ルータの設定変更と偽アプリの攻撃、アジアの高度なAndroidユーザーが標的か

ZDNET Japan Staff

2018-04-17 12:12

 3月中旬に発生したホームルータなどの設定を変更して偽のAndroidアプリをインストールさせる攻撃について、アプリを解析したKasperskyは4月16日、アジア圏の“高度な”Androidユーザーを標的している可能性を指摘した。

 この攻撃では、手法が不明ながらルータなどのDNS設定が変更され、Android端末のウェブブラウザからルータ経由で正規サイトにアクセスしようとしても、不正サイトに誘導されてしまう。Kasperskyはこの手法を「DNSハイジャック」と見ている。

 不正サイトでは、「Facebook拡張ツールパックを取付て安全性及び使用流暢性を向上します」や、「より良いブラウジング体験のために最新版のChromeにアップデートする」といったメッセージが表示され、偽のFacebookやChromeのアプリパッケージをインストールさせようとする。


「Roaming Mantis」の国別の検出状況(出典:Kaspersky)

 Kasperskyでは、この偽アプリをマルウェア「Roaming Mantis」と命名。同社の観測によると、2月9日~4月9日に6000回以上のRoaming Mantisのダウンロードが検出されたが、検出を報告したユーザーは150人しかおらず、98%は韓国、残りの2%はバングラデシュや日本、インドなどだった。

 ユーザーが偽アプリをインストールすると、端末に登録しているアカウントのメールアドレスとともに、端末の言語設定に合わせて日本語や韓国語、中国語などで、生年月日や電話番号の入力をうながす画面が表示される。Roaming Mantisは、コンマンド&コントロール(C2)サーバと通信する機能があり、ユーザーの情報や2段階認証などの情報がC2サーバへ密かに送信されてしまう恐れがある。


「Roaming Mantis」に含まれていたsuバイナリ(出典:Kaspersky)

 また同社の解析では、Roaming Mantisにはroot化された端末に必要な「su」バイナリも含まれていることが分かった。通常のAndroid端末ではsuバイナリは含まれていないため、同社では攻撃者が、端末をroot化している高度なユーザーに不正行為を検知されないためか、端末のシステム領域への不正アクセスを検知されない目的で、suバイナリを埋め込んだ可能性があると見ている。

 攻撃者がどのような方法でルータの設定を変更したのかは、同社の分析でも分かっていない。また、偽アプリが接続するC2サーバのアドレスも常に変化しているという。同社では、ルータの設定が変更されていないか、不正に変更されないよう確認するといった警戒をユーザーに呼び掛けている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]