Enesolutyを配布するサーバを追跡・監視してみる(現在進行形)

Enesolutyは未だに迷惑メールを介して似非マーケットサイトにユーザを誘導し「電波改善」「電池改善アプリ」「安心ウィルススキャン」といったユーザのインストールを誘うアプリ名称で配布され続けています。
このMalwareを配布している運用者は、頻繁にドメインを変えながら都度迷惑メールを発信し続けています。今もそれは続いています。

このEnesolutyを配布しているサーバは、2つのシステムで構成されているようです。1つは似非マーケットサイトを提供しているサーバ。もう一つはMalwareファイル(apk)を配置しているサーバ。
似非マーケットサイトは複数のドメインで運用されていますが、全て同じコンテンツで構成されています。一方、この似非マーケットサイトらが示すMalwareのダウンロードサイトは1つのドメインを指しています。

私が観察を始めてからMalwareを配布するサーバのドメインが更新される瞬間を確認できていませんが、週1くらいの周期で変えているという情報もあります。

一方似非マーケットサイトはというと、過去に取得したものから、最近取得したものまでドメインの期限は様々ですが、比較的頻繁にドメインを変えている様子が確認できます。

以下に似非マーケットのドメイン利用状況をまとめました

ドメイン	ドメイン取得日	状況
toapps.info	9/6	IPとの紐付けがなくなり実質停止
appflaps.net	9/15	Alive -> 12/17 サービス停止
mag7do.info	9/15	Alive -> 12/17 サービス停止 -> 1/15 IPとの紐付けがなくなり実質停止
app-times.net	9/27	IPとの紐付けがなくなり実質停止
app-fun.net	9/28	Alive -> 1/15 IPとの紐付けがなくなり実質停止
mag-704.net	10/8	Alive -> 12/17 IPとの紐付けがなくなり実質停止
magstart.net	10/23	Alive -> 12/17 サービス停止
app-rp9.net	10/28	Alive -> 12/17 IPとの紐付けがなくなり実質停止
smart-mag.net	10/28	IPとの紐付けがなくなり実質停止
app2ap.info	11/4	Alive -> 12/17 サービス停止
vy-app.info	11/16	Alive -> 12/17 サービス停止
android-recommend.info	11/16	Alive -> 12/17 サービス停止
apps-find.info	11/23	Alive -> 1/15 IPとの紐付けがなくなり実質停止
app-repo.info	12/9	Alive -> 1/15 IPとの紐付けがなくなり実質停止
appdays.info	12/9	Alive -> 1/15 IPとの紐付けがなくなり実質停止
appinter.info	12/9	Alive -> 1/15 IPとの紐付けがなくなり実質停止
app-doc.info	12/14	Alive -> 1/15 IPとの紐付けがなくなり実質停止
android-beat.info	12/14	Alive -> 1/15 IPとの紐付けがなくなり実質停止
a***m.info	12/25	Alive
a****t.info	12/25(1/3 update)	Alive

現在も生きている(Malwareを配布している)ドメインは念のためマスクしています。

ドメインの取得日を見ていただければわかりますが、最近では12/14にドメインを取得して迷惑メールでの告知に利用しています。
この運用者にとって最近の警察逮捕劇など全くお構いなしといった態度が見えます。非常に腹立たしい限りです。本件については、徹底的に調査を進め関係機関に連絡協力を惜しまない所存です。

個人的には警察の初期対応(TheMovieの件)が大きく響いていると思っています。警察機関におかれましては、是非毅然とした対応をしていただきたいと思います。

追記

(2012/12/28)似非マーケットサイトのドメインを新たに1件追加しました

(2013/01/01)似非マーケットサイトのドメインを新たに1件追加しました

(2013/01/07)似非マーケットサイトのドメインを新たに1件追加しました

(2013/01/15)1/15時点で確認した各サイト(ドメイン)のステータスを反映しました。