マルウェア
通信事業者を装ったSMSから感染を広めるモバイルマルウェア「TianySpy」を確認
携帯電話のテキストメッセージがサイバー犯罪への誘導経路として悪用される事例が続いています。トレンドマイクロでは、この2021年9月30日頃から、通信事業者を装ったSMSから誘導される偽サイトにより、AndroidおよびiPhoneの双方を標的として最終的にマルウェア感染させられる事例を確認しました。
携帯電話のテキストメッセージ(SMS)がサイバー犯罪への誘導経路として悪用される事例が続いています。トレンドマイクロでは、この2021年9月30日頃から、通信事業者を装ったSMSから誘導される偽サイトにより、AndroidおよびiPhoneの双方を標的として最終的にマルウェア感染させられる事例を確認しました。このマルウェアに感染した場合、大手通信事業者サイトの認証情報を窃取される危険性があります。 これまでに確認されてきた偽装SMSを発端にマルウェア感染を目的とする攻撃ではAndroid端末が対象となっていましたが、iPhoneについてもその対象とする攻撃は初めてと言えます。同様の攻撃に関しては一般財団法人日本サイバー犯罪対策センター(JC3)からも注意喚起が公開されており、注意が必要です。
図 1: 今回確認された不審SMSの例(実物を元に再構成)
感染までの誘導
今回確認した攻撃は9月30日から10月12日頃にかけて行われ、通信事業者を偽装したSMS経由で偽サイトへアクセスさせ、セキュリティソフトを偽装したマルウェアのインストールの誘導が行われていました。この際、拡散した偽装SMSには大きく分けて2つのパターンがあることを確認しました。
①不正なSMS配信サービスにより送信されたSMS
内容:【●●●】お客様がご利用の●アカウントが不正利用の可能性があります。ご確認が必要です。
②別のAndroidマルウェアである「AndroidOS_KeepSpy.GCL」に感染した端末から送信されたとみられるSMS
内容:●●●お客様センターです。ご利用料金のお支払い確認が取れておりません。ご確認が必要です。
上記①のケースでは、AndroidおよびiPhoneでアクセスした場合、いずれもWi-Fi設定を無効化して起動することを誘導するマルウェア「TianySpy」に感染することを確認しました。②のケースではAndroidでアクセスした場合には「KeepSpy」への感染が誘導され, iPhoneでアクセスした場合には同様に「TianySpy」への感染が誘導されています。
図 2:Androidで偽サイトへアクセスした場合の表示内容
図 3 : iPhoneでアクセスした場合の表示内容(構成プロファイルのインストールが要求される)
iPhone向けの偽サイトでは、不正な構成プロファイルのダウンロードおよびインストールが誘導されていました。構成プロファイルとは、通常、機能制限やWi-Fiなどの各種設定を行うための仕組みです。今回の不正な構成プロファイルがインストールされた場合には、端末情報(UDID: 端末毎に割り当てられている個体識別番号) が攻撃者サイトへ送信される内容を確認しました。
この際に送信されるUDIDをインストール可能なデバイスとしたプロビジョニングプロファイルを用いてiPhoneマルウェア「TianySpy」をビルドし配布 (通常は開発用などのアプリを配信するAd Hocと呼ばれる方法) していたものと考えられます。
図 4 : 不正な構成プロファイル内容より抜粋
図 5 : 構成プロファイルインストール時の通信内容
図 6 : ダウロードされる不正アプリ(.ipaファイル)の構成ファイル
図 7 : embedded.mobileprovisionファイル内容
(アプリのインストール可能デバイスとして構成プロファイルをインストールした端末から窃取したUDIDが含まれている)
マルウェアの解析から見える攻撃者の狙い
偽サイトからダウンロードされるAndroid版の「TianySpy」を解析した結果、以下のような機能を備えていることが確認できました。
- Wi-Fi設定の確認
- 通信事業者の正規ページ(利用明細ページ)をWebView(Androidアプリ内でWebを表示する仕組み)にて表示
- 不正なJavaScriptの実行による情報窃取
- 窃取した情報のメール送信
- 偽ページの表示
利用者が「TianySpy」を起動すると、まずWi-Fi設定の確認が行われ、Wi-Fiが有効である場合には下図のようか警告メッセージにより無効化を促されます。Wi-Fi設定が無効化である場合には、正規の通信事業者サイトの認証ページ(利用明細ページへのアクセス前に認証が求められる)が表示され、これにログインしてしまうと認証情報および認証済みCookieが攻撃者のメールアドレスに送信されるというものでした。Wi-Fi設定の無効化が促される意図としては、通信事業者のネットワークから利用明細ページへのアクセスが試行された際の認証情報の窃取を行うことが狙いであったためと推測されます。
図 8 左:Android版「TianySpy」のデコンパイル結果、右:Wi-Fi有効時に表示される警告メッセージ
図 9 : Android版「TianySpy」のデコンパイル結果(暗号化された窃取情報の送信先メールアドレス)
図 10 : 窃取情報の送信先メールアドレスの復号結果
また、正規の利用明細ページへのアクセスした場合、アプリケーション内部に保持している「stop.html」を表示しています。この「stop.html」には、下図のようなセキュリティ強化やメンテナンス中を装った内容が含まれており、利用明細ページへのアクセスを隠蔽することが狙いであると考えられます。
図 11 : Android版「TianySpy」のリソースとして格納される stop.html
図 12 : 偽画面 stop.html表示内容
一方で、iPhone版の「TianySpy」に保持される暗号化された文字列データからも通信事業者の利用明細ページURLや攻撃者のメールアドレスが復号できることを確認しています。また、iPhone版にも偽画面用の「stop.html」が含まれているなど、Android版と構造上の一致がみられることからも、iPhone向けマルウェアの狙いがAndroid版と同様であり、認証情報を窃取して攻撃者のメールアドレスに送信を行うことにあると推測できます。
図 13 : iPhone版「TianySpy」に含まれる文字列データ
図 14 : iPhone版「TianySpy」に含まれる文字列データ (暗号化された窃取情報の送信先メールアドレス)
図 15 : 窃取情報の送信先メールアドレスの復号結果 (Android版「TianySpy」とメールアドレスが一致する)
日本を狙うフィッシングサイトグループとのつながり
トレンドマイクロのサイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターでは、一般財団法人日本サイバー犯罪対策センター(JC3)及びその会員企業と協力し、フィッシング詐欺グループの分析を行っています。2021年4月に共同調査結果を公表しており、本ブログでもフィッシングサイトの二大勢力BP1とBP6グループの特徴を報告しました。
前述のとおり、今回の攻撃の感染経路となった不正なSMSでは、Androidマルウェア「KeepSpy」への感染を狙ったものも関連していました。今回の攻撃(9/30~10/12頃)以外の期間においては、「KeepSpy」への感染を誘導するSMSのリンクにiPhone(iOS)でアクセスした場合には、下図のとおりBP1に分類されるソースの特徴を持つ通信事業者などのフィッシングサイトへの誘導を行っています。 このことから、定常的にBP1フィッシングサイトへの誘導を行う攻撃者が、今回の攻撃にも関与している可能性があると推測されます。
図 16 : 通信事業者Aを騙るフィッシングサイトのHTMLソース
図 17 : 通信事業者Bを騙るフィッシングサイトのHTMLソース
被害に遭わないためには
配送業者を騙る偽の不在通知SMSからAndroid端末がマルウェアに感染する事例はこれまでにも繰り返し確認されていますが、金銭的被害につながるiPhone端末へのマルウェア感染を狙った一般利用者を狙った攻撃としては国内では初の事例であるといえます。
iPhone端末であっても、偽サイトなどを通じて不正な構成プロファイルのインストールを行ってしまうと、マルウェア感染の脅威にさらされる危険性があることを改めて認識する必要があります。一方で、Android/iPhoneいずれの端末であっても不正なSMSをクリックしただけではマルウェアに感染することはなく、利用者のインストール操作が必要となります。そのため、利用者は正しい知識で正しく警戒することによってマルウェア感染を回避することができます。
また、これらスマートフォンへの攻撃の起点は今後も不正なSMSとなると推測されます。SMSによる不正な手口や被害を防ぐための対策方法は以下のブログ記事で解説していますので参考にしてください。
https://www.is702.jp/special/3902/
また、一般財団法人日本サイバー犯罪対策センター(JC3)からも今回の攻撃に関わる注意喚起が公開されていますので、併せてご確認ください。
https://www.jc3.or.jp/threats/examples/article-409.html
執筆協力
トレンドマイクロ サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。