これはあなたの写真?いいえ、モバイルマルウェアのSMSスパムです

インターネットユーザーの最も大きな心配のひとつはプライバシーです。このため、最も効果的なフィッシング攻撃のひとつに、その人の動画や写真が公開されていると偽り、悪意のあるリンクをクリックさせざるを得なくする、という手法があります。

最近、シンガポール(国番号+65)のユーザから、「これはあなたの写真?」というセリフとURLが書かれたメッセージを使った新しいSMSスパム活動について報告がありました。

Castillo_sms_spam300x227

ソース: DKSG

このメッセージは、既にこのマルウェアに感染した連絡先の一人から届きます。メッセージに受信者の名前を含めることで、信頼性を上げようとしているようです。メッセージに記載されているURLは短縮URLサービスによって隠されたもので、このマルウェアをホストしている命令サーバーへとリダイレクトされるようになっています。このURLがクリックされると、ファイル「PhotoViewer.apk」がダウンロードされます。このアプリケーションをインストールすると、次のようなアイコンがホーム画面に現れます。

Castillo_icon_2

このアイコン画像は、Google Playで公開されている正規の人気アプリ「Photo Grid」のものです。インストールされたアプリを開くと、次のような Photo Grid を模したフルスクリーン画像が表示されます。

Castillo_mainactivity176x300_3

たったこれだけです!これらの画像を表示する以外、他の機能は実装されていないように見えます。しかし、このアプリを再度実行しようとすると、ホーム画面にあったアイコン画像が消え失せます。このアプリはアンインストールされたのでしょうか?いいえ、実際には[設定]-[アプリ]からこのアプリを見つけることができます。

Castillo_app_2

このアプリは裏で何をしているのでしょうか?数分の間待っていると、謎が解き明かされます。

このマルウェアの主な目的は、アプリに同梱されたいくつかの広告モジュールや定期的に表示されるフルスクリーン広告のクリックからできる限り多くの収入を得ることのようです。

Castillo_severalads186x300

それに加えて、このマルウェアは、命令サーバーから受け取ったパラメータと端末およびSIMカードに保存された連絡先情報を使って、SMSスパムメッセージを送る機能を持っています。(下のコードでは、isDebug フラグは常に false です。)

Castillo_sms_spam

これまでのところ、このSMSスパム活動では、 hxxp://url7.me/tiNk1、hxxp://url7.me/NwVk1 の2つのURL(ともに現在はダウン)と「Is this your Photo?」というメッセージが使われているのを確認できています。しかし、これらのパラメータは実行時に外部サーバから送られるものなので、この命令サーバーが再び稼働し始めたり、新たなサーバーにホストされた新たな亜種マルウェアが現れたりすると、ランサムウェアのようなより危険な脅威に誘導されるようにいつ変更されてもおかしくありません。外部サーバーから受信するもうひとつのパラメータ total は、これまで何人のランダムに選ばれた連絡先がこのSMSスパムを受け取ったかを示しています。

このマルウェアのもう一つ前の亜種は、Google Play上で人気ゲーム「King of Fighters」を装って、開発者 8stars によって公開されていました。

Castillo_kof1024x438_2

幸いなことに、このマルウェアのインストール数は100~500と少なく、既にGoogle Playから削除されています。しかし、上述のSMSスパムを使った新たな亜種が最近出現したことを考慮すると、マルウェア作者はこの脅威をばらまく他の手段やテーマを使い始めていると思われます。

McAfee Mobile Security はこのAndroidに対する脅威を検出し警告するとともに、ユーザのデータ損失を防ぎます。

※本ページの内容は McAfee Blog の抄訳です。

原文: Is This Your Photo? No, It’s SMS Spam With Mobile Malware
著者: Carlos Castillo (Mobile Malware Researcher)