マルウェア
続報:ルータの DNS 設定変更による不正アプリ感染事例で新たな不正サイトを確認
昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。
昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、トレンドマイクロでは新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。
図1:新たに確認された不正サイトに Android OS でアクセスした場合の表示例
新たに確認された不正アプリのダウンロードサイトに日本語環境からアクセスした場合、前回記事でお伝えした「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します」のメッセージとは異なり、「閲覧効果をよく体験するために、最新 chrome バージョンへ更新してください」とのメッセージが表示されます。英語のメッセージは前回も「To better experience the browsing, update to the latest chrome version.」と最新バージョンの Chrome へのアップデートを促すメッセージだったため、それに合わせたように見えます。ダウンロードされる不正アプリのAPK名もこの日本語メッセージの変更に合わせてか前回の「facebook.apk」から「chrome.apk」に変更されています。しかしなぜかハングル語、中国語(繁体字、簡体字)の場合のメッセージは前回のまま Facebook の内容で変更されておらず、今回のダウンロードサイトの変更は日本のみを意識したものと考えられます。
図2:新たに確認されたダウンロードサイトのソースコード例
前回のダウンロードサイトのものと比べると日本語メッセージと apk のファイル名のみが変更されている
また、ダウンロードされる Android 向け不正アプリは前回と異なり、トレンドマイクロでは「AndroidOS_Fakeapp.A」として検出する不正アプリになっていますが、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」の解析によれば、SMS などの情報にアクセスする機能があり、情報の窃取が目的であるものと考えられます。前回の不正アプリは facebook.apk という名称に合わせて正規の Facebook アプリをリパックする手口が使われていましたが、今回も chrome.apk という名称に合わせて正規の Chrome アプリをリパックしたものでした。また、不正アプリがアクセスする URL が一部同じものであるなどの類似点も見られました。
ダウンロードサイト自体の類似性と不正アプリの類似性を考え合わせても、この 3 月から日本で確認されているルータの DNS 書き換えから不正アプリをダウンロードさせようとする攻撃の継続であるものと言えます。攻撃者はある特定のルータを狙うというよりも、既に攻撃方法が確認されている複数種のルータを探索して攻撃を仕掛けているものと考えられます。ご使用のルータについて、最新のファームウェアに更新されているか、管理機能がインターネット側からもアクセス可能かどうか、推測可能な簡単なパスワードや他のパスワードの使いまわし、デフォルトパスワードのままの使用など脆弱な認証情報のままでの運用が無いかなど、セキュリティ状態を再確認することを推奨します。
■被害に遭わないためには
ルータが侵害を受ける可能性は大きく分けて 2 つあります。1 つはルータ自体の脆弱性を利用した攻撃、もう 1 つはルータの管理機能に設定された脆弱な認証情報を突破して不正ログインし、機器を乗っ取る攻撃です。一般利用者としては、ルータのファームウェアを常に最新にする、また初期設定のパスワードや推測しやすい簡単なパスワードなどの脆弱な認証情報の使用を見直すことにより、これらの攻撃を防ぐことが可能です。特に、インターネット側からもルータの管理機能にアクセス可能な場合は、攻撃を受ける危険性が高まります。インターネット側からの管理機能へのアクセスが不要な場合には、LAN 側からのみアクセスできるよう設定することも重要です。
今後、同様に LAN 内からインターネットへのアクセスで異常が発生した場合、ルータの DNS 設定を確認してください。特定の IP アドレスが指定されていた場合には初期設定に戻すことによって復旧可能ですが、何らかの攻撃によりルータ自体が侵害されていることが考えられます。ルータのファームウェアを最新にすると同時に、推測されにくい複雑なパスワードを再設定するなどセキュリティの強化を行うことを推奨します。
■トレンドマイクロの対策
Android 向け不正アプリについては、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network™(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術により検出を行います。今回の攻撃で最終的に侵入する Android 向け不正アプリについて、トレンドマイクロでは「AndroidOS_FakeApp」などの名称で検出対応しています。また、不正アプリを頒布する不正サイトについては「Webレピュテーション(WRS)」技術によりブロックに対応しています。トレンドマイクロではモバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスター™ モバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではMAR技術やWRS技術により利用者を脅威から保護します。
インターネットからのルータへの攻撃に関してはルータ自体に脅威対策機能を持つことが必要です。トレンドマイクロが提供する「Trend Micro Smart Home Network™」を実装したルータであれば、インターネットから、もしくはLAN内に存在する侵害された機器によるルータ自体への攻撃を検知し、保護することが可能です。ホームネットワークセキュリティ製品である「ウイルスバスター for Home Network」では、ルータとそれに接続している機器間の通信をチェックし、ホームネットワーク内の侵害された機器によるルータへの攻撃を検知し、保護することが可能です。
※調査協力:林憲明(シニアスレットリサーチャー)、日本リージョナルトレンドラボ(RTL)