is702

「セキュリティの脅威」グローバルレポート~世界中の最新セキュリティ脅威動向をご紹介~

「Android」を狙う不正プログラムを初確認!

最新不正プログラム事例

「Android」を狙う不正プログラムを初確認!

図:「Windows Media Player」のアイコンを装っている8月上旬、モバイル端末用OS「Android」を狙ったトロイの木馬型不正プログラムが初めて確認されました。この不正プログラムは、"Windows Media Player"を装っていました。この不正プログラムは、インストールされると、ロシア語のメッセージを表示し、特定の有料番号にテキストメッセージを送信します。ただし、さらに解析した結果、この不正プログラム自身にプログラムエラーがあり、上述の不正活動を実行することができないことが確認されました。

ユーザの位置情報を狙う不正アプリを確認!

図:「Tap Snake」の使用許諾契約書トレンドラボでは、8月中旬、モバイル端末用OS「Android」向けのアプリケーション「Tap Snake」に、ユーザの位置情報(GPS)を収集するスパイ機能が備わっていることを確認。この不正なアプリケーションは、ユーザがTap Snakeの使用許諾契約書に同意するだけで、HTTPポストを介してユーザのGPS情報を特定のリモートサイトに送信します。そして、不正リモートユーザは、別のAndroid OS用アプリケーション「GPS SPY」を用いて、Tap SnakeユーザのGPS情報を監視することが可能となります。

さらに悪質なことに、単にTap Snakeを終了するだけでは、上記の情報収集活動およびリモートサイトへの送信を停止することができません。ユーザは、この不正アプリ自体をアンインストールするか、あるいは、ユーザのデータ送信に関連するサービス「SnakeService」を終了するか、どちらかの方法を取らない限り、この不正アプリの不正活動を止めることはできないのです。

なお、この不正アプリTap Snakeは、Android向けのアプリケーションを配信する「Android Market」に既に広く出回っているので注意が必要です。

iOSの脆弱性を悪用する「脱獄」ツール

2010年7月26日、米著作権局により、「iPhoneの『Jailbreak』は合法である」という決定が下されました。「Jailbreak(脱獄)」とは、iPhoneをはじめ、iOSが搭載されている iPad や iPod Touchを改造して、非公認のアプリケーションを使えるようにする行為のことです。そして、その数日後、操作簡単な脱獄ツールがインターネット上で公開されました。この脱獄ツール「JailbreakMe」は、iOSに存在する脆弱性を利用することが明らかになっています。

悪用される脆弱性の1つは、脱獄したAppleモバイル機器がIOSurfaceプロパティを処理する際に発生する整数オーバーフローが原因となるようです。この脆弱性が利用されると、サイバー犯罪者は、モバイル機器のユーザと同じシステム権限を取得することができ、不正なコードを実行することが可能となるのです。また、一方の脆弱性は、モバイル版「Safari」でPDFファイルを閲覧する際に生じ、「FreeType(フォントエンジンを実装したライブラリ)」に存在。Compact Font Format(CFF)の命令コードを処理する過程で、スタックバッファ・オーバフローが引き起こされ、この結果、任意のコードが実行される恐れがあります。

ユーザは、「脱獄」することで、Appleの保証が受けられないだけでなく、サイバー犯罪者の感染経路として悪用されることとなり、サイバー犯罪に巻き込まれないためにもくれぐれも注意を払う必要があります。

偽デジタル証明書を備えたファイル、実は情報収集型不正プログラム!

トレンドラボの研究員は、8月上旬、不審なデジタル証明書を備えたファイルを確認。この偽デジタル証明書は、セキュリティ企業「Kaspersky」の駆除ツール「ZbotKiller」に用いられる証明書を模倣していたのです。しかし、この偽証明書の有効期間は既に過ぎていました。これは、この証明書が偽物であり模倣元を隠蔽するために細工されたものと考えられます。この偽デジタル証明書を備えた不正なファイルは、トレンドマイクロの製品では、情報収集型不正プログラム「ZBOT」の亜種として検出。この不正プログラムに感染すると、感染ユーザのオンライン銀行または金融機関の個人情報が収集されることとなります。

左図:正規のデジタル証明書/右図:無効なデジタル証明書

「悪意のあるソフトの削除ツール」のはずが…

マイクロソフト提供の「Malicous Software Removal Tool(MSRT、悪意のあるソフトの削除ツール)」を装った偽セキュリティソフトウェア型不正プログラム「FAKEAV」が確認されました。この偽MSRTは、ファイルサイズが小さい(412,672バイトのみ)、デジタル証明書がない、といったことから偽物であることがわかります。この偽MSRTに感染すると、典型的なFAKEAVと同様に、偽のスキャン結果が表示され、ユーザに偽セキュリティソフト"Shield EC Antivirus"の購入を促す、この偽セキュリティソフトのWebサイトに誘導します。誤って購入しようとしたユーザは、カード情報の入力をすることで、自身の個人情報が収集されることとなります。

図:偽のカード情報入力ページ

情報提供 トレンドラボ

トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。

前へ 1 2 3 次へ
  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ