フィッシング
国内スマートフォン利用者を狙う新たな動きを詳細解説
トレンドマイクロは「XLoader」の新しい亜種(「AndroidOS_XLoader.HRXD」として検出)を確認しました。今回確認された亜種は、Android端末に対しては正規セキュリティアプリに偽装し、iPhoneおよびiPadに対してはiOSの構成プロファイルに偽装することで端末に侵入します。
偽装SMSを発端とする国内スマートフォン利用者を狙った攻撃の継続と新たな変化については3月15日の記事にてお知らせしました。本記事ではその新たな変化についてより詳細な解析をお伝えします。この攻撃で使用されるAndroid向け不正アプリとして、トレンドマイクロは「XLoader」の新しい亜種(「AndroidOS_XLoader.HRXD」として検出)の拡散を確認しました。2018年12月11日の記事で報告した以前のバージョンは、FacebookやChromeのような正規アプリに偽装して情報を窃取するAndroid端末向け不正アプリでした。今回確認された亜種は、Android端末に対しては正規セキュリティアプリに偽装して端末に侵入します。また、iPhoneなどのiOS端末に対してはiOSの構成プロファイルをインストールさせることで端末情報を窃取します。このようなデプロイ手法に加えて、コマンドや、コマンド&コントロール(C&C)サーバのアドレスを隠ぺいするSNSの種類にも変化が確認されました。新しい亜種は、前回の調査における最新バージョンに続けて6.0とラベル付けされています。
■感染の流れ
図1:XLoaderの感染の流れ
スミッシングにより不正なWebサイトに誘導
今回確認されたXLoaderは、日本の携帯電話事業者が提供する正規セキュリティアプリに偽装していました。同事業者のWebサイトをコピーした、XLoaderをホストする不正なWebサイトへのリンクは、テキストメッセージ(ショートメッセージ、SMS)を利用した「スミッシング(SMS+Phishing)」によって拡散されていました。まだXLoaderへの感染報告はそれほど多くありませんが、問題の偽装SMSに関する報告は確認されています。
図2:XLoaderをホストする偽のWebサイト
AndroidおよびiOS端末に感染
過去には、感染PCで仮想通貨を発掘する機能や、フィッシングによってiOSデバイスのアカウント情報を窃取する機能を備えた亜種も確認されているように、XLoaderはその攻撃手法を変化させ続けてきました。今回確認された亜種では、不正なWebサイトにアクセスした端末のOSを判定し、AndroidおよびiOS端末に感染する機能が確認されています。
Android端末の場合、不正なWebサイトにアクセスし、いずれかのボタンをタップすると、XLoaderのAndroid Application Package(APK)がダウンロードされます。ただし、インストールに成功するためには、ユーザがAndroidの設定で「不明なアプリのインストール」を許可する必要があります。
iOS端末の場合、同一の不正なWebサイトにアクセスすると、また別の不正なWebサイト「hxxp://appl<省略>q-japan[.]com」または「hxxp://appl<省略>o-japan[.]com」にリダイレクトされます。これらのWebサイトは、サイトの読み込みを妨げているネットワークの問題を解決するためだとして、ユーザに不正なiOS構成プロファイルをインストールするように促します。ユーザがこの構成プロファイルをインストールすると、図2のようなAppleに偽装したフィッシングサイトが開きます。
図3:iOS端末ユーザを狙うフィッシングサイト
■技術的な解析
新しいXLoaderの攻撃機能のほとんどは以前のバージョンと類似していますが、iOSに対象を拡大した侵入手法の変化も含め、コードにはいくつかの変更が加えられています。
Android端末に感染する不正なAPK
以前のバージョンと同様に、XLoader 6.0はソーシャルメディアのプロフィールにC&Cサーバのアドレスを隠ぺいしています。ただし今回は、以前の攻撃では確認されていなかったTwitterが悪用されました。C&CサーバのアドレスはTwitterのユーザ名にエンコードされており、デコードすることで初めて明らかになります。これは、C&Cサーバのアドレスに基づいた検出をもう一段階困難にするための手口です。
図4:XLoader 6.0がTwitterを悪用してC&Cサーバのアドレスを隠ぺいするコード
図5:C&Cサーバのアドレスを隠ぺいした不正なTwitterアカウント
XLoader 6.0には「getPhoneState」という新しいコマンドが追加されています。「getPhoneState」は、IMSI、ICCID、Android ID、そしてシリアル番号のような、端末を識別するための情報を収集するコマンドです。
図6:XLoader 6.0で追加された新しいコマンド「getPhoneState」
このような情報は標的型攻撃に利用可能なため、XLoaderのその他の機能を考慮すると、この変化は非常に危険なものとなる恐れがあります。
iOS端末を狙う不正な構成プロファイル
ダウンロードされた不正なiOS構成プロファイルは端末から以下の情報を収集します。
- Unique Device Identifier (UDID)
- International Mobile Equipment Identity (IMEI)
- Integrated Circuit Card ID (ICCID)
- Mobile Equipment Identifier (MEID)
- バージョン番号
- 製品番号
この構成プロファイルのインストール手順はiOSのバージョンによって異なります。iOS 11.0およびiOS 11.4では比較的単純です。ユーザが構成プロファイルをホストするWebサイトに訪問しインストーラのダウンロードを許可すると、検証済みの証明書を表示した「プロファイルのインストール」ページに直接進みます。インストールをタップすると、最後の手順としてパスコードの入力が求められます。
図7:iOS 11.0およびiOS 11.4での構成プロファイルインストール手順
iOS 12.1.1およびiOS 12.2では、インストール手順が異なります。構成プロファイルのダウンロード後、ユーザは設定ページでプロファイルを確認しインストールの可否を判断するように求められます。iOS12.2では、設定の「ダウンロードされたプロファイル」から確認することが可能です。これにより、ユーザは加えられる変更の詳細について確認することが可能です。以降の手順は、上述したiOS 11.0およびiOS 11.4と同一です。
図8:iOS 12.1.1およびiOS 12.2での構成プロファイルインストール手順
この構成プロファイルをインストールすると、ユーザはAppleに偽装したフィッシングサイトにリダイレクトされます。このフィッシングサイトは、窃取した情報に攻撃者がアクセスできるように、収集した情報をGETパラメータとして使用します。
図9:不正な構成プロファイルが端末から収集する情報
■国外で継続中の活動
韓国のユーザを狙う別の亜種
XLoaderを監視する中で、韓国のユーザを対象とするポルノアプリに偽装した別の新しい亜種が確認されました。このAPK「porn kr sex」は、XLoaderをホストする不正なWebサイトにバックグラウンドで接続します。この不正なWebサイトは、上記のものとは異なる特定のTwitterアカウント「https://twitter.com/fdgoer343」を使用します。iOS端末を攻撃するコードは備えておらず、Androidユーザのみを対象にしているようです。
図10:XLoaderの別の新しい亜種が利用する偽のポルノサイト
InstagramとTumblrを悪用するXLoader 7.0
さらに監視を続けたところ、Twitterの代わりに、InstagramとTumblrを利用してC&Cサーバのアドレスを隠ぺいするさらに新しい亜種が確認されました。この亜種は異なる侵入経路を持ち、ペイロードを読み込むためにネイティブコードを使用します。トレンドマイクロはこの亜種のバージョンを7.0とラベル付けしました。これらの新しい亜種の存在はXLoaderが今なお変化を続けていることを示しています。
■新しく確認された「FakeSpy」とのつながり
トレンドマイクロでは、2018年以降、XLoaderの活動を継続して確認しています。2015年1月にまでさかのぼるXLoaderの膨大な活動に関する詳細な調査を行い、そこから得られた初期の知見を元に追跡をしてきました。その中には、Android端末向け不正アプリ「FakeSpy」とのつながりも含まれます。XLoader 6.0の出現は、背後にいる攻撃者が活動を続けているということを意味するだけでなく、FakeSpyとの関連を示す新たな証拠にもなっています。 XLoader 6.0とFakeSpyとの直接的かつ明らかなつながりは、これらの不正アプリが採用する類似したデプロイ手法です。XLoader 6.0は、今回も日本の正規Webサイトをコピーして不正アプリをホストしていました。これは以前FakeSpyが利用した手法に類似しています。両者の類似性は、ダウンロード可能なファイルの命名法、偽のWebサイトのドメイン構造、そしてデプロイ手法の詳細などからも確認することができます。
図11:不正なWebサイトのソースコード XLoader(左)FakeSpy(右)
他にも、SNSを利用してC&Cサーバの情報を隠ぺいする手法も共通しています。XLoaderはいくつかの異なるSNSを利用してきましたが、今回はTwitterが選択されました。Twitterは以前の攻撃でFakeSpyが利用したSNSです。 iOSの不正な構成プロファイルの解析からもさらなるつながりが明らかになりました。XLoaderの構成プロファイルはFakeSpyが2019年の初めに利用した不正なWebサイトからもダウンロードされます。
■被害に遭わないためには
XLoaderに対する継続的な監視から、このマルウェアの背後にいる攻撃者は、攻撃経路、マルウェアをホストするインフラストラクチャ、そしてデプロイ手法など、その機能を絶えず変化させていることが分かります。今回の事例からも、このような動向は今後も継続していくと考えられるでしょう。このような事実に留意した防御戦略を立案し、将来の攻撃に備えることが重要です。 追加された機能の解析だけでなく、FakeSpyのような別のマルウェアファミリの機能との比較からも価値のある洞察を得ることができます。XLoaderとFakeSpyとのつながりは、それらのマルウェアの背後にいる攻撃者たちの内情についてより広範な手がかりを与えてくれます。 今後もXLoaderに関するより多くの情報が知られていくと予想されますが、現状手に入る知識を最大限活用してこのマルウェアの影響を低減していくことが重要です。iOSのユーザは、Apple製デバイスを管理する公式iOSヘルパーアプリ「Apple Configurator 2」を使用して不正な構成プロファイルを削除することが可能です。 信頼できるWebサイトやプラットフォームからのみアプリやファイルをダウンロードすることの徹底や、一方的に送り付けられたメッセージには注意を払うといった、モバイルデバイスを保護するためのベストプラクティスに従うことは、類似した攻撃によるデバイスの侵害を防ぐ上で役立ちます。 侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正 Web サイトのブロックに対応しています。 参考記事:
- 「New Version of XLoader That Disguises as Android Apps and an iOS Profile Holds New Links to FakeSpy」 by Hara Hiroaki, Lilang Wu, and Lorin Wu (Mobile Threats Analyst)
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)