事例Use case

サイバーセキュリティの基礎知識(Android編):SMS型トロイの木馬(S)の脅威

2019.10.16

ツイート シェア 送る はてブ

the-abc-of-cybersecurity-android-threats-s-is-for-sms-sender-990x518.png

知らないうちにSMS機能が不正利用され金銭被害が発生

モバイルデバイスが幅広く普及したことで、ショートメッセージサービス(SMS)を自動送信するトロイの木馬(SMS型トロイの木馬)が絶えず確認されています。膨大な数に及ぶ高額な電話料金の請求や有料サービスとの通信を行い、世界中で大規模な金銭的被害を発生させています。

このようなトロイの木馬の目的は、たった1つです。デバイスにこっそり侵入し、SMSの送受信機能を乗っ取って、サイバー犯罪者が不正な収益を得るためです。実際に被害に遭うまで、トラッキングすることができないため、非常に効果的で簡単なお金儲け方法となっています。

ユーザーはテキストメッセージが送信されたことに気づかないため、大抵は、高額な電話料金を請求された時や、数日でクレジットを失った時に初めて不正行為が明らかになります。

侵害方法

SMS型トロイの木馬で最も一般的な侵害方法の1つは、第三者マーケットプレイスからダウンロード/インストールされる有害なアプリを使う方法です。このようなアプリは通常、正規のマーケットプレイスで行われる厳格なアプリ審査がありません。そのため、サイバー犯罪者が正規のアプリ(大抵は、有料)を利用し、このアプリのフルバージョンを無料でダウンロード可能として誘い込み、不正なコードを注入することが可能になっています。

実際にアプリを購入したくないユーザーもいるため、これはユーザーにアプリをサイドロード(非公式なマーケットプレイスからインストール)させるための非常に有効な方法です。しかし、正規のマーケットプレイスにも悪質なアプリが存在し、時に不適切な動作をして悪意のあるSMSを送信することが確認されています。実際そうしたアプリの中には、具体的に有料サービスからの検証を避けるためにCAPTCHA保護メカニズム(コンピューターと人間を区別するために、ゆがんだ文字列の画像などから何が書いてあるか入力させる仕組み)を回避する機能を持つ精度が高いアプリもありました。

この方法以外にも、もう少し複雑ですが、ブラウザ内で悪意のあるURLによって引き起されるゼロデイ脆弱性(過去に確認されたことがない脆弱性)を利用する侵害方法があります。ユーザーがそのような巧妙なリンクを開くと、攻撃者がリモートでAndroidデバイスを悪用したり、操作できるウェブページにリダイレクトされます。もちろん、このような攻撃には高い精度が求められるため、大抵は、Androidの脆弱性は、SMSを送信するマルウェアではなく、リモートアクセス型トロイの木馬(RAT)など、他の種類の脅威を送り込むために悪用されています。

Smartphonetrouble.jpg

SMS型トロイの木馬の仕組み

SMS型トロイの木馬に感染したアプリは、デバイスに侵入すると、SMSの送受信機能を乗っ取ります。つまり、ユーザーの知らないところで、通知を表示させずに、テキストメッセージを送受信することができます。

このようなトロイの木馬は通常、テキストメッセージ送信ごとに数ドルまたは数ユーロ(数百円)かかることもある、複数の有料サービスとの通信を試行します。大抵は、何らかの形で攻撃者と関係のあるアダルト向けサービスです。つまり、利用者を獲得するごとに、攻撃者にお金が入ります。このようなサービスの一部は、二要素認証やCAPTCHAなど、自動購読を防止する機能を採用し始めました。しかし、SMS型トロイの木馬は受信メールを読むこともできるため、ワンタイム認証パスワードを傍受し、正規のプロセスと信じ込ませることができます。

被害にあわないための防御と修正

特に、有料アプリの機能完全解除をうたうアプリなど、信用できないマーケットプレイスや第三者マーケットプレイスのアプリをダウンロードおよびインストールしてはいけません。このようなアプリの多くに、SMS型トロイの木馬やその他のマルウェアが含まれており、人気アプリの機能完全解除をうたうことで被害者を誘い込んでいます。中には、『アングリーバード』や『ポケモンGo』など、人気アプリの名前を利用し、オリジナルのアプリとは無関係の不正アプリを作成するサイバー犯罪者もいます。

Androidに搭載されているアンインストール機能を使うと、簡単に不正アプリを除去できる場合もあります。しかし、こうした不正アプリは通常、システムアプリと思わせるために名前を変えてユーザーを欺こうとします。たとえば、アンインストールマネージャーで検索すると、「com.android.system.service」や「com.android.system.manager」などの名前で表示されるものの、スタート画面に進むと「Download Manager」といった異なる名称を使用している可能性があります。

また、新たにアプリをインストールする際は、必ず、アプリが求めている許可について、きちんと読むことが重要です。時に、アプリが不適切な動作を行うという、動かぬ証拠となるからです。たとえば、テキストメッセージの送信機能が必要でないレーシングシミュレーターゲームが、その機能の許可を求める場合は疑うべきです。つまりSMS送信機能へのアクセスを試行するアプリは正式なSMS送信権限を持っているはずです。持っていない場合は、不正アプリである可能性が考えられます。

SMS型トロイの木馬からお使いのデバイスを守るための最善の方法は、インストールする前に、必ずアプリをスキャンできるモバイルセキュリティソリューション を使用することです。正規のマーケットプレイスか、第三者ストアかに関わらず、モバイルセキュリティソリューションがダウンロードする前にアプリを検証し、デバイスに不正アプリがインストールされないように防御します。

翻訳元記事:The ABC of Cybersecurity - Android Threats: S is for SMS Sender


Android向けセキュリティソフトも台数無制限で付いてくる「SECURIE HOME powered by Bitdefender



securie_service_TS2020.PNG