2013年1月22日火曜日

SMSトロイの木馬Boxer:Boxerが仕込まれているアプリ名を公開

  • このエントリーをはてなブックマークに追加

あなたの持っているAndroidスマートフォンが、犯罪者たちに悪用されているかもしれません。犯罪者の手口は「Android/TrojanSMS. Boxer. AA」と呼ばれるマルウェアで、GoogleのAndroid端末向けに開発されたプログラムを使ってきます。

63の国が被害にあっており、電気通信事業者を識別するコード「MCCとMNC」からもその被害状況が明らかになっています。2011年12月の段階で、Android向けに作られたマルウェアは22個も見つかっており、それらのマルウェアは様々な国に被害をもたらしています。

本ブログ記事に加えて、参考文献をホワイトペーパーにまとめていますので、ご参照ください。(Boxer SMS Trojan:英語記事)できるようにしておきました。

■「Boxer SMSトロイの木馬」は、下記図の流れであなたのお金を盗んでいる

1. ユーザーがSMSトロイの木馬に感染
2. SMSトロイの木馬が密かにプレミアム番号をSMS送信する
3. SMSの特別プロバイダーがユーザーに確認SMSを送信
4. SMSトロイの木馬が確認SMSをブロックし、
 ユーザーは悪さをされていることが分からないようになっている
5. ユーザーのお金が盗まれる
6. サイバー犯罪者がお金を確保する


SMSトロイの木馬は、現在、最も深刻な被害をもたらしていると言えます。携帯端末向けに作られたマルウェアの手口はたいていが似通っており、携帯端末を使っているユーザーに対して有料情報サービスを購読させ、法外な請求を吹っかけてくるやり口になります。この種の手口は別に新しくはないのですが、結局だまされる人の多い「稼げる」手口だと犯罪者は知っています。

携帯端末の普及と共に、新種のマルウェアは次々と開発されており、手口も洗練されてきているのです。ESET社の調査によって分かっているだけでも、知名度のあるアプリの中にマルウェアを仕込む、あるいはPay Per Installの手法を使うなど、色々な手口が確認されています。普通こうした手口は1つの国、あるいは多くても数ヶ国をターゲットにするのですが、Boxerに関していえば世界規模で被害者が増えています。

マルウェアが不正に仕込まれたアプリケーションを、私たちは確認しました。「Urban Fatburner」というアプリです。

利用者はこのアプリをダウンロードしようとすると、いくつも利用規約に同意しなければいけません。SMSの送受信に関する規約、インターネットアクセスに関する規約、通話機能に関する規約も含まれています。

このアプリはインストーラーの一種なので、仮に利用者が利用規約に同意すると、ニセモノのアプリから勝手に、有料情報サービスへメッセージが送信されてしまいます。

ただ、それだけではありません。利用者がアプリをフルにダウンロードすると、有料情報サービスにメールが送信され、さらにはアプリを使うたびに、有料情報サービスへメッセージが送信される仕組みになっているのです。

ESET社は、このマルウェアの仕組みを正確に突き止めるために、Apktoolを使い、APKファイルをばらして、ソースを突き止めるべき調査をし、Androidマニフェストの中にある情報も読み込んで、コンフィギュレーション・ファイルも分析しました。

分析を進めていくと、Boxerに使われているメカニズムも明らかになってきました。たった1つのアプリに組み込まれたコードだけで、これほど多くの国をターゲットにできてしまう仕組みを突き止めたのです。

解析の作業はそれほど大変ではありませんでした。ニセモノのアプリをダウンロードしてしまった携帯端末から直接情報を引っ張りだしたのです。アプリを起動しメインのクラスが実行されると、onCreate()のメソッドが実行される仕組みになっています。

この機能によりMCCとMNCの関連情報も明らかになり、結果として国が特定されてしまいます。この情報はさらに悪用され、携帯電話キャリアのために用意された国ごとのアクティベーションコードや番号を設定する際にも、使われてしまいます。

ESETセキュリティブログ:SMSトロイの木馬が国を特定する方法


onCreate()メソッドが終了すると、今度はinitActivationSchemes()が起動します。このメソッドは、MCCとSMSを送る携帯電話番号をリンクさせます。この手順を踏むために、ActivationSchemeと呼ばれるクラスが用意されています。ActivationSchemeは、送信予定のメールメッセージ番号を持っています。

ESETセキュリティブログ:携帯電話番号アクティベーション


こうした情報は全て、(ユーザーが利用規約に同意をした時点で)active()メソッドに使われます。SMSが送信された瞬間に、BreadcastReceiver()が起動する仕組みになっており、この機能があるため、マルウェアはコンフィギュレーション・ファイルを更新し、メッセージ送信がストップするタイミングを特定できるのです。

ESETセキュリティブログ:SMS送信制御


Boxerは、ニセモノのインストーラーです。仮にユーザーがアプリをダウンロードしようとして利用規約に同意し、SMSの送信を許してしまうと、ニセモノのアプリケーションのダウンロードが始まり、そのニセモノのアプリが有料情報サービスへのメッセージ送信を勝手にスタートしてしまいます。この仕組みがあるので、犯罪者達は様々な国に、攻勢が掛けられるのです。ユーザーが外国に住んでいようと関係ありません。標的として狙われた国と地域は実際、以下のようになっています。

ESETセキュリティブログ:Boxerによる被害を受けた地域

時と共に、スマートフォンの利便性は増しています。利用者の増加に伴い、セキュリティーに対して無自覚なユーザーも増えてきました。必要な防衛策やセキュリティーを強化しなければいけません。他のSMSトロイの木馬、例えばSymbianや、Javaマイクロエディションと交換性を持つSMSトロイの木馬も存在します。ですが、その手のSMSトロイの木馬は、Android端末向けに設計された単なるマルウェアだと考えられていました。Boxerが見つかった当初も同じです。

普通、SMSトロイの木馬は、極めて狭い範囲、限られた国に対してしか影響力を持ちません。もちろん例外もあり、いくつかの国に対して猛威をふるった例はありましたが、ヨーロッパのように陸続きの場所限定です。

しかし、Boxerは地域という壁を簡単に越えてきます。アメリカ、アジア、アフリカ、ヨーロッパ、オセアニアにまたがる63の国が被害にあっているのです。63カ国のうち、9カ国はラテンアメリカです。要するに、(Google Playに公開されているいくつかのアプリケーションが悪用された事実を考えてみても)Boxerは2012年で最も警戒すべきSMSトロイの木馬だと言えます。これほど広範囲にわたる国々に、一斉に影響を与えた点だけでも特筆すべきだからです。

マルウェアのトレンドを観察していると、犯罪者達が単に、携帯端末向けの精巧なマルウェアを作っているだけではないと分かってきます。犯罪者達は一時にどれだけ多くの国々からお金を巻き上げられるか、考え始めているのです。これからしばらくは、Android端末をターゲットにしたマルウェアが、たくさん出てくると予想されます。それと同時に、新しく登場するマルウェアのせいで、多くの国のユーザーが被害をこうむると予想されます。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る