ニュース

荷物の不在通知を装ったSMSに注意! 端末の情報を盗み、遠隔操作も可能な偽の佐川急便アプリ「sagawa.apk」ダウンロード促す

 日本の宅配業者のウェブサイトを装った偽サイトが見つかったことを、株式会社カスペルスキーが同社公式ブログで報告し、注意を呼び掛けている。荷物の不在通知を装ったSMS(ショートメッセージサービス)で送られてくる短縮URLをクリックすることで偽サイトに誘導され、そこで偽アプリをインストールさせる手口だ。カスペルスキーの調査によれば、この偽アプリはインストール時に台湾と通信し、端末のIMEIや電話番号などの情報を送っていたという。

 偽サイトは佐川急便のウェブサイトを装ったもので、同社テレビCMに起用されている俳優・織田裕二さんのイメージ画像なども上部に表示される。「gnway.cc」ドメインで開設されており、正規サイトの「co.jp」ドメインと異なるが、スマートフォンの小さな画面で見ると、一見しただけでは偽サイトと判別するのは難しいとカスペルスキーでは指摘している。

 一方で、「貨物追跡サービス」の箇所には、正規サイトとは異なる「貨物追跡」ボタンがあり、画面をタップすることで偽アプリ「sagawa.apk」がダウンロードされる仕組みだ。偽サイト下部も正規サイトとは異なり、Androidで「提供元不明のアプリ」のインストールを許可する際の手順を「インストール方法」として案内している。また、インストール時には、連絡先の読み取りやSMSの受信・読み取りなどの権限を要求してくるという。

佐川急便の偽サイト。「貨物追跡サービス」の箇所には、正規サイトであれば「お問い合せ送り状No.」の入力ボックスがあるはずだが、偽サイトでは、そこだけ違和感のあるフォントの「貨物追跡」ボタンが設置されている

 カスペルスキーでは、この偽アプリはSMSや連絡先リストといった情報を外部へ送信するものだと説明。カスペルスキー製品では「HEUR:Trojan.AndroidOS.Piom.qcd」「HEUR:Trojan-Spy.AndroidOS.Agent.qa」という名称で、マルウェアとして検知・ブロックするとしている。

 カスペルスキーの公式ブログ記事は1月12日付のものだが、偽サイトへ誘導する短縮URL(Google URL Shortner)のデータによると、その短縮URLは同記事執筆から11日前に作成されていたものであり、日本からのアクセスが大多数を占めており、3万件を超えている。このサイトは一時的にアクセスできなくなっていたが、同記事執筆時点で活動を再開しているという。疑わしいURLにはアクセスしないこと、また、疑わしいアプリに十分注意するようカスペルスキーでは呼び掛けている。

Google URL Shortenerによる短縮URLの解析結果(カスペルスキー公式ブログの該当記事執筆時点のもの。カスペルスキー公式ブログより画像転載)

 なお、佐川急便を装う迷惑メールは以前より出回っており、佐川急便株式会社でも、確認された具体的な文面をウェブサイトで公表。「このような迷惑メールに記載されているアドレスにアクセスしたり、添付ファイルを開いたりされますとコンピューターウィルスに感染する恐れがございますのでご注意ください」と呼び掛けていた。

 直近では2017年12月28日に、文面の最新事例を更新。不在通知を装うSMSでGoogleの短縮URL(goo.gl)が届き、偽サイトに誘導される事例を新たに公表している。そのSMSの文面は以下の通り。

通知
お客様宛にお荷物のお届きましたが
不在の為持ち帰りました
配送物は下記よりご確認ください。

【追記 18:10】
 トレンドマイクロ株式会社でも、1月15日付の同社公式ブログ記事において、この偽サイト/偽アプリの調査結果について伝えている。このアプリはバックドア型の不正アプリであり、攻撃者の遠隔操作用のC&Cサーバーに対して、以下のような端末情報を送信するという。

  • 携帯電話番号
  • 端末ID
  • 使用SDKバージョン
  • 製造者情報
  • Bluetooth上の表示名
  • 自身の感染日時
  • 自身の端末管理者権限の有無
  • 画面ロックの有無
  • 国内の主要キャリア(ソフトバンク、ドコモ、AU)製アプリのインストール有無

 また、アプリが受け取った指令によりさまざまな不正活動を行うとしており、以下のような不正活動を攻撃者が遠隔で実行可能だとしている。

  • 画面をロックし、パスワードを「778877」にリセットする
  • 端末の管理者権限を得る
  • 「連絡先」の情報を収集し、外部にアップロードする
  • SMSやMMSの内容を取得し、外部にアップロードする
  • 他の不正アプリをダウンロードする
  • 既にインストールされている正規アプリをアンインストールし、他の不正アプリと置き換える
  • 音量とミュートの操作
  • ファイルの削除

 なお、iPhoneで偽サイトにアクセスしても特にAPKファイルはダウンロードされなかったため、偽サイトへアクセスしてきた端末によって挙動を変えていると考えられるとしている。

 また、現在の検証では、トレンドマイクロではC&Cサーバーへ接続できず、実際にどのような不正活動が行われるのかについては調査できなかったとしている。ただし、利用可能な指令の内容からは大きく分けて、「画面ロックを行って端末を使用不可にする」「連絡先やSMSの情報を窃取する」「他の不正アプリをインストールする」といった活動が推定されると説明。「攻撃者はこれらの活動を組み合わせることにより、端末内の情報を窃取したり、画面ロックを行って身代金を要求する、などの攻撃が実現可能」としている。

 トレンドマイクロ製品では、この不正アプリを「AndroidOS_Wroba.U」として検出する。

 トレンドマイクロによると、同じ内容のSMSは、昨年の12月24日前後にも拡散が確認されていたが、今年に入って1月11日ごろから再び拡散されているという。今後も同様の迷惑メールやSMSは継続して拡散するとしており、次のように述べて注意を促している。

 「SMSでは送信元も電話番号の形式で表示されますが、配送業者からであれば心当たりのない番号でもおかしくはありません。また、本文の日本語には『お荷物のお届きました』などの不自然な表現も含まれていますが、この程度のミスタイプは日常でもよくあることと言えます。SMSでは文字数制限があるため、本文中に送信者情報が無い、本文中のURLが短縮URLになっているなどは、不審と判断できる条件とは言えないでしょう。」

 「このようなネット上の危険へ誘導しようとする手口に関しては、その手口を知り、だまされないようにすることが対策の1つとなります。メールやSMS内のURLはリンク先をよく確認してからアクセスしてください。また、短縮URLなどでアクセス前には情報が不明な場合、アクセス後にブラウザー上で表示されているURLが正規のものかどうか確認してください。」