サーバーハッキングでAndroidウイルス置き場に! Web Diary Professional原因か?
 
{{{ 2015年8月 更新 }}}
 
管理するサイトが悪意のある第三者にハッキングされてしまう原因の1つであり、注意喚起も出てる国産ブログ作成CGI「Web Diary Professional」(WDP)。
 
管理できていないウェブサイトは閉鎖の検討を:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html
 
具体的な被害としてはこんなのを確認してます。
  1. 通販詐欺サイトへ転送する不正なページを大量に作成される
  2. フィッシング詐欺サイトが設置される
  3. マルウェア置き場として悪用される
この記事では、サーバー上に不正なファイルがアップロードされ、マルウェア置き場になってる侵害事例の紹介です。

サーバーにAndroidアプリ? 正体はウイルス!

とあるJPドメインのサイトに、Androidアプリ拡張子 *.apk)である「b.apk」ファイルを存在しました。
 
イメージ 1
JPドメインにナゾのapkファイルがアップされてる?
 
www.virustotal.com/ja/file/abc5dac4d5650797bee9a066f8a1fb8f60e110f30f42a2777cbe19793c568c5e/analysis/1437644263/
www.virustotal.com/ja/file/7b4388cfe9b5c52155197d77db42b85fe383fe6b697582c76deeb9d17017a837/analysis/1437644907/
 
avast! Android:SMSThief-AU [PUP]
AVG Android/Deng.HCE
Avira ANDROID/SMSForward.ML.Gen
BitDefender Android.Trojan.SmsSpy.DX
Dr.Web Android.SmsSpy.425.origin
ESET Android/Spy.Agent.JQ
F-Secure Trojan:Android/Fakeinst.IT
Kaspersky HEUR:Trojan-Spy.AndroidOS.SmsThief.e
Sophos Andr/Spy-AER
 
ここは波乗りサーフィンに関連する日本語表記のホームページで、そのブログに「Web Diary Professional」が使われてました。
 
イメージ 2
 
そして、別のJPドメインのサイトにも、Androidアプリ張子 *.apk)である「a.apk」ファイルを確認しました。
 
イメージ 3
別のサーバーにapkファイルがアップされてる…
 
www.virustotal.com/ja/file/bd73179b2ef0cce4da11d0a9abd884b2d98cf963d727c8bed111d625ba946155/analysis/1441055467/
 
avast! Android:Agent-HMU [Trj]
AVG Android/Deng.NBB
Avira ANDROID/Agent.BAA.Gen
BitDefender Android.Trojan.SmsSpy.KI
Dr.Web Android.SmsSpy.369.origin
ESET Android/Spy.Agent.JQ
F-Secure Trojan:Android/SmsThief.Q
Kaspersky HEUR:Trojan-Spy.AndroidOS.SmsThief.ej
Sophos Andr/SmsSend-EN

 
こちらは日本のペンションのホームページで、やはりそのブログに「Web Diary Professional」が使われてます。
 
イメージ 4
 
問題となってる「Web Diary Professional」経由でサーバー上にバックドアをアップロードされることで、悪意のある第三者がサーバー内に安々と出入りできるようになってると考えられます。
 
不正なapkファイルそのものは、日本人に感染させるのを狙ってるものではなさそうだけど、日本の正規サーバーが不正なファイルの物置きとして悪用され、結果的に悪事に加担してしまう形。 <踏み台!
関連するブログ記事