is702
ニュース

Mac向け偽アプリを確認、正規の株式取引アプリに偽装し利用者の情報を窃取

2019/11/19

トレンドマイクロは11月18日、公式ブログで「macOSを狙うマルウェア:取引アプリに偽装し個人情報を窃取」と題する記事を公開しました。macOS向けの株式取引ソフト「Stockfolio」を偽装する攻撃を確認したとのことです。

トレンドマイクロは、2019年9月にMac向けの正規アプリ「Stockfolio」に偽装した取引アプリを確認し、詳細な解析を進めていました。その結果、関連するマルウェア(悪意のあるソフトウェアの総称)の亜種2つが確認されました。

1つ目の亜種「Trojan.MacOS.GMERA.A」は、シェルスクリプト(コンピュータに指示を与えるファイル)2つを駆使し、外部の不正サイトから暗号化されたプログラムをダウンロードし、復号するというものでした。もう1つの「Trojan.MacOS.GMERA.B」は、「Trojan.MacOS.GMERA.A」よりも動作が簡略化された他、感染したパソコンの再起動後も活動を継続させる機能が追加されていました。

「Trojan.MacOS.GMERA.A」は、トレンドマイクロの機械学習システムにより、不審なシェルスクリプトとして検出されました。一見すると、正規アプリ「Stockfolio」のバージョン1.4.13に見えます。しかし、正規アプリのコピー以外にも暗号化された隠しファイルを含む等、複数の不正な特徴を備えており、マルウェア作成者が用意したデジタル証明書(現在はアップルにより取り消し済み)も付記されていました。この不正アプリが実行されると、表面上は正規の取引アプリのコピーが表示されます。しかしその裏では、ユーザに気付かれないまま不正活動を実行する機能を持っており、感染したパソコンの情報や保存されているファイルを外部に送信するなどします。

一方、「Trojan.MacOS.GMERA.B」も同じマルウェア作成者のデジタル証明書が付記され、偽装に利用された株式取引アプリ「Stockfolio」のバージョン1.4.13を含んでいます。こちらも表面上は正規アプリのコピーを実行させ、裏では不正なプログラムを起動させてユーザ名とIPアドレスを収集します。そして、C&Cサーバ(攻撃の指示を行うサーバ)への接続が成功すると、最終的に外部のサイバー犯罪者による遠隔操作を可能にします。
マルウェア作成者は、このように機能の簡略化を進める一方で、新たな機能を追加しており、将来的には検出回避機能を追加する可能性も考えられます。

Mac利用者は、アプリをインストールする際に必ず公式アプリストアを利用しましょう。また、このようなサイバー脅威によるリスク下げるためには、Macも他のパソコンと同様に、OSとセキュリティソフトを最新の状態に保って利用することが重要です。



不正アプリ実行中に表示される正規アプリのコピー

不正アプリ実行中に表示される正規アプリのコピー


  • ウィルスメール対策・迷惑メール対策 ポテトだから安心・充実・高機能
  • ウィルスバスターマルチデバイス月額版
  • i-フィルター for プロバイダー
ウィルスメール対策・迷惑メール対策 ポテトだから安心・充実・高機能
ウィルスバスターマルチデバイス月額版
i-フィルター for プロバイダー