2013年1月24日木曜日

高額請求に注意:SMSトロイの木馬Boxer

  • このエントリーをはてなブックマークに追加
Androidスマートフォン:ESETセキュリティブログ

みなさんのポケットの中にあるスマートフォンがサイバー犯罪者にお金を提供してしまう可能性があるでしょうか?実は、その可能性があります。

この記事では、どのようにして世界中のAndroid携帯電話を標的とされたか、その実例を利用して説明します。

スマートフォンの利用は今や世界中のあちらこちらで一般的に利用されています。私たちは、目を覚ました瞬間からスマートフォンを持ち運び、1日中スマートフォンを使用しています。インターネットに接続したり、メールを読んだり、ソーシャルネットワークを介して情報を共有したり、ゲームをプレイしたり、友人や家族とコミュニケーションを取ったりするためにスマートフォンを使用します。

幅広い利用シーンにより、スマートフォンの需要が上昇し続け、新しいスマートフォンが日々増えています。このことは、ベンダーやサービスプロバイダだけでなく、これらのプラットフォームをターゲットにし始めているサイバー犯罪者にとっても収益性の高い市場となっているのです。

サイバー犯罪者たちは、スマートフォンから情報を盗むだけでなく、プレミアムSMSの機能を悪用することで利益をあげるためにスマートフォンを利用することもあります。

中南米地域のユーザに対する複数の調査の後、ESETラテンアメリカの研究所チームは、"Boxer"と呼ばれるトロイの木馬を分析し、ESET Mobile Securityによって"Android/TrojanSMS.Boxer.A"として検知されたりVirus Radarのように情報が公開されたりしているマルウェアの脅威が、世界の60ヶ国以上の国の中で9つのラテンアメリカ系の国が標的にされていることを発見しました。私たちが、ラテンアメリカ地域のユーザに影響を与えるSMS型のトロイの木馬を見たのは初めてのことです。

このマルウェアを分析してみたところ、プレミアムレート番号にSMSメッセージを送信するコマンドを使用するSMS型のトロイの木馬であることが認められ、私たちはまた、請求書や口座に書かれた"謎の"料金について払い戻しを主張するインターネットユーザーを見つけることができました。これらの調査で、このような不都合を引き起こすプレミアム番号をBoxer分析の中で発見しました。

SMS型のトロイの木馬は、プレミアムレート番号を載せたメッセージを犠牲者にサブスクライブしてもらうことが主な目的である携帯電話向けの悪意のあるプログラムとして分類されています。

このタイプのサービスは、通常、正常にサブスクライブされたことをユーザに通知しますが、いくつかのトロイの木馬は、ユーザが感染に気づかないままであるように、それらのプレミアム電話番号からのSMSメッセージをフィルタリングします。

したがって、他のユーザやサービスとメッセージをやり取り出来ていても、プレミアムレートの番号に接続されたというメッセージは隠されているのです。潜在的に、このことはユーザにとって深刻な財政問題を引き起こします。彼または彼女が口座明細書をチェックしていない場合、彼らに高価な費用が発生する可能性があるのです。

下の図は、SMSトロイの挙動を示し、どのようにして攻撃者が収益を得るかを示しています。

ESETセキュリティブログ:SMS型トロイの木馬の仕組み
1. ユーザーがSMSトロイの木馬に感染
2. SMSトロイの木馬が密かにプレミアム番号をSMS送信する
3. SMSの特別プロバイダーがユーザーに確認SMSを送信
4. SMSトロイの木馬が確認SMSをブロックし、
 ユーザーは悪さをされていることが分からないようになっている
5. ユーザーのお金が盗まれる
6. サイバー犯罪者がお金を確保する



基本的に、攻撃者はビデオゲームや良く知られたアプリケーションなどの中に悪意のあるコードを隠しておく必要があるので、SMS型のトロイの木馬は自分自身を伝播することが出来ません(ワームやウイルスとは異なります)。

ユーザが騙されて、このようなアプリをダウンロードしてインストールすると、彼らのスマートフォンはトロイの木馬に感染してしまいます。ユーザが、そのアプリを実行すると、プレミアムレート番号にSMSが送られ、そのユーザに課金させるようにサブスクリプションをアクティベートします。

プレミアムレート番号の動作方法は大変シンプルです。ユーザのスマートフォンから送信されたSMSのサブスクリプションメッセージによってアクティベートされます。サブスクライブしたユーザは、ジョークなど何らかのコンテンツと共にSMSメッセージを受信します。1メッセージにつき数ドルの費用が発生します。

一般的に言えば、SMS型のトロイの木馬は行動範囲が限られています。このことにより、それらは特定の国にしか影響を与えることができず、ほとんどのケースでは、プレミアムレートの番号は、各オペレータと国家によって異なります。

にもかかわらず、Boxerは、アメリカ、ヨーロッパ、アフリカ、アジア、オセアニアなど、少なくとも63以上の国のユーザを対象とする能力を持っています。(特定の国·地域を選択する方法には沢山の異なった要素があるかもしれませんが、恐らく、異なる亜種が進化してきたように、最も収益性の高い国を取捨選択しているものと思われます。)

このターゲッティング能力は、Boxerを広い動作範囲を持つ優れた伝播の可能性を秘めたSMS型のトロイの木馬に変化させています。

63もの国をターゲットにすることが出来るのがBoxerの最も重要な特性の1つですが、どのようにこのことを可能にしているのでしょうか?

全てのスマートフォンには、どこの国やモバイルネットワークに属しているかについての情報が格納されています。この情報は、MCC(Mobile Country Code)やMNC(Mobile Network Code)という名前で知られています。Boxerが、感染したスマートフォンが属する国や携帯電話会社の情報を知ると、プログラムの内部に格納された情報と照合し、ユーザをサブスクライブするために"適切な"プレミアムレートサービス番号にSMSを送信しようとします。

この種のマルウェアに関する私たちの観測では、サイバー犯罪者はモバイルデバイス向けにさらに複雑化したマルウェアの作成にリソースを集中するばかりでなく、脅威の範囲を世界に向けて拡大する方法に集中し始めていることを確認しています。

このことは、私たちが、近い将来Androidを標的にした更なる悪意のあるコードを検出し、出来るだけ多くの地域のユーザに、影響があるように構成されたマルウェアのより多くの例を見つけ公表することを期待されているものと思っています。


この種の脅威の被害を避けるために、私たちは以下のことをお勧めします。

 ・Google PlayやApple Storeなどの公式マーケットからアプリケーションをインストールする
 ・メールやSMSメッセージに書かれた不明なリンクをクリックしない
 ・あなたのスマートフォンに対して感染する悪質なコードを防ぐためのセキュリティソフトウェアを使用する

私たちは、この特定の脅威についてのより技術的な記事ならびにBoxer SMS Trojanの詳細なホワイトペーパー(英語記事)を公開しています。あなたのAndroidタブレットやスマートフォンを保護するために、ESET Mobile Security for Androidを使用して下さい。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る