ドイツでAndroidマルウェア配信を狙うSMSスパム攻撃

ドイツで配送会社DHLのトラッキング通知を装ったSMSスパム攻撃によるAndroidマルウェア配信が行われています。このマルウェアは日本にあるサーバーにもユーザの個人情報を送信しているようです。

PC向けのマルウェア配信に最もよく使われている方法の一つとして、DHL Express、FedEx、UPSのような人気のある配送会社からのトラッキング通知を装ったスパムメールがあります。この方法がよく使われる理由は、その効率にあります。ほとんどの場合、この通知メッセージを受け取った被害者は、架空の配送物の状況を知るために添付ファイルを開いたり悪意のあるリンクをクリックしたりする誘惑に抵抗することができません。私たちの非常に多くがオンライン注文を行う昨今、この罠に簡単に引っかかってしまうのです。

同じ手法はモバイル端末を感染させるためにも効果的に使われています。Androidマルウェアを配信するために配送会社DHLのトラッキング通知を装ったSMS(Short Message Service)によるスパム活動が現在行われているようです。

McAfee Labsは最近、”DHL.apk”という名前で配信され、また、良く知られたクラウドストレージサービスであるDropbox上に保存されたモバイルマルウェアのサンプルを受け取りました。SMSスパム活動により送られるドイツ語のメッセージでは、このマルウェアの完全なDropbox URLがGoogleのURL短縮サービス goo.glを用いて隠された形で含まれています:

“Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über http://goo.gl/<random>

“あなたの荷物が配送されました。http://goo.gl/<random> からオンラインで追跡できます。”

このマルウェアがダウンロードされインストールされると、”Google Service Framework”アプリを装ったアイコンがホーム画面に表示されます。

Castillo_smshndicon_2

初回起動時、このマルウェアは端末管理者権限を要求して自身の削除やアンインストールを困難にします。また、何らかのデータを読み込み中であると見せかけます。

Castillo_smshndmainactivity_2

しかし実際には、このマルウェアは、バックグラウンドで動作するサービスを起動して、外部のコマンド・アンド・コントロールサーバと常時通信を行って命令を受け取り、次のような処理を行います:

  • 電話番号、端末モデル、IMEI、IMSI等の端末情報を漏洩する
  • 外部サーバから指示された電話番号とメッセージを使ってSMSを送信する
  • 端末およびSIMカード上の全ての連絡先に特定のSMSメッセージを送信する
  • 連絡先リストを盗む

上記の動作に加え、感染した端末上で(被害者の連絡先リストに含まれる電話番号以外から)SMSメッセージを受信するたびに、それらのメッセージを傍受し外部サーバに転送します。このマルウェアが用いている外部サーバは日本を含む複数の国に存在するようです。

Castillo_smshndstolensms_edited

McAfee Mobile SecurityはこのマルウェアをAndroid/SmsHnd.Aとして検出・警告し、モバイルユーザをデータ被害から保護します。

※本ページの内容はMcAfee Blogの抄訳です。

原文: ‘DHL’ SMS Spam Distributes Android Malware in Germany

著者: Carlos Castillo(Mobile Malware Researcher)