佐川急便・楽天カード・Amazon.co.jpをかたる偽SMSや偽メールが1月に拡散、同じAndroid不正アプリのインストールへ誘導

　1月中旬に、佐川急便の宅配不在通知を偽装したSMSからAndroid向け不正アプリをインストールさせようとする攻撃が発生したが、同社以外にも、国内企業の正規サイトを装った同様の攻撃が、1月中旬から下旬にかけて行われていたことが分かった。

　トレンドマイクロ株式会社によれば、複数の日本企業を偽装したメールやSMSで、同一のAndroid向け不正アプリを配布する一連の攻撃は、これまでにほとんど例がないものだという。

　佐川急便の不在通知を装ったもののほか、楽天カードをかたり、本文に「カード発行状況確認は下記よりご確認ください」という文字列を含むSMSと、Amazon.co.jpをかたり、「ギフト券2万円分プレゼント！」という件名のメールが確認されている模様だ。

不在通知をうたった不審なSMSの例（実物を元に再構成）

「カード発行状況確認」を偽装した不審なSMSの例

カードの発行状況確認ページを偽装する不正サイトの例

ギフト券プレゼントを偽装する不正サイトの例

　この3種類のいずれもが、本文内のURLリンクから、正規サイトを偽装して不正サイトへ誘導し、最終的にAndroid向けバックドア型の不正アプリ「AndroidOS_Wroba」をダウンロードさせるものだという。

偽サイト上で表示されるGIFアニメーションの表示例。「提供元不明のアプリ」のインストールを許可させる設定方法を表示

　このうちAmazon.co.jpをかたったメールは、1月13日だけで1000通以上の拡散が確認されており、無作為の文字列を用いたほぼ1通ごとに異なるメールアドレスが使われていた。この手口については、ブラックリストによるスパムメール対策製品のブロックを免れるためのものと推測しているが、これは、受信者にとって不審なメールを見分ける手段にもなる。

　トレンドマイクロでは、この3種類の不正サイトすべてが、同一ドメイン上に設置されていることから、同じ者による一連の攻撃と推測。国内ネット銀行を思わせる不正URLが準備されていることも確認しているとして、今後も国内企業を偽装した不正アプリの拡散が継続する可能性があるとしている。