ルータの設定変更と偽アプリの攻撃、アジアの高度なAndroidユーザーが標的か

ZDNET Japan Staff

2018-04-17 12:12

 3月中旬に発生したホームルータなどの設定を変更して偽のAndroidアプリをインストールさせる攻撃について、アプリを解析したKasperskyは4月16日、アジア圏の“高度な”Androidユーザーを標的している可能性を指摘した。

 この攻撃では、手法が不明ながらルータなどのDNS設定が変更され、Android端末のウェブブラウザからルータ経由で正規サイトにアクセスしようとしても、不正サイトに誘導されてしまう。Kasperskyはこの手法を「DNSハイジャック」と見ている。

 不正サイトでは、「Facebook拡張ツールパックを取付て安全性及び使用流暢性を向上します」や、「より良いブラウジング体験のために最新版のChromeにアップデートする」といったメッセージが表示され、偽のFacebookやChromeのアプリパッケージをインストールさせようとする。


「Roaming Mantis」の国別の検出状況(出典:Kaspersky)

 Kasperskyでは、この偽アプリをマルウェア「Roaming Mantis」と命名。同社の観測によると、2月9日~4月9日に6000回以上のRoaming Mantisのダウンロードが検出されたが、検出を報告したユーザーは150人しかおらず、98%は韓国、残りの2%はバングラデシュや日本、インドなどだった。

 ユーザーが偽アプリをインストールすると、端末に登録しているアカウントのメールアドレスとともに、端末の言語設定に合わせて日本語や韓国語、中国語などで、生年月日や電話番号の入力をうながす画面が表示される。Roaming Mantisは、コンマンド&コントロール(C2)サーバと通信する機能があり、ユーザーの情報や2段階認証などの情報がC2サーバへ密かに送信されてしまう恐れがある。


「Roaming Mantis」に含まれていたsuバイナリ(出典:Kaspersky)

 また同社の解析では、Roaming Mantisにはroot化された端末に必要な「su」バイナリも含まれていることが分かった。通常のAndroid端末ではsuバイナリは含まれていないため、同社では攻撃者が、端末をroot化している高度なユーザーに不正行為を検知されないためか、端末のシステム領域への不正アクセスを検知されない目的で、suバイナリを埋め込んだ可能性があると見ている。

 攻撃者がどのような方法でルータの設定を変更したのかは、同社の分析でも分かっていない。また、偽アプリが接続するC2サーバのアドレスも常に変化しているという。同社では、ルータの設定が変更されていないか、不正に変更されないよう確認するといった警戒をユーザーに呼び掛けている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]