ニュース

偽佐川の攻撃基盤を流用するサイバー攻撃、「Roaming Mantis」で拡散されたトロイの木馬が別の形で流通していた

株式会社カスペルスキー グローバル調査チームマルウェアリサーチャーの石丸傑氏

 ルーターのDNS設定を改ざんし、悪意あるサイトなどへ誘導する攻撃キャンペーン「Roaming Mantis」は、現在も活動が継続されており、攻撃手法も変化しているという。株式会社カスペルスキーが調査結果を明らかにした。

 Roaming Mantisは、リダイレクト先のウェブサイトで、バックドア機能を備えたトロイの木馬である「facebook.apk」や「chrome.apk」のダウンロードを促してくる。2018年5月ごろには、同ウェブサイトが27言語に対応していることが分かり、標的とする地域を拡大させていることが分かった。

 また、Apple IDやクレジットカード情報を窃取するためのiOS用のフィッシングサイトや、同OSを搭載する端末で仮想通貨を採掘するためのウェブサイトの存在も確認されている。

名称は「sagawa.apk」、でも中身は「facebook.apk」「chrome.apk」

 感染デバイスからSMSや連絡先リストなどのデータを抜き取るAndroidマルウェア「sagawa.apk」による攻撃も引き続き観測されている(2018年1月15日付関連記事『荷物の不在通知を装ったSMSに注意! 端末の情報を盗み、遠隔操作も可能な偽の佐川急便アプリ「sagawa.apk」ダウンロード促す』参照)。

 sagawa.apkは、荷物の不在通知を装ったSMSから最終的に偽の佐川急便アプリをダウンロードさせるもので、この検体にはタイプA「MoqHao」とタイプB「FakeSpy」の2種類が確認されている。MoqHaoは多言語に対応している一方、FakeSpyは日本語のみの対応になる。

 2018年8月ごろから確認されるようになった検体については、sagawa.apkという名称でありながら、データの中身はfacebook.apk、chrome.apkと同一だったという。Roaming Mantisで拡散されたマルウェアが、sagawa.apkと同じようにSMS経由で拡散されていることが分かった。

Roaming Mantisで拡散された「facebook.apk」「chrome.apk」が「sagawa.apk」としてSMS経由で拡散されていた。これをタイプA「MoqHao」として分類している

 sagawa.apkの世界各国での検知状況を2018年9月3日~2019年3月4日に調査したところ、FakeSpyは1日あたり約10件~20件程度の攻撃が一定期間内に確認されたが、MoqHaoは2019年2月に入ってから1日あたり150件と大量の攻撃が検知された。

 両タイプの地理的分布については、FakeSpyの検知ユーザー1345人のうち1276人が日本だった一方で、MoqHaoは383人中35人と少なかった。MoqHaoは主にロシアで観測されていた。

2019年2月になってからMoqHaoの検知件数が急増した
日本のユーザーを標的にしたFakeSpy、多言語対応で世界各国で拡散されているMoqHao

一時通信先にTwitter、マルウェア本来の通信先をユーザー名から抽出・復号

 MoqHaoについては、C&Cサーバーとは直接通信せず、一時通信先としてTwitterを使用していることも分かった。Twitterアカウントのユーザー名から特定の文字列を抽出して、本来の通信先であるC&Cサーバーのアドレスを復号していたという。過去の検体では、ウェブサイトのHTMLコードやメールの件名などから文字列を抽出しているものがあった。

Twitterを一時通信先にしていた

 MoqHaoによりAndroidデバイスから窃取されたデータには、端末の言語設定、IPアドレス、メール/ID、パスワード、名前、住所、クレジットカード情報(有効期限やセキュリティコードを含む)、銀行情報、秘密の質問とその回答が含まれていたという。

MoqHaoによりAndroidデバイスから窃取されたデータ

 株式会社カスペルスキー グローバル調査チームマルウェアリサーチャーの石丸傑氏は注意点として、ルーターの設定を見直して初期設定の状態からアカウント情報を変更すること、セキュリティパッチをあててファームウェアを最新の状態にすること、提供元不明のアプリやプロファイルをインストールしないこと――などを挙げている。

【お詫びと訂正 4月4日 18:50】
マルウェアの名称に誤りがあったため、スライドの画像を入れ替え、記事中の表記を変更しました。お詫びして訂正いたします。

 誤:MaqHao
 正:MoqHao