is702
ニュース

日本と韓国を狙う犯罪集団が関与?宅配業者に偽装した不正アプリに共通点

2018/12/12

トレンドマイクロは12月11日、公式ブログで「Android端末向け不正アプリ『XLOADER』と『FAKESPY』に類似点、中国のサイバー犯罪集団『Yanbian Gang』とのつながりを示唆」と題する記事を公開しました。

それによると、Android端末向け不正アプリ「XLOADER(エックスローダ)」および「FAKESPY(フェイクスパイ)」について、同一の攻撃者または攻撃集団、あるいは互いに提携関係にある関係者によって運用されている可能性があるとのことです。

「XLOADER」は、正規アプリに偽装してユーザから個人情報および金融機関情報を窃取する不正アプリ。一方「FAKESPY」は、SMSを利用する「スミッシング(SMS+Phishing)」によって拡散する不正アプリです。2018年10月時点では、世界全体であわせて合計38万件超が検出されており、特に日本および韓国で拡散しています。

もともとXLOADERとFAKESPYは、関連ないものと思われていましたが、FAKESPYの亜種のほとんどすべてが、XLOADERと同じアプリ(日本の宅配サービス企業の正規アプリ)に偽装していたことから、関連が疑われるようになりました。そこで、XLOADERおよびFAKESPYの挙動を調査した結果、不正アプリをダウンロードさせるために同一のドメインを利用していることが判明しました。「ソーシャルメディアのユーザ情報に、コマンド&コントロール(C&C)サーバの情報を隠ぺいする」という手口も共通していました。

さらに、XLOADERとFAKESPYの挙動とコードの構造を解析したところ、中国のサイバー犯罪集団「Yanbian Gang」との関連が推測されました。Yanbian Gangは、日本および韓国のオンラインバンキング利用者を狙っているサイバー犯罪集団です。今回の調査で、FAKESPYと彼らが利用する不正アプリにおいて、コード上の類似性が確認されたとのことです。



Android端末向け不正アプリ「XLOADER」および「FAKESPY」の月別検出数

Android端末向け不正アプリ「XLOADER」および「FAKESPY」の月別検出数


  • フラウネッツ
  • セキュリティブログ
フラウネッツ
セキュリティブログ