日本と韓国を標的にした偽ブランドアプリを確認

日本と韓国のユーザーを標的にした新たな脅威が出てきました。この攻撃は、最近ニュースになっているような、政治的信念など極端な思想を動機としたものではなく、単純に昔からある私利私欲によるものです。Vertu*1 の持ち主や、Android用の日本語版・韓国語版Vertu テーマ*2 を探している人は、アプリ等をダウンロードするときは十分に気を付けるべきでしょう。マカフィーでは、Vertu のアップデートやテーマを偽ったAndroid/Smsilenceの新しい亜種を確認しています。

クリックすると拡大します
偽の日本語版Vertuアプリ [ 拡大図 ]

このマルウェアAndroid/Smsilence.C は、 インストール時にロード中のスクリーンを表示しますが、バックグラウンドではHTTP POSTリクエストを送信して、外部サーバー[XXX.XX.24.134]に端末の電話番号を記録しています。そして、このマルウェアは、ローカル端末上にインターネットフィルタを登録した後、すべての着信メッセージはトロイの木馬によって処理され、上記の外部サーバーに転送されます。ロード中を示すスクリーンはしばらくすると変わり、日本語又は韓国語で「サービスを中断しました。再度お試しください」というメッセージに変わります。

クリックすると拡大します
 [ 拡大図 ]

この攻撃で使用している制御管理システムを調べたところ、マルウェアを拡散するために複数の偽装が使用されており、また同じサーバーに向けた複数のドメインが使用されていることがわかりました。コーヒーやファーストフードに始まり、Google Playにアップされた後削除された韓国製アンチウイルス製品まで、20ほどの偽ブランドアプリが使われています。 Android/Smsilenceは、他のモバイルボットネットと比較するとそれほど洗練されてはいないものの、私たちの分析では50,000から60,000人のモバイルユーザーに感染を広げています。

クリックすると拡大します
韓国の偽アプリ [ 拡大図 ]

新しい亜種は日本にも広がっています。今年出て来た日本をターゲットとしている脅威は、ワンクリック詐欺(スケアウェアとも呼ばれています)のマイナーなバリエーションで、この種類の脅威は2004年から存在しています。Android/Smsilence.Cに感染すると、より多くの情報を外部に送信することが可能で、さらにスパイウェアもダウンロードされます。

日本のキャリアは、テキストメッセージにCMAILプロトコルを使用しているものもあり、国外からモバイルボットネットをコントロールし、維持するのは簡単なことではありません。(日本のキャリアが搭載しているセキュリティ機能*3 により)。もしかしたら、感染した端末の拡散やコントロールを手助けしている共犯者がいるのかもしれません。そうだとしたら、ボットネットコントローラーによるオンデマンドによって感染した端末にダウンロードされる第2弾のパッケージの機能に関する説明がつきます。このパッケージは、テキストメッセージの送信にとどまらないスパイウェア機能を持っています。

この新しい系列に関するもっとも奇妙な部分はここからで、アンチマルウェアのリサーチ分野における限界を浮かび上がらせるようなものです。Androidのトロイの木馬やStuxnetのような複雑な脅威にせよ、時間さえ十分にあれば、どんなコードであっても基本的な要素に分解することができます。しかし、時々どんなに時間を使っても、マルウェア作者の考えていることが理解できないことがあります。今回のケースについては、マルウェアの中でパッケージハッシュを変えるファイルが見つかっています;これは、サーバーサイドのポリモーフィズムを付け加える回避技術で、アンチウイルスベンダーの検知を回避するためのものです。こういった技術が東ヨーロッパの脅威ファミリー以外で使用されているのを見るのは初めてですが、この技術自体に困惑しているわけではありません。なんとも奇妙なのは、回避技術の重要なコンポーネントである選ばれたファイルがボリス・ジョンソン ロンドン市長の写真であったことです。

クリックすると拡大します

マルウェアの作成者は、ロンドン市長であるボリス・ジョンソンの画像をマルウェアに仕込んでいました [ 拡大図 ]

*1 ノキア傘下の高級携帯電話端末ブランド
*2 スマホ画面の外観をVertuらしくカスタマイズするための設定ファイル
*3 SMS(Cメール)安心ブロック機能/ 国内他事業者ブロック機能/ 海外事業者ブロック機能 等

※本ページの内容はMcAfee Blogの抄訳です。
原文:Fake Vertu App Infects Korean and Japanese Android Users

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。