Akibano

トピック

偽佐川の攻撃基盤を流用するサイバー攻撃、「Roaming Mantis」で拡散されたトロイの木馬が別の形で流通していた 

投稿者 Akibano #INTERNET Watch, #ウイルス/マルウェア, #セキュリティ, #トピック

株式会社カスペルスキー グローバル調査チームマルウェアリサーチャーの石丸傑氏
 ルーターのDNS設定を改ざんし、悪意あるサイトなどへ誘導する攻撃キャンペーン「Roaming Mantis」は、現在も活動が継続されており、攻撃手法も変化しているという。株式会社カスペルスキーが調査結果を明らかにした。
 Roaming Mantisは、リダイレクト先のウェブサイトで、バックドア機能を備えたトロイの木馬である「facebook.apk」や「chrome.apk」のダウンロードを促してくる。2018年5月ごろには、同ウェブサイトが27言語に対応していることが分かり、標的とする地域を拡大させていることが分かった。
 また、Apple IDやクレジットカード情報を窃取するためのiOS用のフィッシングサイトや、同OSを搭載する端末で仮想通貨を採掘するためのウェブサイトの存在も確認されている。
名称は「sagawa.apk」、でも中身は「facebook.apk」「chrome.apk」
 感染デバイスからSMSや連絡先リストなどのデータを抜き取るAndroidマルウェア「sagawa.apk」による攻撃も引き続き観測されている(2018年1月15日付関連記事『荷物の不在通知を装ったSMSに注意! 端末の情報を盗み、遠隔操作も可能な偽の佐川急便アプリ「sagawa.apk」ダウンロード促す』参照)。
 sagawa.apkは、荷物の不在通知を装ったSMSから最終的に偽の佐川急便アプリをダウンロードさせるもので、この検体にはタイプA「MoqHao」とタイプB「FakeSpy」の2種類が確認されている。MoqHaoは多言語に対応している一方、FakeSpyは日本語のみの対応になる。
 2018年8月ごろから確認されるようになった検体については、sagawa.apkという名称でありながら、データの中身はfacebook.apk、chrome.apkと同一だったという。Roaming Mantisで拡散されたマルウェアが、sagawa.apkと同じようにSMS経由で拡散されていることが分かった。
Roaming Mantisで拡散された「facebook.apk」「chrome.apk」が「sagawa.apk」としてSMS経由で拡散されていた。これをタイプA「MoqHao」として分類している
 sagawa.apkの世界各国での検知状況を2018年9月3日~2019年3月4日に調査したところ、FakeSpyは1日あたり約10件~20件程度の攻撃が一定期間内に確認されたが、MoqHaoは2019年2月に入ってから1日あたり150件と大量の攻撃が検知された。
 両タイプの地理的分布については、FakeSpyの検知ユーザー1345人のうち1276人が日本だった一方で、MoqHaoは383人中35人と少なかった。MoqHaoは主にロシアで観測されていた。
2019年2月になってからMoqHaoの検知件数が急増した
日本のユーザーを標的にしたFakeSpy、多言語対応で世界各国で拡散されているMoqHao
一時通信先にTwitter、マルウェア本来の通信先をユーザー名から抽出・復号
 MoqHaoについては、C&Cサーバーとは直接通信せず、一時通信先としてTwitterを使用していることも分かった。Twitterアカウントのユーザー名から特定の文字列を抽出して、本来の通信先であるC&Cサーバーのアドレスを復号していたという。過去の検体では、ウェブサイトのHTMLコードやメールの件名などから文字列を抽出しているものがあった。
Twitterを一時通信先にしていた
 MoqHaoによりAndroidデバイスから窃取されたデータには、端末の言語設定、IPアドレス、メール/ID、パスワード、名前、住所、クレジットカード情報(有効期限やセキュリティコードを含む)、銀行情報、秘密の質問とその回答が含まれていたという。
MoqHaoによりAndroidデバイスから窃取されたデータ
 株式会社カスペルスキー グローバル調査チームマルウェアリサーチャーの石丸傑氏は注意点として、ルーターの設定を見直して初期設定の状態からアカウント情報を変更すること、セキュリティパッチをあててファームウェアを最新の状態にすること、提供元不明のアプリやプロファイルをインストールしないこと――などを挙げている。

【お詫びと訂正 4月4日 18:50】
マルウェアの名称に誤りがあったため、スライドの画像を入れ替え、記事中の表記を変更しました。お詫びして訂正いたします。
 誤:MaqHao
 正:MoqHao

関連リンク 株式会社カスペルスキー

関連記事

ルーターのDNS設定改ざん攻撃、Androidに加えiOSやPCでも被害
2018年5月23日

荷物の不在通知を装ったSMSに注意! 端末の情報を盗み、遠隔操作も可能な偽の佐川急便アプリ「sagawa.apk」ダウンロード促す
2018年1月15日

Facebook偽アプリをインストールさせるルーターのDNS設定改ざん攻撃を受けてみた検証結果、ラックが報告
2018年6月8日

投稿者 Akibano

関連投稿

トピック

新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 

トピック

WannaCryの裏で「駐禁報告書」メール21万件超が大量拡散、添付ファイルはウイルス、銀行・カード情報など盗み取る 

トピック

Word文書で「あなたが領収書を見たい場合は、文書をダブルクリックしてください」→マルウェアがダウンロードされるスパムメール攻撃、3月下旬より観測される 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

見逃しています

Medicos

恐竜化も再現! 「ジョジョ 第7部」より、メディコス発売の「ディエゴ・ブランドー」可動フィギュアが「あみあみ」にて予約開始

Medicos

光の一族の巫女かつ魔法少女の「千代田 桃」がスポーティーな水着姿で立体化! シャミ子のお誕生日に原型公開

Medicos

「ジョジョ第7部」より、フィギュア「ジャイロ・ツェペリ」と「ヴァルキリー」の限定セットが予約開始! 手綱用の差し替えハンドパーツも付属

Medicos

「まちカドまぞく」より、フィギュア「シャドウミストレス優子 水着ver.」本日発売!