Tag Archives: Trojan.FakeAV

?????????????????????????????

      No Comments on ?????????????????????????????

日本のアニメーションは「アニメ(Anime)」として、漫画は「マンガ(Manga)」として知られており、過去 20 年間で漫画アニメ産業は世界中で人気を博するようになりました。そうした最新の流行を利用するのが、ひと儲けする方法として手っ取り早いことはよく知られており、合法的にも非合法的にもその手法は広く利用されています。アニメと漫画の流行も、マルバタイジング(悪質な広告)やモバイルリスクなどを通じてサイバー犯罪者が無防備なファンにマルウェアの脅威をもたらす新たな手口を生み出しています。

1990 年代に、日本の漫画は米国の市場で大ブームとなり、大手書店の本棚にも並ぶようになりました。日本語のわからないファンが読むためには、漫画の翻訳を待たねばなりません。公式に翻訳される漫画の数は増えていますが、ファンを満足させるにはまだまだ足りないようです。しかも、翻訳対象になるのは人気の高い作品に限られています。

漫画産業が直面している問題のひとつが、日本語を母語としないファンに評価される作品をどう選ぶかということです。その判断基準として、読者コミュニティが非常に有効であることが判明しています。読者コミュニティのなかには、日本の漫画をスキャンして翻訳版を制作するグループも存在し、そのような行為はスキャンレーション(Scanlation)またはスキャンスレーション(Scanslation)と呼ばれています。

公式の出版社はそうした読者コミュニティに注目し、その動きに合わせて事業の方向性を決めていましたが、それが裏目に出てしまいました。90 年代の終わりにはインターネットにアクセスするユーザーが急増し、巨大なスキャンレーションサイトがオンラインで無料の漫画を提供するようになったため、日本の漫画アニメ産業は顧客を失い始めたのです。

この数年間に、スキャンレーションサービスを展開する複数の Web サイトやコミュニティが、著作権者の許可を得ていないため著作権違反であるとして訴えられています。

スキャンレーションには多くの作業が必要であり、そのチームには以下のようなメンバーが存在します。

  • 翻訳者
  • クリーナー
  • 校正者
  • 植字工
  • リライター

チームのメンバーはほとんどが自主的に参加しているため、新しい作品を定期的に出版し続けるには、何らかの収益化が必要であり、また広告も無視できない収入源となります。

悪用ツールキットとマルバタイジング
こうしたサイトでは、1 章分のページに平均 10 個の広告が表示され、場合によっては 11 の広告プロバイダが利用されています。マルバタイジングや悪用ツールキット、先日公表された「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-2551)について実施した最近の調査でも、多くのスキャンレーションサイトが、マルバタイジングや悪用コードによって悪質なリダイレクト先にリンクされていることが確認されました。図 1 のグラフは、2013 年 7 月から 2014 年 1 月初めにかけて確認された各種マルウェアの検出状況を示しています。

chart1.png

図 1. スキャンレーションサイトでの IPS 検出状況(2013 年 7 月から 2014 年 1 月)

2013年 12 月に CVE-2013-2551 が公表され、Blackhole 悪用ツールキットが停止されると、傾向が一変しました。Trojan.FakeAV を送りつけるマルバタイジングタイプの攻撃が急増しています。最近のマルバタイジングの場合、悪質なコードに直接感染していたのはスキャンレーションサイトではなく、広告プロバイダでした。この場合、スキャンレーションサイトのユーザーを標的とした広告が多用されるため、スキャンレーションサイトのユーザーも被害を受けます。図 2 に、2013 年 10 月から 2014 年 1 月初めに確認されたスキャンレーションサイトでの IPS 検出状況を示します。

chart2.png

図 2. スキャンレーションサイトでの IPS 検出状況(2013 年 10 月から 2014 年 1 月)

読書形態の変化
スマートフォンやタブレットが人々の生活にとって欠かせないものになる一方で、紙の本や PC の利用度は少なくなってきました。大部分の Web サイトでは、モバイルアクセスが容易になるように、モバイル向けのコンテンツも公開されています。

シマンテックは、モバイルのブラウズテストを実施し、最近公開された漫画のページをランダムに読み込んだとき、読者がどのようにリダイレクトされるのかを調べました。その結果、次のページに移動しようとすると強制リダイレクトが発生する場合もあることがわかりました。リダイレクト先では、APK ファイルをダウンロードするよう指示されます。シマンテックは、「Airpush Adware」というこの Android アプリをセキュリティ上のリスクとして分類しています。Airpush Adware はデバイスの電話番号、電子メールアドレス、アプリのリストを収集して第三者に送信する可能性があり、電子メールや SMS を介してスパムが届く原因にもなりかねないからです。

Fig3_4.png

図 3. Airpush のプライバシーポリシーと広告規約

さまざまなスキャンレーションサイトから漫画を収集するモバイルアプリが大量に出回り始めています。こうしたアプリは、オンラインでもオフラインでも 10,000 冊以上の漫画を複数の言語で楽しめると謳っています。ダウンロード率もインストール率も高いことから、このようなアプリは悪質な便乗攻撃や、トロイの木馬による攻撃の格好の標的です。たとえば、漫画購読サービスを謳いながら、実際はプレミアム SMS を利用させるアプリがサードパーティのマーケットで配布されていることも確認されています。シマンテックは、この脅威を Android.Opfake として検出します。

世界中に広がるスキャンレーション熱
2013 年 7 月から 2014 年 1 月にかけて、このようなスキャンレーションサイトで収集された検出データには定期的に急上昇が見られます。これが『NARUTO -ナルト-』、『BLEACH』、『ONE PIECE』、『FAIRY TAIL』、『キングダム』といった人気漫画の新刊が公開されたタイミングであることは明らかです。

スキャンレーションサイトで確認されたマルバタイジングの分布図を見ると、読者率が最も高いのは米国であり、ヨーロッパ、オーストラリアがそれに続いていることがわかります。漫画の読者は中東やブラジルにも広がっており、スキャンレーショングループは現在、漫画を 6 言語(英語、ドイツ語、イタリア語、スペイン語、ロシア語、フランス語)に翻訳しているようです。

Fig4_2.png

図 4. スキャンレーションサイトでの IPS 検出状況とマルバタイジング(2013 年 7 月から 2014 年 1 月)

出版されている漫画の数は膨大ですが、新刊漫画のうち圧倒的多数は日本語を理解できなければ読むことができず、そうでなければ公式の翻訳を待つしかありません。

新人の漫画家は、ファンの人気を獲得したいあまり、スキャンレーションサービスを許す、あるいは見て見ぬふりをする傾向があります。そのため、スキャンレーションサービスは本質的に法律上の問題や著作権侵害をないがしろにしがちです。そして、スキャンレーションサービスの人気が高くなるほど、サイバー犯罪者の注目も集めるようになっています。

ソフトウェアは脆弱性の悪用を防ぐために、常に最新の状態に保つことをお勧めします。また、アプリケーションは信頼できるアプリストアだけからインストールするようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Manga Scanlation Services, a Viable Target for Malicious Activities

Japanese animation is known as anime and Japanese comics are known as Manga. In the last two decades, these industries have grown in popularity across the world. People know that cashing in on the latest trend is often an easy way to earn money, and many legal and illegal businesses often take advantage of this. The popularity of anime and manga has opened up a new avenue for cybercriminals to push malware threats onto unsuspecting fans through malvertisements and mobile risks.

During the early 90’s Japanese comics experienced a boom in the US market and earned their place on the shelves of major book sellers. Before these books can be read by fans who do not speak Japanese, they must be translated. The number of manga being officially translated is growing, but this doesn’t seem to be enough to keep fans satisfied. In addition, only the more popular titles are candidates for translation.

One problem the manga industry faces is how to choose the comics that will be appreciated by non-Japanese speaking fans. One indicator that proves to be very useful is reader communities. Some of these communities work together to produce translated scans of Japanese manga, known as scanlation (or scanslation).

Official editors monitored these communities and orientated their business accordingly; unfortunately it backfired. The Japanese comics and anime industry began to lose customers due to growing number of people accessing the Internet in the late 90’s and the rise of giant scanlation sites providing free online manga content.

In the last few years lawsuits have been launched against websites and communities offering scanlation services, as it is a violation of copyright if the holder hasn’t given their permission.

Scanlation involves a lot of work and a scanlating team can include the following members:

  • Translator
  • Cleaner
  • Proofer
  • Typesetter
  • Re-drawer

Team members are mostly volunteers, so in order to keep the publication of new material coming out at regular intervals, some form of monetization is needed and advertisements are often a key source of income.

Exploit kits and malvertisement
These sites show up to ten advertisements on a chapter’s page on average, and in some cases they are using eleven ad providers. Recent investigations around malvertisements, exploit kits, and the recently rolled out Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-2551) led us to observe a number of scanlation sites linked to malicious redirections by malvertisement and malicious code. The chart shown in Figure 1 provides an overview of the different malware detections observed from July 2013 through early January 2014.

chart1.png

Figure 1. IPS detections from scanlation domains (July 2013 – January 2014)

With the roll out of CVE-2013-2551 in December 2013 and the shutdown of the Blackhole exploit kit, the trend has changed. We are observing more malvertisement type attacks that are mainly pushing out Trojan.FakeAV. In these recent malvertisement cases, the scanlation websites were not directly compromised with malicious code, it was their ad providers. The users of scanlation websites also become victims in these cases because of the heavy use of ads targeted at them on the websites. Figure 2 shows IPS detections from Scanlation domains observed from October 2013 to early January 2014.

chart2.png

Figure 2. IPS detections from scanlation domains (October 2013 – January 2014)

An evolving reading format
As smartphones and tablets have become a more integral part ofpeople’s lives, less are using their computers or actual books. A vast majority of websites have released mobile versions of their content to make mobile access easier.

We conducted a mobile browsing test and observed how readers were redirected while reading random pages of recently released manga. We saw that users sometimes encountered a forced redirection when trying to go to the next page. The redirection led to a download prompt for an APK file. We categorized this Android application, Airpush Adware, as a security risk. Airpush Adware can collect and send out the user’s phone number, email address, and a list of applications to third parties, which could lead to the user receiving spam through email and SMS.

Fig3_4.png

Figure 3. Airpush privacy policy and advertising terms

A large number of mobile applications that collect manga from different scanlation domains have begun to appear. These apps can offer over 1,000 manga in multiple languages that users can read online and off. With high download and installation rates, these applications are ideal targets for malicious piggybacking and Trojanized readers. As an example, we found one application, distributed on third party markets that offered manga reading services, delivering premium SMS. Symantec detects this threat as Android.Opfake.

A growing global enthusiasm for scanlating
The detection data gathered from July 2013 through January 2014 on these scanlation domains shows regular spikes and that can easily be tied  to the release of popular manga chapters for Naruto, Bleach, One Piece, Fairy Tail, and Kingdom.

A heatmap of the malvertisements seen on scanlation websites confirms that the highest readership is in the United States, followed by Europe, and Australia. Manga readership is also present in the Middle East and Brazil. Currently, the scanlation teams appear to be translating manga into six different languages (English, German, Italian, Spanish, Russian, and French).

Fig4_2.png

Figure 4. IPS detections for Scanlation domains and malvertising (July 2013 – January 2014)

With a large variety of manga available, the vast amount of new comics can make the medium difficult to access unless the reader understands Japanese or waits for official editors to provide a translated version.

Because new mangaka (manga authors) need to earn their popularity with fans, they often allow, or turn a blind eye to, scanlation services. As such, the functional structure of scanlation services closely flirts with legal issues and copyright abuse. Unfortunately, the growing popularity of scanlation services has caused it to attract cybercriminal attention.

Symantec Security Response advises users to keep their software up-to-date to limit the successful exploit of vulnerabilities and not to install applications outside of trusted app stores.

???????????????

      No Comments on ???????????????

2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。

このスパム攻撃で確認されたヘッダーの例を以下に示します。

差出人: “United Parcel Service” <info***3@ups.com>
差出人: “UPS Customer Services(UPS カスタマーサービス)”<***@secureserver.net>
差出人: “United Parcel Service” <***@dhl.com>
差出人: “Neil Molina” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: “Kimberley Miner” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>

件名: United Parcel Service notification 40983(UPS 通知 40983)
件名: Delivery Status(配送状況)
件名: UPS: Your Package(UPS: 荷物)
件名: United Parcel Service notification(UPS 通知)
件名: United Postal Service Tracking Nr.(UPS 追跡番号)

差出人: “Post Express Support(Post Express サポート)” <postmail-int[詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Report(Post Express レポート)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Office(Post Express オフィス)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>

件名: Post Express Office. Package is available for pickup. NR03909(Post Express オフィス: 集荷準備中 NR03909)
件名: Post Express Office. Delivery refuse. NR4245855(Post Express オフィス: 配送拒否 NR4245855)
件名: Post Express Office. Track your parcel. NR06678(Post Express オフィス: 荷物追跡 NR06678)
件名: Post Express Office. Error in the delivery address. NR4061172(Post Express オフィス: 送付先住所の間違い NR4061172)
件名: Post Express Office. Get the parcel NR31215(Post Express オフィス: 荷物 NR31215 をお受け取りください)

受け取ったユーザーが圧縮ファイルを開いて実行すると、以下の脅威がインストールされます。

UPS tracking number.exeTrojan.FakeAV として検出)
UPS notify.exeBackdoor.Cycbot として検出)
Post_Express_Label.exeTrojan.Sasfis として検出)

以下に、スパムの例を 2 つ示します。


 

シマンテックがこの攻撃を詳しく解析したところ、悪質な電子メールは世界各地から送信されており、それが急増したのは Rustock の活動停止後にスパマーがボットネットを再構築しているためであると判明しました。

上述したようなメールを受信した場合に、不審な添付ファイルを開いたりダウンロードしたりしないという基本的な習慣を守るようにしてください。また、コンピュータやネットワークへの侵入を防ぐために、すべてのセキュリティパッチをインストールし、ウイルス対策定義を常に最新状態に保つことをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。