モバイル
変化するモバイルマルウェア「KeepSpy」、スマートフォンが不正アクセスの踏み台に
2022年8月5日頃より、通信事業者を装ったSMSから誘導される偽サイトから感染が誘導されるAndroid向けのマルウェア「KeepSpy」の新たな亜種を確認しており、感染した場合に、攻撃者により感染端末を経由して任意のサイトにアクセスされる、つまり、不正アクセスの踏み台となる可能性があることを確認しました。
2022年8月5日頃より、通信事業者を装ったSMSから誘導される偽サイトから感染が誘導されるAndroid向けのマルウェア「KeepSpy」の新たな亜種を確認しており、感染した場合に、攻撃者により感染端末を経由して任意のサイトにアクセスされる、つまり、不正アクセスの踏み台となる可能性があることを確認しました。
SMSと偽サイトによる感染の誘導
新たなKeepSpy亜種への感染は、主に通信事業者を装ったSMSからの誘導される偽サイト経由で利用者に誘導されます。感染を誘導するための手口は従来のKeepSpyと大きな変化はなく、誘導先となる偽サイトにてセキュリティソフトを偽装し、利用者にダウンロード、インストールを促しています。
/emerging-domestic-mobile-malware-threats/Picture1v2.jpg)
/emerging-domestic-mobile-malware-threats/Picture2.jpg)
マルウェアの解析から見える攻撃者の狙い
まず、偽サイトからダウンロードされるKeepSpy亜種は、従来型のKeepSpyと共通点も多くありますが、複数の異なる特徴をもっていました。このKeepSpy亜種を調査・解析した結果、従来型とは異なり、端末を踏み台にしたインターネットアクセスを可能にする機能が組み込まれていることを確認しました。
/emerging-domestic-mobile-malware-threats/Picture3.jpg)
パーミッションについて
従来のKeepSpyには、感染端末のSMSを送信する、SMSを窃取するなどの機能を持っており、AndroidManifest.xml にもSMSに関するパーミッションについての記載が確認できます。一方、8月5日頃から感染が誘導されているKeepSpyの亜種については、このSMSに関するパーミッションの記載がなくなっていることが確認できます。
/emerging-domestic-mobile-malware-threats/Picture4.jpg)
/emerging-domestic-mobile-malware-threats/Picture5.jpg)
/emerging-domestic-mobile-malware-threats/Picture6.jpg)
リソースに含まれるバイナリについて
KeepSpy亜種には、APKファイル内部の15MB程度のELFファイル「myfff.aab」が同梱されており、これがAPKファイルサイズの増加の一因となっていました。このELFファイルを確認した結果、ファイル内部で用いられている関数名などの特長から、Go言語(golang)で作成されたオープンソースのProxyツール「frp」 (https://github.com/fatedier/frp)とみられるプログラムであることを確認しました。
/emerging-domestic-mobile-malware-threats/Picture7.jpg)
/emerging-domestic-mobile-malware-threats/Picture8.jpg)
/emerging-domestic-mobile-malware-threats/Picture9.jpg)
「myfff.aab」がKeepSpy亜種にてどのように使用されているのかを確認した結果、従来のKeepSpyには存在していない、以下のような動作を確認しました。
- 端末上にmyfff.aab をmyfffとしてコピーを作成
- 攻撃者のサーバからから設定データを取得し、myfff.iniを作成
- myfff -c myfff.ini を実行
/emerging-domestic-mobile-malware-threats/Picture10.jpg)
/emerging-domestic-mobile-malware-threats/Picture11.jpg)
起動時のオプションとして指定されている「myfff.ini」は、攻撃者のサーバのURLから取得した内容に基づいて作成される設定データであり、攻撃者の中継サーバのアドレス、ポート番号などを確認することができます。なお、remote_port項目は攻撃者が中継サーバを経由する際に使用するポート番号となり、感染端末によって異なるポートが割り当てられるものとみられます。
/emerging-domestic-mobile-malware-threats/Picture12.jpg)
/emerging-domestic-mobile-malware-threats/Picture13.jpg)
/emerging-domestic-mobile-malware-threats/Picture14.jpg)
上記の設定より「frp」の本体プログラムである「myfff」が実行された場合、攻撃者サーバの 12531/tcpを攻撃者がProxyとして設定することで、KeepSpy 感染端末を踏み台にして任意のWebサイトにアクセスが可能となります。これにより、攻撃者は自身のアクセス元IPアドレスを隠蔽し、踏み台端末のIPアドレスによりWebサイトへアクセスすることが可能となり、様々な不正アクセスに悪用される危険性があります。
/emerging-domestic-mobile-malware-threats/Picture15.jpg)
AndroidマルウェアKeepSpyは長期間に渡り、日本国内をターゲットに活動を続けており、通信事業者を騙るSMSを用いた手口で、Androidマルウェアへの感染のみならず、フィッシングサイトや電子マネーの支払いを不当に請求する詐欺ページへの誘導を行うなどの攻撃を行っており、日本国内へのスミッシング攻撃のインフラを作り上げたマルウェアであるといえます。サイバー犯罪者達は、不正アクセスを行う際、接続元IPアドレスを隠蔽して匿名化を図りますが、Torや一部のVPNサービスを使用した際のIPアドレスは、サービス提供側からも不審な接続元IPアドレスとしても認識することが可能であるといえます。通常の利用者によるアクセスを偽装するため、例えば日本国内のWebサービスに対する不正アクセスを行う場合には、国内IPアドレスからのアクセスに見せかける必要があると考えることでしょう。今回確認したAndroidマルウェア「KeepSpy」亜種に感染したAndroid端末を踏み台として、サイバー犯罪者はWebサイトに対して国内スマートフォンのIPアドレスからのアクセスを偽装することが可能となり、不正アクセスの温床となる可能性もあります。
被害に遭わないためには
今回確認した新たなKeepSpy亜種ですが、SMSや偽サイトを通じた感染の手口においては、従来のKeepSpyから大きな変化はありません。不正なSMSのリンクをクリックしただけではマルウェアに感染することはなく、必ず利用者のインストール操作が必要となります。そのため、利用者は以下のSMSや不正サイト上での誘導の手口を知り、正しい知識で正しく警戒することによってマルウェア感染を回避することができます。
- 誘導SMS:主に通信事業者などの企業からのメッセージを偽装し、「重要なお知らせ」などの名目で本文内のURLへのアクセスを促すため、本文中のURLが正規のものであるか確認する。この場合、短縮URLを使用している場合もあることに注意する。
- 誘導先不正サイト:通信事業者の正規サイトを偽装した表示のため、見た目で見分けるのは困難。表示されているURLが正規のものであるかどうかを確認する。アプリのダウンロードが始まった場合、一旦キャンセルし、サイトの正当性を再確認する。
電話番号だけで相手にメッセージを届けることができるSMSは、利便性が高い一方で、犯罪者達にとっても不正なメッセージを届けるためのツールとして利用されており、マルウェア感染の誘導だけでなく、フィッシングや架空請求、当選詐欺など様々なサイバー犯罪に悪用されています。スマートフォンはデジタル社会において欠かせないツールであることは言うまでもありませんが、昨今では小学生からお年寄りまで幅広い年齢層で利用されており、セキュリティに関する知識レベルには大きな差があると言えます。長期休暇は、お子様や家族・親戚とゆっくりとコミュニケーションをとる良い機会です。誰しもが不正なSMSの脅威にさらされる危険性があることをご家族で共有していただき、サイバー犯罪の被害を未然に回避するためのきっかけになれば幸いです。
侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
執筆協力
トレンドマイクロ サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター
サイバースレットリサーチグループ 河田 芳希