Tag Archives: Security Response

????????????? Google Play ???

      No Comments on ????????????? Google Play ???

more-android-malicious-apps.png
 

詐欺師が Google Play に悪質なアプリを公開し続けており、Android アプリマーケットがその削除に終われていることは先日お伝えしたばかりです。

アプリに潜む悪質な意図を短時間で見極めることは難しい場合が多く、本当に安全であることを確かめるためには通常は詳しい解析が必要です。Google Play の公開プロセスで、悪質なアプリのすり抜けを防ぐことが難しいのは、まさにこのためです。

シマンテックセキュリティレスポンスは、新たに 14 個の悪質なアプリを発見しました。すべて同じ開発者によって公開されたもので、開発者が任意の Web サイトへの接続を確立できるようになっています。悪質なコンポーネントは、Android のサービスとしてバックグラウンドで実行されます。接続先として多数のコマンド & コントロールサーバーが用意されており、開発者から送信される HTTP 要求の作成指示を待機しています。リモート制御コンポーネントは、多様なオプションを受け付け、ペイパークリックサービスの悪用を通じて利益を生み出すことも可能です。

Google Play で公開されている以下のアプリに、この悪質なコンポーネントが組み込まれています。

  • com.cyworld.ncamera
  • com.kth.thbdvyPuddingCamera
  • com.tni.pgdnaaeTasKillerFull
  • com.greencod.wqbadtraffic
  • com.teamlava.nbsbubble
  • com.bestappshouse.vpiperoll2ages
  • com.ledong.hamusicbox
  • com.ktls.wlxscandandclear
  • maxstrom.game.hvihnletfindbeautyhd
  • org.woodroid.muhflbalarmlady
  • com.lxsj.rbaqiirdiylock
  • com.neaststudios.wnkvprocapture
  • com.gamempire.cqtetris

感染しているのはいずれも、カメラアプリなどのアクセサリやゲームといった、人気のあるカテゴリのアプリです。

シマンテックは、これらのアプリを Android.Malapp として検出し、Google 社にも報告済みです。これらのアプリはすでに Google 社によって削除されています。ノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Yet Another Bunch of Malicious Apps Found on Google Play

 
In a recent blog entry we covered how scammers continue to publish malicious apps on Google Play and how the Android app market is struggling to keep itself clean.
In many cases it is difficult to quickly identify any malicious intent of appli…

The New Japanese “Not Just One-Click” Fraud on Google Play

Since the beginning of the year, Japanese one-click fraud scammers have continued to pump new apps onto Google Play and the market has struggled to keep itself clean. Though many are removed on the day they are published, some remain for a few days. Al…

When Car Hacking Turns Your Vehicle into a Video Game

image1_8.png
 

Modern cars contain a lot of nifty electronic gadgets, as well as more than one kilometer of cable wired to all kinds of sensors, processing units, and electronic control units. The cars themselves have become large computers, and as history shows, wherever there is a computer, there is someone trying to attack it. Over the past few years various studies have been conducted on how feasible it would be to attack a car through its onboard network. Most researchers focused on attacks with full physical access to the car, but some also explored external attack vectors.

If attackers have physical access to a car they can, for example, access the Controller Area Network (CAN) or the On-Board Diagnostic (OBD) system, but they can also perform other dangerous actions, such as physically tampering with the brakes or stealing the car. Digitally tampering with a car, on the other hand, might be much more difficult to prove after an accident. Such attacks could potentially be combined with other attacks that allow for a remote code execution and should be taken as a demonstration of payloads.

There are a few ways to get into a car’s system without having physical access to it, for example through tire pressure monitoring systems, traffic message channel (TMC) messages, or GSM and Bluetooth connections. Some manufacturers have started developing smartphone apps that can control some of the car’s functionalities, which opens another possible attack vector. There have also been some cases where specially crafted music files on USB drives were able to hijack some of the car’s systems.

Charlie Miller and Chris Valasek, two researchers working on a project for DARPA, explored how far they could go by hacking the Controller Area Network once inside the car. The pre-released video of their presentation for the upcoming DEFCON conference shows that nearly all of the car’s functions can be controlled or triggered including, switching off all lights, shutting down the engine, disabling the brakes, some limited steering, sounding the horn, and manipulating the system display. It doesn’t take much imagination to understand that this has the potential to cause serious accidents. Some of these changes could be made permanent and invisible with malicious firmware updates or system changes. Of course, a laptop with a modem in the glove box would work as well, but would not be as stealthy. If an attacker used the same method as the researchers, hopefully you would notice the attacker’s laptop on your backseat and wonder what was going on.

Car manufacturers are aware of these challenges and have been working on improving the security of car networks for years. Remote attack vectors, especially, need to be analyzed and protected against. At Symantec we are also monitoring this research field to help improve it in the future. Miller and Valasek’s research shows that cars can be an interesting target for attackers, but there are currently far bigger automobile-related risks than hackers taking over your car while driving. Personally, I’m more scared of people texting messages while driving and I assume they pose a far bigger risk than hackers when it comes to accidents, for now at least. Safe driving.

Internet Security Threat Report Readership Survey

Symantec’s Internet Security Threat Report (ISTR) is an annual report which provides an overview and in-depth analysis of the online security landscape over the previous year. The report is based on data from Symantec’s Global Intelligence …

Big Poker Player Loses High-Stakes Android Scam Game

Earlier this week, the Chiba Prefectural Police in Japan arrested nine individuals for distributing spam that included emails with links to download Android.Enesoluty – a malware used to collect contact details stored on the owner’s device. The …

???????????????????????

      No Comments on ???????????????????????

シマンテックは過去数カ月の間に、正規の Google 翻訳サービスを使ってスパム対策フィルタをすり抜けようとする、医薬品関係のスパム攻撃を確認しています。

受信されたサンプルのほとんどは、人気の高い無料メールサービスで乗っ取られた電子メールアドレスから送信されたものでした。
メッセージの件名の大半は、オンライン医薬品販売や、バイアグラ、シアリスといった有名な錠剤を宣伝しています。また、スパムフィルタへの対策として、英語以外のランダムな文字や単語が件名の先頭または末尾に挿入されている例も確認されています。

Figure1_4.png

図 1. 件名のサンプル

メッセージの本文には、Google 翻訳へのリンクと、Web サイトで医薬品を注文することのメリットを説明した広告文が記載され、ディスカウント用のコードが書かれている場合もあります。

Figure2_2.png

図 2. スパムメッセージのサンプル

リダイレクトの仕組みは、かなり複雑です。リンクをクリックすると、リンクに埋め込まれた 2 番目のアドレスが Google 翻訳で取得され、そこから医薬品 Web サイトにリダイレクトされます。

確認されたサンプルの場合、最終的なリンク先は以下の医薬品サイトでした。

  • [http://]www.magic-pharm.com

以前のスパマーは、リンクの 2 番目の部分(リダイレクトリンク)に無料 Web や URL 短縮サービスを使うのが一般的でしたが、最近では IDN ドメイン名を使ったトップレベルドメイン、特にキリル文字の .рф ドメインが利用されています。リダイレクトリンクの中では、キリル文字のドメインは Punycode で表されています。

スパムメールで表示されるリンクは、たとえば以下のような形式になっています。

  • [http://]www.google.com/t%72ans%6C%61%74e_p?hl=%65%6E&u=pnfd.fr.%78n–8%%330%61%66%61f0asd%62%63g.%78n-p1a%69/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI+.aspx

Windows-1251 でデコードすると、以下のようになります。

  • [http://]translate.google.com/translate?hl=en&u=http://pnfd.fr.xn--80afaf0asdbcg.xn--p1ai/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI%2520.aspx

Punycode でデコードすると、以下のようになります。

  • [http://]translate.google.com/translate?hl=en&u=[http://]pnfd.fr.конггандон.рф/ipf24aeAGzLC8vs0zJMzA3NDQ0NzAEACbKBDs .aspx

シマンテックは、Google 翻訳を利用したリダイレクトスパムの大多数の亜種を安全に遮断しており、Google 翻訳サービスがスパムメールで悪用されている他のケースについても厳重な監視を続けています。この悪用は今のところ、スパム活動に使われているだけで、マルウェアの拡散に使われている例はまだ確認されていません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

90cm ?????? RFID ?????????

      No Comments on 90cm ?????? RFID ?????????

セキュリティコンサルタントのフラン・ブラウン(Fran Brown)氏は、最大約 90cm 離れていても RFID バッジからデータを読み取れるハッキングツールを開発しました。RFID アクセス制御システムを使っている米国の企業のうち 80% 近くが、同氏にハッキングされた脆弱な技術を今でも採用していることを考えると、これは気になるニュースです。

RFID とは?

電波による個体識別(Radio Frequency Identification)、略して RFID は、動物や人間の追跡から、高速道路の料金所、非接触型決済システムまで、日常的にさまざまな用途に使われています。RFID についてよく知らない人もいるでしょうが、そのような人でも知らないうちにいろいろな場面で RFID を利用している可能性は大いにあります。飼い犬にマイクロチップが埋め込まれている場合でも、勤務先の出入りに ID カードを使う場合でも、知らず知らずのうちに RFID 技術を使っているからです。

RFID は、電波を利用してデータを転送し、物体、またはその物体に関連付けられた人や動物を自動的に識別します。RFID システムは 1 つ以上のタグと 1 つの読み取り機で構成されます。タグにも読み取り機にもさまざまなバリエーションがありますが、最も一般的なタイプのタグは、このブログでもブラウン氏の研究でも取り上げている 125KHz のタグです。読み取り機は双方向の無線送受信機で、タグに向けて信号を送信してその応答を読み取ります。タグには、無線周波送信機が組み込まれており、読み取り機からの信号を受信して、格納されている情報、たとえば部外者立ち入り禁止の建物に入るときに必要な重複のないコードなどを返信します。タグはごく小さいものなので、ID カード、パスポート、DVD や CD のケースなどに取り付けることも、皮膚の下に埋め込むことさえも可能です。
 

RFID 1.png
 

長距離ハッキングツール

125KHz タグはごく一般的なもので、信号を送受信するには読み取り機からおよそ 10cm 以内の距離に置く必要があります。そのようなカードを読み取って複製するためには、カードを手に入れるか、ごく近くまで接近しなければならないので、悪用は困難です。ところがブラウン氏は、RFID 読み取り機を改良して比較的長い距離、最大約 90cm の距離からでも RFID タグを読み取れるようにしました。つまり、何者かがこの読み取り機をポケットに忍ばせ、たとえば会社の駐車場を歩き回れば、そばを通り過ぎるだけで従業員の ID バッジからデータを収集できるということです。あとは、そのバッジを複製すれば、攻撃者は元のバッジの持ち主とまったく同じアクセス権を手にすることができます。

ブラウン氏は、RFID 読み取り機をカスタマイズするために商用のほとんどの読み取り機に装着できるプリント基板を作製しました。盗み出されたタグ情報は、マイクロ SD カードに保存されます。ブラウン氏がプログラミングしたコードや、ハッキングツールとカスタマイズの詳しい情報は、ラスベガスで開催される今年の Black Hat セキュリティカンファレンスでこの研究を発表した後に公開される予定です。

このアイデア自体は以前からあったものですが、ブラウン氏は今回の手法が「実際の攻撃と理論上の攻撃の違いである」と述べています。過去の研究は理論と概念だけで組み立てられており、実際に動作するツールを伴わなかったからです。またブラウン氏は、このツールをテストしたときの成功率が 100% だったとも語っています。

最近では、125KHz タグは旧式と見なされており、格納されている情報を保護するセキュリティは講じられていません。送信されるデータは暗号化されていないので、攻撃者は受信さえできれば簡単に新しいタグを複製できることになります。タグに格納されたデータを暗号化し、タグと読み取り機との間の通信も保護する、あるいはチャレンジレスポンス認証を使うなど、新しいオプションも考案されていますが、新しい技術への移行はなかなか進んでいないのが現状です。コストも一因ですが、125KHz タグに付随するセキュリティ上のリスクを企業が認識していないという要因もあるでしょう。

ブラウン氏は、この長距離 RFID 読み取り機について、「Fortune 500 社のセキュリティ専門家を対象にした」ものだが「あらゆるペネトレーションテストツールと同様、(中略)悪用される可能性もある」と述べています。

今回の結果を踏まえると、RFID アクセス制御ソリューションを利用している場合は、既存のシステムを改めて見直して、アップグレードや、生体認証といった別のアクセス制御方式の導入を検討した方がよいでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

.pw Hit and Run Spam with Royal Baby Trend

Last month Symantec posted few blogs (here and here) on an increase in spam messages with .pw URLs.

Since then the volume of URLs with .pw domains has considerably decreased. At the beginning of May the peak volume .pw domains accounted for about 50 percent of all spam URLs. Currently, .pw domains account for less than 2 percent for the last seven days.

Figure1_6.png

Figure 1. .pw TLD appearance in spam messages

The decrease in .pw domains is the result of a close collaboration between Symantec and Directi in reporting and taking down the .pw domains associated with spam.

The latest evidence from the Global Intelligence Network shows that even with such a small presence of former country top-level domains for Palau, .pw spammers don’t give up and start using different tactics. They keep an eye on the latest news from around the world and convert hot news headers into domain names.

One such example is the domain name babykingishere.pw, which was registered on July 24 by a registrant from Panama. The name chosen by spammers was based on the big news from the UK, the birth of future king. While the world is celebrating, spammers have definitely tried to take advantage of the event.

So far, the spam domain was only observed within promotional hit-and-run spam. One of the main characteristics of this type of spam is the use of “throw away” domains, which the babykingishere.pw domain is.

Sample “From” lines taken from observed Hit and Run spam with the babykingishere.pw domain:

  • From: “Cable Internet” <CableInternet@babykingishere.pw>
  • From: “Medical Billing and Coding Education” <MedicalBillingandCodingEducation@babykingishere.pw>

Figure2_3.png

Figure 2. Sample spam message with links containing the babykingishere.pw domain

Currently, both samples are blocked by Symantec with IP reputation and content filtering. Symantec will continue to monitor .pw domains and any appearance of “Royal Baby” spam.