Tag Archives: malware

Texting ATMs for Cash Shows Cybercriminals’ Increasing Sophistication

daniel_blof_header_image_cropped.png

There is a growing chorus of voices calling for businesses and home users to upgrade existing Windows XP installations to newer versions of Windows, if not for the features, then at least for the improved security and support. ATMs are basically computers that control access to cash, and as it turns out, almost 95 percent of them run on versions of Windows XP. With the looming end-of-life for Windows XP slated for April 8, 2014, the banking industry is facing a serious risk of cyberattacks aimed at their ATM fleet. This risk is not hypothetical — it is already happening. Cybercriminals are targeting ATMs with increasingly sophisticated techniques. 

In late 2013, we blogged about new ATM malware in Mexico, which could let attackers force ATMs to spew cash on demand using an external keyboard. That threat was named Backdoor.Ploutus. Some weeks later, we discovered a new variant which showed that the malware had evolved into a modular architecture. The new variant was also localized into the English language, suggesting that the malware author was expanding their franchise to other countries. The new variant was identified as Backdoor.Ploutus.B (referred to as Ploutus throughout this blog).  

What was interesting about this variant of Ploutus was that it allowed cybercriminals to simply send an SMS to the compromised ATM, then walk up and collect the dispensed cash. It may seem incredible but this technique is being used in a number of places across the world at this time.

In this blog, we will show you how this functionality works.

ATM_blog_infographic_fig1.png
Figure 1. How attackers withdraw cash from an ATM using a phone

Connecting a mobile phone to the ATM
The criminals can remotely control the ATM by using a mobile phone which is connected to the inside of the ATM. There are multiple ways to connect a mobile phone to an ATM. A common method is to use a setup called USB tethering, which is effectively a shared Internet connection between a phone and a computer (or in this case, an ATM). 

The attackers need to set the phone up correctly, connect it to the ATM and infect the ATM with Ploutus. Once all of these steps are complete, a full two-way connectivity is established and the phone is ready to be used. 

Since the phone is connected to the ATM through the USB port, the phone also draws power from the connection, which charges the phone battery. As a result, the phone will remain powered up indefinitely. 

Sending SMS messages to the ATM
After the mobile phone is connected to the ATM and set up is completed, the criminals can send specific SMS command messages to the phone attached inside the ATM. When the phone detects a new message under the required format, the mobile device will convert the message into a network packet and will forward it to the ATM through the USB cable.

The network packet monitor (NPM) is a module of the malware which acts as a packet sniffer, watching all network traffic going on in the ATM. As soon as the compromised ATM receives a valid TCP or UDP packet from the phone, the NPM will parse the packet and search for the number “5449610000583686” at a specific offset within the packet in order to process the whole package of data. Once that specific number is detected, the NPM will read the next 16 digits and use them to construct a command line to run Ploutus. An example of such a command is shown below: 

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

In previous versions of Ploutus, the master criminal would have to share these digits with the money mule, which could allow the money mule to defraud the master criminal if they realize what the code allows them to do. In this version of Ploutus, the mule never sees the 16 digits, giving the master criminal added security and the ability to centrally control cash withdrawals. The code is active for 24 hours.

Using SMS messages to remotely control the ATM is a much more convenient method for all of the parties in this scheme, because it is discrete and works almost instantly. The master criminal knows exactly how much the money mule will be getting and the money mule does not need to linger for extended periods around an ATM waiting for it to issue the cash. The master criminal and money mule can synchronize their actions so that the money is issued just as the money mule pretends to withdraw cash or is walking past the ATM.

Putting it all together
Now that we have looked into the details of how this scheme works, here’s an overview of how it all fits together.

ATM_attack_ploutus_attack_overview_fig2.png
Figure 2. Ploutus ATM attack overview

Process overview

  1. The attacker installs Ploutus on the ATM and connects a mobile phone to the machine with a USB cable.
  2. The controller sends two SMS messages to the mobile phone inside the ATM.
    1. SMS 1 must contain a valid activation ID in order to enable Ploutus in the ATM.
    2. SMS 2 must contain a valid dispense command to get the money out.
  3. The phone detects valid incoming SMS messages and forwards them to the ATM as a TCP or UDP packet.
  4. In the ATM, the network packet monitor module receives the TCP/UDP packet and if it contains a valid command, it will execute Ploutus.
  5. Ploutus causes the ATM to spew out the cash. The amount of cash dispensed is pre-configured inside the malware.
  6. The cash is collected from the ATM by the money mule.

We were able to replicate this attack in our lab with a real ATM infected with Ploutus, so we can show you this attack in action in our short video.

atm_video_overlay_600w_1.png
Figure 3. Video on how Ploutus attacks against ATMs work

While in this demonstration, we are using the Ploutus malware, Symantec Security Response has found several different forms of malware that are targeting ATMs. In the case of Ploutus, the attackers are trying to steal the cash from inside the ATM; however, some malware we have analyzed attempts to steal the customers’ card information and PIN while other malicious software lets criminals attempt man-in–the-middle attacks. Clearly, attackers have different ideas on how best to make money from an ATM.

What can be done to protect ATMs?
Modern ATMs have enhanced security features, such as encrypted hard-drives, which can prevent these types of installation techniques. However, for older ATMs still running on Windows XP, protecting against these types of attacks is more challenging, especially when the ATMs are already deployed in all sorts of remote locations. Another difficulty that needs to be addressed is the physical security of the computer inside the ATMs. While the ATM’s money is locked inside a safe, the computer generally is not. Without adequate physical security for these older ATMs, the attacker has the upper hand.  

A number of measures could be taken to make things more difficult for the criminals. These include:

  • Upgrading to a supported operating system such as Windows 7 or 8
  • Providing adequate physical protection and considering CCTV monitoring for the ATM
  • Locking down the BIOS to prevent booting from unauthorized media, such as CD ROMs or USB sticks
  • Using full disk encryption to help prevent disk tampering
  • Using a system lock down solution such as Symantec Data Center Security: Server Advanced (previously known as Critical System Protection)

With all these measures in place, attackers would find it much harder to compromise an ATM without a complicit insider. 

Symantec’s consumer, endpoint and server protection solutions will continue to support Windows XP systems for the foreseeable future; however, we strongly recommend that Windows XP users should upgrade to a more current operating system as soon as possible. 

??????????????????????????

      No Comments on ??????????????????????????
2014 年 3 月 7 日以降、情報を盗み出す目的のマルウェアが添付された新しいスパム攻撃が確認されています。スパムメールは、通常、多数のユーザーに送信されるものですが、今回の攻撃は、日本のオンラインショッピングサイトの管理者に狙いを絞っているようです。
 
攻撃者が今回のように特定のユーザーを標的にする理由はさまざまです。多くのオンラインストアは、Web サイト上で連絡先の情報が公開されており、サイトをクロールして電子メールアドレスを簡単に収集できるので、容易に標的として狙うことができます。企業のアカウント情報を入手して、ストアで管理されているデータを盗み出す目的とも考えられます。あるいは、ショッピングサイトに侵入し、ストアへの訪問者に対してさらに攻撃を仕掛けようとしているのかもしれません。
 
Infostealer.Ayufos として検出されるこのマルウェアは、情報を盗み出すトロイの木馬としては基本的なものですが、攻撃者が狙っているデータをほぼ何でも盗み出すように作成されており、以下のような機能を持っています。
 
  • スクリーンショットを取得する
  • キーストロークを記録する
  • クリップボードのデータを取得する
  • 複数のアプリケーションのアカウント情報を盗み出す
  • ある電子メールアカウント宛てに、取得した情報を SMTP で送信する
 
ただし、詐欺の手法としてはあまり手が込んでおらず、電子メールにはごく短い数行の文と添付ファイルがあるだけです。実行可能ファイルが添付されているという事実を隠そうともしていません。典型的なスパム攻撃の場合、攻撃者は実行可能ファイルを画像ファイルなどに偽装して、正規の電子メールを装うものです。今回の攻撃を仕掛けた攻撃者は、ごく一部のコンピュータに侵入することだけを狙っていたか、あるいは騙されやすいユーザーがあちこちにいると期待したに違いありません。
 
email_figure1.png
図 1. スパムメールのサンプル。届いた商品が破損していたと主張して交換を求めている
 
Infostealer.Ayufos の初期のサンプルは昨年の 12 月に特定されていますが、それ以降に確認されている亜種はほんの少しです。日本のオンラインストアを狙う亜種だけでなく、英語圏のストアを標的とするものもあります。
 
email_figure2.png
図 2. 添付したソフトウェアの確認を求めるスパムメッセージの例
 
email_figure3.png
図 3. 英語圏のストアを標的にしたスパムメッセージの例
 
スパムを使ってオンラインストアを狙う攻撃は毎日のように見つかるわけではありませんが、今回の攻撃が例外ということでもありません。サイバー犯罪者は常に進化し、狙った相手の油断につけ込もうと戦略を練り続けています。今回の攻撃者が、再度ユーザーを狙うことはほぼ間違いありません。オンラインストアを運営している場合は、不明な送信者からの迷惑メールの取り扱いに注意してください。また、国や地域にかかわらず、基本的なセキュリティ対策(ベストプラクティス)に従うようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Online Stores Targeted with Information-Stealing Trojan

A new spam campaign with an information-stealing malware attachment has been circulating since March 7, 2014. While spam emails are typically sent to many people, in this campaign, the spammer has limited their targets to administrators of online Japanese shopping sites.
 
The attacker may have targeted these recipients for various reasons. As most online stores provide contact details on their Web page, they become easy targets since their email addresses can be easily harvested by crawling sites. The attacker could also have targeted the recipients to get the companies’ account details in order to steal data maintained by the stores. The attacker may have also wanted to compromise the shopping sites in order to carry out further attacks against the store’s visitors.
 
The malware, detected as Infostealer.Ayufos, is a basic information-stealing Trojan horse that is built to steal practically any data that the attacker requires. It has the following capabilities:
 
  • Captures screenshots
  • Logs keystrokes
  • Acquires clipboard data
  • Steals account credentials for several applications
  • Sends the acquired information to an email account using SMTP
 
The attacker does not appear to have put too much effort into this scam. The email merely contains a couple of basic sentences along with the attachment. The attacker doesn’t try to hide the fact that they have attached an executable to the message. In typical spam campaigns, attackers disguise the executable as an image file to make it appear legitimate. The attacker behind this campaign must have either aimed to compromise only a handful of computers or they hoped that there were enough gullible recipients out there.
 
email_figure1.png
Figure 1. An example of the spam email, which claims that the sent item is broken and requires a replacement to be sent back
 
Symantec identified earlier samples of Infostealer.Ayufos in December of last year, but we have seen a handful of variants ever since. The variants have not only targeted Japanese online stores, but stores for English-speaking regions as well.
 
email_figure2.png
Figure 2. An example of a spam message which asks the user to check the attached software
 
email_figure3.png
Figure 3. An example of spam messages targeting English-speaking regions.
 
While we don’t see attackers targeting online stores with spam campaigns every day, this occurrence is certainly not extraordinary. Cybercriminals continue to evolve and modify their strategies to catch their targets off guard. There is almost no doubt that this attacker will target users again. Online store owners should be wary when handling unsolicited emails sent from unknown senders and should follow best security practices regardless of the region.

?????????????????????????????

      No Comments on ?????????????????????????????
3442719_-_mobile_device_grayware_concept.png
モバイルセキュリティで非常に厄介なのが、「グレイウェア」をめぐる問題です。正規のソフトウェアとマルウェアとの間に明確な境界線はなく、グレイウェアは概ねその曖昧な領域に存在します。グレイウェアとは、明らかにマルウェアと言えるものを隠し持っているとは限らないものの、何らかの形でユーザーにとって有害または迷惑なアプリのことです。たとえば、ユーザーの所在や Web ブラウズの習慣を追跡する、望まない広告をしつこく表示するといった動作をします。多くの場合、グレイウェアの作成者はソフトウェアライセンス契約の中に小さな文字でアプリの機能概要を示して正規のアプリを装います。
 
グレイウェア自体は目新しい存在ではなく、無償アプリケーションにスパイウェアなどの余計なものが含まれているとして議論の対象になり始めたのはもう 10 年以上も前のことです。PC ユーザーのスキルが上がり、インストールされるものに関して敏感になるとともに、その議論は下火になりましたが、スマートフォンという新しい環境が登場するようになると、まったく新しいソフトウェアマーケットが生まれました。スマートフォンのユーザーは、まるで 10 数年前の PC 環境に対するのと同じような不用心さで、モバイルソフトウェアマーケットに接しています。多くの場合、ユーザーは、機能の全容をほとんど、あるいはまったく知らないままモバイルアプリをインストールしているのです。
 
これは深刻な問題です。シマンテックが集めたデータでは、モバイルアプリの 3 分の 1 以上がグレイウェアと見なせると示唆されています。ノートン モバイルセキュリティの新バージョンが発表された昨年までに、シマンテックのアプリ解析ツール、ノートン モバイルインサイトは、400 万以上のアプリを解析してきましたが、そのなかでグレイウェアに分類できるものは 150 万にのぼりました。これは、マルウェアに分類されるアプリの 30 万という数字と比べると相当な数です。
 
グレイウェアの形態は、ユーザーのプライバシーをもてあそぶアプリから、さらに手の込んだアプリまでさまざまです。たとえば、シマンテックが最近発見したグレイウェアアプリは、「いいね」やフォロワーの数を増やすためとして Instagram ユーザーにユーザー名とパスワードを共有するよう誘導します。これは InstLike というアプリで、Apple 社の App Store でも Google Play でもしばらくの間ダウンロードできましたが、その後どちらからも削除されました。
 
このアプリは、フォロワーと「いいね」の数を無料で増やせると謳っていますが、実際にはユーザーの Instagram ログイン情報を要求します。この要求に応じると、アプリはユーザーの Instagram アカウントを制御できるようになり、ユーザーが操作しなくても写真に自動的に「いいね」を付けます。
 
モバイルグレイウェアのうち、ここ数年で増加しているカテゴリのひとつが「マッドウェア」です。マッドウェアとは、攻撃的な広告ライブラリを使うアプリのことを指します。広告ライブラリは、ターゲット広告を表示するためにユーザーに関する情報を収集できるアプリのコンポーネントです。収入を広告に依存することが多い無料アプリではよく使われる機能ですが、一部には、個人情報を漏えいする、通知バーに広告を表示する、広告用のアイコンを作成する、ブックマークを変更するといった迷惑な手法を採用している広告ライブラリもあります。
 
シマンテックが最近実施した調査では、既知の広告ライブラリ 65 個のうち、半数以上がマッドウェアに分類できることが判明しました。マッドウェアを使うアプリの比率は、一貫して上昇傾向にあります。たとえば、Google Play で公開されたアプリのうちマッドウェアと見なすことができるものは、2010 年の 5% 未満から昨年には 23% に増えています。
 
では、グレイウェアに対してどのように対処すればいいのでしょうか。不正と見なされる境界線は越えていないため、通常、ウイルス対策企業はこれらを遮断することができません。App Store や Google Play のような公式のモバイルマーケットから、利用規約に反しているとして削除されるものもあります。
 
最大の防衛手段は知識です。PC ユーザーが、コンピュータにインストールするものに関して以前より用心深くなったように、スマートフォンユーザーも、ダウンロードする対象には注意し、アプリが求める許可も確認する必要があります。
 
スマートフォンを勝手に操作しようとするアプリを識別できるツールもいろいろと公開されています。たとえば、ノートン スポットは Android デバイスをスキャンして、スパム攻撃に利用される攻撃的な広告ライブラリを見つけ出し、関連するアプリを特定します。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????? 10 ????

      No Comments on ????????? 10 ????
mwc_10years_tube_map_infographic.png
図. モバイルマルウェアの歴史
 
2014 年は、モバイルマルウェアが登場してから 10 年目に当たります。2004 年に SymbOS.Cabir の最初の亜種がセキュリティ研究者の元に届けられたのがすべての始まりです。解析の結果、このワームは Symbian OS を標的にすることが判明しました。Symbian は、当時非常に人気を博していたオペレーティングシステムです。SymbOS.Cabir に感染した携帯電話は、付近で検出モードになっている Bluetooth 対応デバイスを探し、見つかったデバイスにそのワームを送り付けようとします。ユーザーが手動でファイル転送とインストールを承認しない限り、SymbOS.Cabir はデバイスに感染できませんでした。デバイスが近距離になければ被害は発生せず、ワームとのやり取りも必要だったため、ワームの拡散は限られていましたが、これはほんの始まりに過ぎませんでした。異なる変更が加えられた Cabir の亜種が出回るようになり、電話帳情報などのデータを盗み出す亜種や、従来型のウイルスのように動作してローカルファイルに感染する亜種も現れたのです。
 
その数カ月後には、Mosquito というゲームをクラックしたバージョンがインターネット上に登場しました。この人気ゲームとともにパッケージに含まれる Trojan.Mos が、バックグラウンドでプレミアムテキストメッセージを送信する仕組みで、金銭的な儲けに特化したモバイルマルウェアが広く確認された最初のケースです。今でも、トロイの木馬が仕掛けられた何百という Android 用ゲームで同様の手口が使われており、インストールすると高額のテキストメッセージが送信されます。Trojan.Mos のすぐ後には、Skull の最初のバージョンが出現しました。Skull というのは、メインのペイロードにちなんだ命名で、ほとんどのアプリのアイコンがガイコツの画像に置き換えられたからです。また、システムファイルやアプリファイルも置き換えられたため、ファイルの機能が無効になり、携帯電話はほぼ使用不能に陥りました。幸いなことに、この当時ランサムウェアはまだ一般的ではありませんでしたが、そうでなければ、ユーザーのデータやモバイルデバイスそのものを人質に取ろうとするマルウェアも出現していたに違いありません。その状況が変わったのは、2013 年にモバイルデバイスを狙うランサムウェアの最初のサンプルが確認されたときのことです。ランサムウェアでは、データではなく携帯電話そのものを人質に取ることに主眼が移っています。デバイスが頻繁に同期され、データは自動的にクラウドにアップロードされるようになって、ユーザーにとってバックアップの利便性が高まったためです。
 
2005 年になると SymbOS.CommWarrior.A が登場し、連絡先に載っている番号に次々と MMS メッセージを送信するなど、感染経路が広がりました。このマルウェアは大きな成功を収め、CommWarrior という亜種はその後何年間も携帯電話のネットワークにはびこっています。2006 年に現れた Trojan.RedBrowser.A は、プレミアムテキストメッセージを他のオペレーティングシステムに送信するという形で脅威の範囲を広げました。これが、J2ME を標的とし、複数の携帯電話プラットフォームに感染する最初のトロイの木馬でした。
 
それから 1 年も経たないうちに、モバイルデバイスは PC を狙う定番マルウェアと似たようなマルウェアへの対処を迫られるようになります。ワーム、データの窃盗や金銭を狙うトロイの木馬、他のファイルに感染するウイルスなどです。それだけでなく、アドウェアやスパイウェアの流行も携帯電話を見逃しはしませんでした。2006 年にリリースされた販売向けの Spyware.FlyxiSpy は、侵入したモバイルデバイスのあらゆる活動を監視することに大きく成功します。配偶者のデバイスを盗み見たいユーザーにとってのベストソリューションとまで宣伝されるほどでした。類似の脅威がそれに続き、あらゆる操作を追跡できる進化形も現れました。
 
オンラインバンクの多くが帯域外の SMS 送信による認証方式を採用するようになると、犯罪者もそれに追随しました。その結果 2010 年に登場したのが SymbOS.ZeusMitmo です。侵入先のモバイルデバイスから、銀行口座の取引情報をテキストメッセージで攻撃者に転送する機能があったため、攻撃者はそれを利用してオンラインバンキング詐欺を実行し続けることができました。これも大きな成果を上げたため、iOS を除く主要なモバイル OS のすべてに、オンラインバンキングサービスを標的とするモバイルマルウェアが出現しました。
 
2011 年、Android が最大の携帯電話プラットフォームになると、マルウェアの作成者もそれに注目するようになります。攻撃者は、トロイの木馬を仕掛けたアプリを拡散経路として選び、ソーシャルエンジニアリングの技術を駆使してユーザーがそれをインストールするように誘導を試みます。たとえば、Android.Geinimi はモバイルデバイス向けのボットとして早期に成功した例ですが、実用的なアプリに偽装していました。それ以来、モバイルボットネットは広がり続け、クリック詐欺やプレミアムテキストメッセージ詐欺にもたびたび使われるようになっています。
 
Android.Rootcager が登場したのも同じ 2011 年のことで、これは悪用コードを利用して特権を昇格する最初の Android マルウェアです。モバイルマルウェアと PC 向けマルウェアとの違いは少なくなりましたが、そのひとつを備えているのが Android.Rootcager です。Windows コンピュータでは、悪用コードを使って自身を侵入先のコンピュータにインストールするマルウェアは珍しくありません。実際、悪質な Web サイトによるドライブバイダウンロード型の感染は、感染経路のトップになっています。一方で、携帯電話でドライブバイダウンロードが見られるのはごくまれであり、ほとんどの場合、アプリそのものをインストールさせるにはユーザーを欺く必要があります。ただし、モバイル OS に脆弱性が皆無ということではありません。脆弱性は実際に多く存在しますが、攻撃者が脆弱性の悪用をまだそれほど必要と思っていないだけのことです。2010 年には、iPhone のジェイルブレイクを扱う Web サイトで、脆弱性を悪用した攻撃がどのように行われるか実証されました。このサイトは、PDF のフォント解析に存在する脆弱性を悪用して、秘かにカスタムのソフトウェアをインストールしていました。その後、すべてのモバイル OS でセキュリティが強化されたため、マルウェアによる脆弱性の悪用はさらに難易度が高くなっています。
 
過去 2 年間では、モバイルデバイスを狙うトロイの木馬とアドウェアの顕著な進歩が確認されていますが、これは主に Android 携帯が中心です。今では、標的型攻撃でも、スパイ活動の目的にモバイルマルウェアが使われるようになっています。こうした傾向を考えると、モバイルマルウェアはすでに現実的な脅威となっており、まだ今後もさらに警戒が必要です。実際、将来的に携帯電話が本人確認のためのトークンや決済手段として使われるようになれば、モバイルの脅威は遠からず新たな進化を遂げるだろうと思われます。
 
今後も、不明なソースからアプリをインストールしないよう警戒を怠らず、強力なパスワードを使ってデバイスやサービスを保護することをお勧めします。シマンテックは、モバイルデバイスでこうした脅威を遮断する各種のセキュリティ製品を提供しており、次世代の保護対策をお届けするために常に努力を続けています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Grayware: Casting a Shadow over the Mobile Software Marketplace

3442719_-_mobile_device_grayware_concept.png
One of the most problematic areas in mobile security today is “grayware.” The dividing line between legitimate software and malware is not clearly drawn and grayware often occupies this murky middle ground. Grayware is applications that may not have any recognizable malware concealed within them but can nevertheless be in some way harmful or annoying to the user. For example, it might track their location, Web browsing habits or serve up unwanted ads. In many cases, grayware authors often maintain a veneer of legitimacy by outlining the application’s capabilities in the small print of the software license agreement. 
 
Grayware is not a new phenomenon and it first began to attract attention well over a decade ago when unwanted extras, such as spyware, were often packaged with free applications. As PC users became more savvy and aware of what they install, the controversy died down. However, the arrival of the new generation of smartphones has created a brand new software market. Consumers are prone to treat the mobile software market with the same degree of naivety that they may have treated the desktop space ten or fifteen years ago. Mobile apps are often installed with little or no consideration of what they may be capable of.
 
How big is the problem? Data collected by Symantec suggests that over a third of all mobile apps can be regarded as grayware. By the time the new version of Norton Mobile Security launched last year, Norton Mobile Insight, Symantec’s app analysis tool, had analyzed more than four million apps and found that 1.5 million could be classed as grayware. This compares to 300,000 apps that were classed as malware. 
 
Grayware can be anything from an app that plays fast and loose with the user’s privacy to something far more elaborate. For example, Symantec recently discovered a grayware app that encouraged Instagram users to share their usernames and passwords in order to increase likes and followers. The app, known as InstLike, was for a time available on the Apple App Store and the Google Play Store, but both companies have since removed it. 
 
The app claimed that it could provide people with followers and likes for free. However, it demanded a user’s login credentials for Instagram. The app was then given significant control of a user’s Instagram account, automatically liking photos without any user interaction.
 
One class of mobile grayware that has grown in recent years is what’s known as “madware.” This refers to apps that use aggressive ad libraries. An ad library is a component of an app that can collect information about the user for the purposes of displaying targeted advertising. It is a common feature of free apps, which usually rely on advertising for revenue. However, some ad libraries adopt aggressive tactics, such as leaking personal information, displaying ads in the notification bar, creating icons for ads or changing bookmarks. 
 
Recent research by Symantec found that of the 65 known ad libraries, over 50 percent can be classified as madware. The percentage of apps that utilize madware has risen steadily. For example, 23 percent of apps on the Google Play store last year can be considered as madware, up from less than 5 percent in 2010. 
 
What can be done about grayware? Because it doesn’t cross the bounds of illegality, antivirus firms usually can’t block it. Occasionally it is removed from official mobile marketplaces such as the Apple App Store or Google Play because it violates terms and conditions. 
 
Knowledge is the best defense. In the same way that PC users are now a little bit more wary about what they install on their computers, smartphone users should take a moment to consider what they’re downloading and look into what permissions the app is seeking. 
 
There are also a number of tools you can use to help identify which apps may be taking liberties with your smartphone. For example, Norton Spot will scan your Android phone for aggressive ad libraries that may spam your device and identify the apps associated with them. 

The Tenth Anniversary of Mobile Malware

      No Comments on The Tenth Anniversary of Mobile Malware
mwc_10years_tube_map_infographic.png
Figure. A brief history of mobile malware
 
2014 marks the tenth anniversary of mobile malware. It all began in 2004, when the first variant of SymbOS.Cabir was submitted to security researchers. The analysis revealed that this worm targeted Symbian OS, which was a very popular mobile operating system at the time. Infected phones would search for nearby Bluetooth devices that had activated discovery mode and then the worm would try to push itself onto them. The user had to manually accept the file transfer and also had to agree to the worm’s installation before the malware could infect the device. This limited the spread of the worm, as the victim had to be in close proximity to devices and needed to interact with the worm. But this was only the beginning. Several variants of Cabir appeared in the wild with different modifications. Some variants stole data, such as phonebook details, and other samples acted as a classic virus and infected local files. 
 
A few months later, a cracked version of a game called Mosquito appeared on the Internet. Along with the popular game, the package contained Trojan.Mos, which would send premium text messages in the background. This was the first widely seen case of mobile malware with a focus on monetary profit. Today, the same tactic is used on hundreds of Trojanized Android games, which will send expensive text messages after installation. Soon after Mosquito, the first versions of Skull appeared. The threat was named after its main payload, as the malware replaced the icons of most applications with an image of a skull. It also replaced system and application files with garbage, disabling their functionality and rendering the phone nearly unusable. Luckily at that time, ransomware was not yet popular, or else we probably would have seen the malware trying to hold the user’s data or the mobile device itself hostage. This changed in 2013 when we saw the first ransomware samples hitting mobile devices. These threats focus more on holding the phone hostage instead of the data, as frequent device synchronization and automatic data uploads to the cloud provide a better backup utilization for the users.  
 
In 2005, SymbOS.CommWarrior.A entered the scene. It extended the propagation vector to include sending MMS messages to various numbers in the contacts book. This malware was very successful and CommWarrior variants have been floating around mobile phone networks for years. In 2006, Trojan.RedBrowser.A extended threats that send premium text messages to other operating systems. This was the first Trojan for J2ME that could infect different mobile phone platforms.
 
Within a year, mobile devices had to deal with malware that was similar to established malware on desktop computers, including worms, data-stealing and profit-making Trojans, and viruses that infect other files. If this wasn’t enough, the rise of adware and spyware did not bypass mobile phones. The commercial Spyware.FlyxiSpy, which was released in 2006, was very successful at monitoring all of the compromised mobile device’s activity. The malware was advertised as the best solution for people who wanted to spy on their spouses. Similar threats followed and evolved further, allowing the user’s every step to be tracked.
 
With many online banks moving to out-of-band SMS transaction verification methods, the criminals had to follow as well. As a result, in 2010, attackers introduced SymbOS.ZeusMitmo, a threat that was capable of forwarding bank account transaction text messages from the compromised mobile device to the attackers. This allowed attackers to continue to commit online banking fraud. The idea was so successful that soon, mobile malware targeting online banking services appeared for all the major phone operating systems except iOS.
 
When Android became the biggest mobile phone platform in 2011, malware authors began to take notice. The attackers’ distribution vector of choice is through Trojanized applications and they use some social engineering techniques to make them more palatable. For example, Android.Geinimi was an early, successful bot for mobile devices disguised as a useful app. Mobile botnets have since become popular and are often used for click-fraud and premium text message scams.
 
Android.Rootcager arrived in the same year and was the first Android threat to use an exploit to elevate its privileges. This also marks one of the few differences between mobile malware and desktop computer threats. On Windows computers, we often see malware that uses an exploit to install itself on the compromised computer. In fact, drive-by-download infections from malicious websites have become the top infection vector. However, on mobile phones, drive-by-downloads happen very rarely. Most of the time, users still have to be tricked into installing the application themselves. It’s not that there are no vulnerabilities for mobile operating systems — there are actually quite a few, it’s just that attackers have not found it necessary to use them yet. In 2010, an iPhone jailbreak website demonstrated how this form of attack could work. The site took advantage of a PDF font-parsing vulnerability to install custom software on the fly. Since then, all mobile phone operating systems have upgraded their security, making it harder for malware to misuse vulnerabilities.
 
In the last two years, we have seen major growth from Trojans and adware targeting mobile devices, mainly focusing on Android phones. Even targeted attacks now make use of mobile threats for spying purposes. Considering this boom, mobile malware has become a real threat that needs greater attention because it isn’t over yet. In fact, we are likely to see the next evolution of mobile threats soon, especially as mobile phones become identification tokens and payment solutions in the future. 
 
Symantec recommends that users remain vigilant when installing applications from any unknown sources. Use strong passwords to protect your device and services. Symantec offers various security products for mobile devices that block these threats and we are constantly working on delivering the next level of protection.

Research buzz: Undercover technology

      No Comments on Research buzz: Undercover technology

Question of the week: What is the antivirus setting called DeepScreen? DeepScreen is a new technology inside avast! Antivirus 2014. When you are about to run a suspicious program which is not yet known to the other core antivirus technologies, DeepScreen is invoked. Its task is to simply distinguish between good and bad software. Although it seems […]

?????????????????????????????????????

      No Comments on ?????????????????????????????????????

ポール・ウォーカーさんが交通事故で亡くなったのは、ほんの数カ月前のことです。最近では、スパマーやマルウェア作成者が有名人の死亡記事を悪用してマルウェアを拡散する手口が多用されています。今回の場合、始まりはポール・ウォーカーさんの車が炎上している動画へのリンクを記載した電子メールですが、そこには悪質なファイルへのリンクが含まれています。

最近大量に確認されている電子メールの場合、送信者は、ウォーカーさんとカーレースをしていたとされているダッジバイパー GT を発見しようと訴えています。この電子メールでは、情報を持っていたらそこに書かれた番号に電話するように、そうでなければ添付されているファイルを開いてバイパー GT の運転手の画像を確認するよう求めます。シマンテックが確認したどのサンプルでも、バイパー GT の運転手の特定につながった場合に費用の精算や報奨金が約束されている点は同じです。

今回の攻撃の特徴は、スパムフィルタをすり抜けるために件名と本文が定期的に書き換えられている点にあります。攻撃者は、本文や件名、添付ファイルの名前に受信者の名前を使って、電子メールを特定の個人宛てのものに見せようとしているのです。

実行可能ファイルはそれぞれ、送信先の電子メールアドレス専用に作成され、送信の直前にコンパイルされています。送信者の電子メールアドレスは必ず aol.com の電子メールアカウントであり、ハッキングまたは他の方法で危殆化したもののようです。これに感染してしまうと、アドレス帳からアドレスが収集されて、さらに別の個人宛ての電子メール攻撃が連続します。

figure1_16.png
図 1.
悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 30 日付)

figure2_15.png
図 2.
悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 31 日付)

悪質なファイルを実行すると、このファイルを実行するには 32 ビットまたは 64 ビットのコンピュータが必要であるというエラー通知が送信されます。また、ファイルを実行する十分な権限がないとも書かれていますが、実際にはマルウェアがバックグラウンドで実行され続けています。このトロイの木馬は、名前の似たドメインのリストを使った DNS クエリーを実行し、DNS クエリーの戻り値を取得すると、その URL に接続して、次のディレクトリにファイルをダウンロードします。

“%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

ファイル(kskzjmtypb.exe)がダウンロードされると、それを実行して p9p-i.geo.vip.bf1.yahoo.com に接続し、今度は qr1aon1tn.exe をダウンロードします。この実行可能ファイルが実行されると、次のファイルが投下されます。

“%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

シマンテックは、このマルウェアを Trojan Horse として検出します。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Paul Walker’s Death Used to Spread Personalized Trojan Horses

It was only a few months ago that Paul Walker that left us in a fiery car accident. These days it is common for spammers and malware writers to use a celebrity’s death to spread malware. In this case, it started with emails with links to a video of Paul Walker’s car on fire, but instead contained a link to a malicious file.

In the latest slew of emails, the sender makes a plea to the victim to find a Dodge Viper GT that was supposedly racing with Paul Walker’s car. The email asks that anyone with information call a number in the email or open the attached file to view a picture of the Viper GT’s driver. In every sample we have dealt with there is always a promise of reimbursement or compensation for helping capture the Viper GT’s driver.

These attacks are unique because of the regular change of subject lines and body text to bypass spam filters. The attacker tries to personalize the email with the recipient’s name in the body, subject, or attached file name.

Each executable file is made specifically for the email address it is sent to and is compiled just before the email is sent. The sender’s email address is always an aol.com email account that has most likely been hacked or otherwise compromised. Whenever a user is compromised, their address book is harvested to continue the chain of personalized emails.

figure1_16.png
Figure 1.
Email about Paul Walker’s death with malicious attachment from January 30, 2014

figure2_15.png
Figure 2.
Email about Paul Walker’s death with malicious attachment from January 31, 2014

Once the malicious file has been executed an error notification is sent indicating that a  32-bit or 64-bit computer is needed to run the file. It may also indicate that the user does not have sufficient permissions to run the file even though the malware continues to run in the background.  The Trojan will start to perform DNS queries through a list of domains with similar names until the malware gets a DNS query return and then it will connect to that URL to download a file into the following directory:

“%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

Once the file (kskzjmtypb.exe) is downloaded, it runs and connects to p9p-i.geo.vip.bf1.yahoo.com to download qr1aon1tn.exe. When this runs, it drops the following file:

“%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

Symantec detects this malware as Trojan Horse.

Symantec advises users to be on their guard and to adhere to the following security best practices:

  • Exercise caution when receiving unsolicited, unexpected, or suspicious emails
  • Avoid clicking on links in unsolicited, unexpected, or suspicious emails
  • Avoid opening attachments in unsolicited, unexpected, or suspicious emails
  • Keep security software up-to-date
  • Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.