is702
ニュース

国内有名企業からのメール、実は偽物-不正アプリ拡散が目的

2018/02/05

トレンドマイクロは2月2日、公式ブログで「国内利用者を狙う不正アプリ、複数の有名企業を偽装して拡散」と題する記事を公開しました。

今回トレンドマイクロの調査により、国内有名企業を偽装した電子メールやSMSにより、不正サイトに誘導する攻撃キャンペーンが確認されました。トレンドマイクロでは、これより前の1月15日にSMSを発端としたAndroid向け不正アプリ(スマホのウイルス)拡散の攻撃を確認していました。この攻撃は、宅配荷物の不在通知を偽装し、SMSにより不正アプリ配布サイトへ誘導するものでしたが、今回新たに、同一の不正アプリを拡散する、2種類の攻撃が確認されました。

このうち1つは本文に「カード発行状況確認は下記よりご確認ください」という文字列を含む、SMSによる攻撃、もう1つは件名に「ギフト券2万円分プレゼント!」という文字列を含む、電子メールによる攻撃でした。トレンドマイクロによると、前回の配送業者の偽装ページ、今回のギフト券プレゼント偽装ページ、カード発行状況確認の偽装ページについて、すべて同一ドメイン上で設置されている事例を確認したとのことです。最終的にこれらの偽装ページからは、バックドア型の不正アプリ「AndroidOS_Wroba」がダウンロードされる模様です。またカード発行状況確認の偽装ページでは、氏名や生年月日、電話番号といった個人情報の入力が促されていました。

日本国内の利用者を狙い、同一のAndroid向け不正アプリを配布する攻撃キャンペーンは、これまでほとんど例がありません。また、電子メールに関しては、1月13日の1日間で1000通以上の拡散が確認されています。メールアドレスとしては、およそ1000種類が送信元として使用されていましたが、すべてランダムな文字列のメールアドレスを使っていました。これは、ブラックリスト方式のスパムメール対策を回避するのが目的とみられています。

実際の攻撃は未確認ながら、国内のネット銀行を思わせる不正URLも準備されているとのこと。今後も同種の手口で不正アプリ拡散や個人情報の詐取が続く可能性があります。国内有名企業からのメールやSMSであっても、正規のものかどうかよく確認してから、URL等にアクセスしてください。



カードの発行状況確認ページを偽装する誘導先不正サイトの例 <br> <br />情報の入力を促した下には確認用と称するアプリのインストール方法が表示されている<br />

カードの発行状況確認ページを偽装する誘導先不正サイトの例

情報の入力を促した下には確認用と称するアプリのインストール方法が表示されている