ここしばらく携帯メールを介して広がる日本をターゲットにしたマルウェアについて触れてまいりました。 これだけ話題に上がりながらマルウェアの勢いは衰えるどころかパッケージ名を変えながらさらに増えている状況です。
ここでは注意喚起のために、実際に確認したマルウェアの調査状況と被害にあわないための対策をまとめておきます。
現時点で確認しているマルウェア
移動機のメールを介する手口で拡散している一連のマルウェアのうち存在が明らかになっているのは以下のアプリです。
| Android.Ackposts | |
|---|---|
 | 電池長持ち※1 |
 | 電波改善 |
| Android.Ecobatry | |
 | 電池長持ちアプリ エコ電 |
| Android.Sumzand | |
| 沢○エ○カ!※2 | |
 | スマソーラー |
 | PowerCherger |
上記は当方が確認できたもの、セキュリティベンダが公開した情報に基づいています。これ以外にもアプリ名やパッケージ名を変えて配布されている可能性がありますのでご注意ください。
(2012/08/24 追記)Yomiuri Onlineの記事によるとSymantec社は10種類の類似するマルウェアを確認しているようです。未確認ではありますが、上記7種類のアプリに加え、本ブログ8/24の記事にあるAndroid.Loozfonの2種類、それからSymantecBlogのSumzandの記事中にある「App電話帳リ(以下不明)」の10種類と思われます。
今回のマルウェアの被害に至るまでの手口
一連のマルウェアはアプリ紹介と称する携帯のSpamメールを介して広がっています。Spamメールにはアプリをダウンロードないしは紹介するサイトへのリンクが張られており、このリンクを踏むとアプリがダウンロードされるかアプリの紹介サイトへジャンプします。
アプリの紹介サイトは一見普通のサードパーティマーケットのようなこうせいになっており、アプリの詳しい説明(もちろん内容は虚偽のものです)や、利用者の評価コメント(これも虚偽のコメントです)が書かれており、ユーザの警戒心を解こうとする意図が見えます。
(マルウェアを配布するアプリ紹介サイト風ページ)
ここでダウンロードボタンを押下するとマルウェアがダウンロードされる仕組みになっています。
ダウンロードされたマルウェアはユーザが意図的にインストールしない限り動作することはありません。 しかし、一旦起動すると以下の動作をします。
- 端末のアドレス帳から氏名、メールアドレス、電話番号を収集する
- 端末の電話番号を収集する
- 収集した情報を外部のサーバに送信する
これは先に挙げた3種類のマルウェアで共通するところです。名称こそ異なりますが機能自体はほとんど変わらないのが今回のマルウェアの特徴ともいえます。
以前大きな話題となったDougaLeaker("The Movie"マルウェア)同様アドレス帳の情報が収集されるということは、ユーザ自身のみならずユーザのアドレス帳に記録された他者の情報を盗まれるという非常に大きな問題になります。
今回のマルウェアの脅威と今後の対策
現状を見る限り、同様の手口は今後も続くと予想されます。
これらの手口にひかっかり、被害を受けない為に以下の点を守りましょう。
1.覚えのないメールのリンクを押さない
メール本文中のリンクを押すだけでマルウェアをダウンロードするケースがあります。身に覚えのないメールのリンクは不用意に押さないでください。
2."「提供元不明のアプリ」のインストールを許可する"のチェックを入れない
端末の「設定」→「アプリケーション」の項目にある「提供元不明のアプリ」のインストールを許可するにチェックが入っていないことを確認してください。
今回のケースではGooglePlayを介さず外部のサーバに置かれたアプリ(いわゆる野良アプリ)です。GooglePlay以外のサイトからインストールする場合、この設定にチェックが入っている(ON)の場合しかインストールできません。
(そもそも野良アプリは原則入れるべきではありません。)
3.マルウェアを起動した後のウィルス対策ソフトは意味がありません
今回のマルウェアは起動と共に収集した情報を外部に送信します。起動したあとでウィルス対策ソフトが検知してもすでにマルウェアは自身の仕事をやり終えた後になります。対策ソフトを過度に信頼しすぎてはいけません。
4.すでにマルウェアを起動してしまった方は警察や公的機関へ相談を
マルウェアを起動してしまった場合はすでにアドレス帳や端末の電話番号が外部に漏洩している可能性が極めて高いです。
警察(都道府県警察本部のサイバー犯罪相談窓口等一覧 http://www.npa.go.jp/cyber/soudan.htm)やIPA(情報セキュリティ安心相談窓口 http://www.ipa.go.jp/security/anshin/)へ問い合わせしてください。
追記
2012/08/22 21:38 実際にマルウェアを配布しているサイトの画面を追加
2012/08/24 16:48 確認されているマルウェアについてシマンテックの情報を追加
※1「電池長持ち」という名称のアプリは2種類存在していることが明らかになっています。1つはアイコンに「電池長持ち」と記載されたもの、もう一つはヘッドフォンの絵が描かれたものです。当方では前者の存在を確認しておりますが、後者は確認できていません
※2「沢○エ○カ!」については当方で確認できませんでしたが、Symantecの情報から該当アプリの存在は間違いないものと見ています
0 件のコメント:
コメントを投稿