止しています。しかし、こうした段階的な措置を経てもなお、WinHelp が攻撃者にとって有力な標的型攻撃の手段であることは変わっていません。
図 2. Bloodhound.HLP.1 と Bloodhound.HLP.2 の検出分布図
この攻撃経路による被害は今も増え続けていますが、この手法を使う主な 2 つの脅威を特定しました。Trojan.Ecltys と Backdoor.Barkiofork です。どちらも、製造業や政府機関に対する標的型攻撃に使用が限定されていることがわかっています。
いつものように、ウイルス定義を更新するとともに、この手の脅威に対する最適な保護を得るためにシマンテックの最新技術をお使いいただくことをお勧めします。前述のような脅威に感染した疑いがあり、さらにサポートが必要な場合には、シマンテックまでお問い合わせください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
以前、W32.Flamer のコマンド & コントロール(C&C)サーバーに関する共同解析についての記事でお伝えしたように、このサーバー上のコードにはいくつかの C&C サーバープロトコルが存在します。確認されたプロトコルのひとつは W32.Flamer に関連していることがわかりましたが、残りのプロトコルについては今までに使用例が確認されておらず、これらのプロトコルを使うサンプルも入手できていません。
図 1. W32.Flamer C&C サーバー上に存在するプロトコル
サンプルが長いあいだ未確認のままなのは、極度の標的型の性質のためですが、さらにもう 1 つ別のプロトコルが特定され、実際に使われていることも確認されました。このプロトコルは、W32.Flamer から独立して動作できるモジュール用のものです。
シマンテックは、この脅威に対する検出定義を W32.Flamer.B として追加しました。
サンプルをご提供いただいたカスペルスキー社に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
日頃の業務の中で、ときとして新しいタイプのマルウェアを発見することがあります。ファイルに感染する、仮想マシンに感染する、あるいは特定の文書を標的にするなど、新しい手法はさまざまですが、その多様性を生んでいるのは、ひとえにマルウェア作成者の想像力です。
JS.Proslikefan にその実例を見ることができます。マルウェアは JavaScript や VBScript などを使って作成できますが、いずれにしても解凍後のサイズは数キロバイトほどしかない場合がほとんどです。ところが JS.Proslikefan は、自己解凍後に 130 キロバイトという法外なサイズになります。上層ではカスタムの不明瞭化と、一般公開されている Dean Edwards JavaScript パッカーが使われています。図 1 に、解凍後のマルウェアの最下層を示します。
図 1. 解凍後の最下層
このファイルを解析するには、まず変数名と関数名の不明瞭化をすべて解除する必要がありました。これが完了すると、このマルウェアの意図する全体像が少しずつ明らかになってきます。まず、このマルウェアの標的は Windows コンピュータです。Web ブラウザ上でこのマルウェアを実行するには、ブラウザで ActiveX がサポートされている必要があり、通常は Internet Explorer がそれに該当しますが、他のブラウザもプラグインを介して ActiveX をサポートすることはすでに知られています。また、このマルウェアは他の悪質なプログラムによってコマンドラインで実行することもできます。
今回の脅威には、JavaScript で作成されたマルウェアには通常見られない機能がほかにもあります。たとえば、マルウェアにハードコード化されたキーワードを Google で検索し、検索結果からすべての URL を収集することができます。
図 2. SQL インジェクション
図 2 からわかるように、この脅威は URL の収集後にそれぞれの結果を解析し、Web サイトで SQL インジェクションが可能かどうかの目安になる特定のエラーを探します。エラーが見つかった場合には、いずれかのコマンド & コントロール(C&C)サーバーに接続し、関連情報を返信します。
JS.Proslikefan の動作は、これで終わりではありません。Google 検索の結果を調べて、WordPress を使ったブログサイトが見つかるかどうかを確認する機能も備えています。
図 3. WordPress の TimThumb の脆弱性をチェック
JS.Proslikefan は、サイトのテーマディレクトリを調べて、TimThumb 拡張機能が使われているかどうかを確認します。TimThumb を使っているサイトは、ある種のファイルアップロードの脆弱性による影響を受ける恐れがあります。攻撃者はこれを利用してファイルをアップロードし、Web サーバーで実行できます。昨年発見されたこの脆弱性について詳しくは、こちら(英語)を参照してください。
しかし、このマルウェア作成者はこれでもまだ満足しないようです。JS.Proslikefan にはさらに、侵入先のコンピュータで Cookie のディレクトリをスキャンし、有効な Facebook セッションを探そうとする機能もあります。Facebook セッションが存在する場合には、一度に複数の処理を内部で実行します。C&C サーバーから指令されるコマンドに応じて、「いいね」を押すか、特定ページのファンになることができます。他の Facebook ユーザーにチャットメッセージを送信することさえ可能です。ただし、Facebook は最近、このマルウェアの検出機能を追加しており、感染したデバイスをユーザーが修復できるようになっています。詳しくは、Facebook Security のページを参照してください。
このように多様な機能をマルウェアに詰め込んだところを見ると、作成者は可能な限り多くのコンピュータに拡散させようと目論んだようです。拡散方法のひとつとして、利用者の多い何種類かのファイル共有アプリケーションが使うフォルダに、自身のコピーを zip ファイルとして配置する手口も使われています。このときのファイル名の選び方も独特で、人気のある Torrent サイトで特定の RSS ページにアクセスし、XML ファイルの内容を解析して zip ファイルの名前として使っています。
図 4. PirateBay にアクセス
拡散を試みるとき、ウイルス対策ソフトウェアのレーダーをかいくぐろうとしていることは言うまでもありません。従来型のウイルス対策シグネチャをすり抜けるために、JS.Proslikefan はファイル共有アプリケーションのフォルダを含めたいくつかの場所に、ポリモーフィズムを利用して自身をコピーします。ウイルス対策アプリケーションのリストも持っており、侵入先のコンピュータにそのいずれかがインストールされているかどうかも確認します。この情報もやはり、C&C サーバーに送信されています。何らかのウイルス対策アプリケーションが見つかった場合には、ネットワークセキュリティ企業とは無関係な IP アドレスにユーザーをリダイレクトするために、ホストファイルを書き換えます。リダイレクト先の IP アドレスはクラス A のアドレスであり、エネルギーや技術インフラ、金融投資などの部門を擁する多国籍複合企業に属しています。本稿の執筆時点で、問題の IP アドレスは悪質な Web コンテンツにはいっさいリンクしていませんでした。
他の脅威と同様、このマルウェアもリムーバブルドライブに拡散する機能を備えています。さらに、コンピュータの起動時に毎回実行する、特定のプロセスを終了する、他のプログラムやスクリプトをダウンロードして実行する、自身を更新する、コマンドを処理するなどの機能まで揃っています。日頃のマルウェア解析で、作成者がこれほど多くの機能を盛り込んだマルウェアが見つかるのは、きわめて異例のことです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
