無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

タグ:スマートフォン

初回投稿 2018年1月20日
最終更新 2019年5月26日

【危険】日本郵便お荷物のお届け不在? 迷惑ショートメール正体とウイルス対策1つ

イメージ 9

運送会社の 佐川急便株式会社日本郵便(郵便局) の名前が悪用されてます!

もっともらしく荷物の配達と不在の通知と称して、佐川急便や郵便局から送信されてきたかのよう装った日本語表記の迷惑メール… 正確に言うと SMS 形式の迷惑メールが無差別に配信されてます。

【不正なショートメール例1】 Firefly
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください 無題な濃いログ 配送は下記よりご確認ください http:// ~
【不正なショートメール例2】 Firefly
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください 無題な濃いログ 配送物は下記よりご確認ください http:// ~
【不正なショートメール例3】 Firefly
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください 無題な濃いログ 追跡番号 [数字] http:// ~

お荷物のお届けにあがりました」 を実行しようにも、実現できずに 「不在の為持ち帰りました」 というシチュエーション…。

必ずしも不自然とは言えない現実味のある光景だから、ついついメールに目が留まってしまいホント危ないです。  

電話番号宛ての SMS 迷惑メール

ただ、迷惑メールは SMS 形式の ショートメール であることに注目スべきです。

  • キャリアで異なる SMS 形式のメールサービス名
    「ショートメール」
    「ショートメッセージサービス」
    「Cメール」

  • URL 含むメッセージ、絵文字データのやり取りができる
    ファイルは送信できない

  • SMS ショートメールの利用料金は?
    メール受信: 無料
    メール送信: 有料

これは、Eメールとは異なり 電話番号を宛て先として送受信 できるサービスなので、不正なショートメールが スマホガラケー の間で拡散しています。

= 不正なショートメール送信の電話番号 =
080~ / 090~ / 070~
0109000 / 010 90 00 / Reject

なお、佐川急便や郵便局は Eメール宛て に通知するサービスは公式に提供しているものの、ショートメールで連絡をする形でないとして注意を促しています。

佐川急便 WEBトータルサポート 各種メール通知サービスについて
https://www.sagawa-exp.co.jp/service/wts/mail.html

佐川急便を装った迷惑メールにご注意ください
https://www2.sagawa-exp.co.jp/whatsnew/detail/721/#c26

日本郵便 eお届け通知(メールでお知らせ)
https://www.post.japanpost.jp/service/e_assist/notice_mail.html

当社の名前を装った迷惑メール及び架空Webサイトにご注意ください
https://www.post.japanpost.jp/notification/notice/2019/0507_01.html


電話番号が ”流出” した!?

電話番号は単なる 数字の羅列 です。

つまり、外部に電話番号のデータが流出したワケではなく、日本で携帯電話の番号として使われる数値(090~、080~、070~)を無作為に生成して、佐川急便や郵便局を名乗る不正なショートメールがバラ撒かれてます。

誘導先は偽のホームページ

SMS ショートメール 「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました」 の誘導先は?

リンク先へアクセスすると、正規ホームページ 『佐川急便株式会社<SGホールディングスグループ>』『郵便局 | 郵便局株式会社』 と 瓜二つの外観デザインに偽装されてある不正なページ が表示されました。

偽サイトのスクリーンショットがコチラ♪

イメージ 1
SgH SAGAWA!? 佐川急便の偽サイト

イメージ 10
JPPOST 郵便局 の偽サイト


誘導先 URL は佐川急便や郵便局とは違う!

この偽サイトの URL には特徴があります。

  • いちおう ”sagawa~”、”mailsa~”、”qwe~”、”jppost~” といったキーワードが含まれている

  • 佐川急便株式会社 sagawa-exp.co.jp、日本郵便株式会社 japanpost.jp とは異なる別モノのドメイン名が使われている!

【ショートメールからの偽サイト誘導 URL 例】
bit.ly/***
***.tumblr.com
jppost-***.com
jppost-***.com:81
sagawa-***.com
sagawa-***.com:81 Firefly
mailsa-***.com
mailsa-***.top
qwe-***.top  Firefly
***-sagawa.com
***-softbank.com:81
sagawa-***.cn Firefly
nttdocomo-***.com
yamato-***.com

jppost-hi[.]com jppost-aki[.]com mailsa-wwr[.]com sagawa-byb[.]com sagawa-eya[.]com sagawa-hii[.]com sagawa-ima[.]com sagawa-ose[.]com sagawa-oso[.]com sagawa-wow[.]com sagawa-info[.]com sagawa-wow[.]com sagawa[.]top sagawa[.]vip sagawajp.gnway[.]cc sagawaexp.gnway[.]cc sagawa-exp.gnway[.]cc sagawaa-express[.]com sagawa.oicp[.]io sagawa-co-jp[.]com sa-sagawa[.]com など Firefly

不正な Android アプリのインストール誘う

この不正なホームページの目的は?

貨物追跡サービス [インストール]」「速達便をダウンロードされますので、ダウンロード後にインストールしてください」 と称して、スマホ画面のタップを誘います。

そして、荷物を追跡する Android アプリをダウンロードする流れになるけど、その素性不明なファイルの正体は コンピュータウイルス です。

【危険! 配布ファイル名】
sagawa.apk
jppost.apk
dhl.apk
拡張子 .apk … Android アプリのパッケージ形式


インストール危険! 感染しない無料ウイルス対策

実は、お金のかからない無料ウイルス対策が Android 端末に最初から実装されてあり、sagawa.apkjpopost.apk のウイルス感染は確実に回避できます。

イメージ 3
提供元不明のアプリ を無効にしてあると?
無料ウイルス対策で100%感染を防止できた♪

  • 佐川急便や郵便局を騙るウイルスの配布場所は?
    Google 公式のアプリ配信マーケット Google Play ではない
    → いわゆる ”野良アプリ” とか ”勝手アプリ” と呼ばれているブツ

  • Android のセキュリティ設定で [提供元不明のアプリ] を無効に設定する
    → 不正なアプリを Android 端末に100%インストールできない!


セキュリティを切り替えるよう偽の指示

ただ、 ウイルス攻撃者側もそんな事情を承知しています。

この偽サイトでは、セキュリティの設定を切り替える方法を図入りで解説した上で、不正な Android アプリのインストールする方法を案内 しています。 <周到すぎ

イメージ 2
セキュリティ設定を変更するよう悪魔の案内

このウソのガイドを真に受けて実行してしまうと、一環の終わりです。

 荷物の追跡アプリを Android スマホにインストールする方法?
 Android ウイルスをスマホ端末に感染させる方法 ← 真実

スマホユーザーの 心を操る戦略 が投入されている最大の理由は、強制的にウイルス感染は実現できないからです。 <自爆感染させるしかない

【感染するにはユーザーのアクションが必須】
佐川急便や郵便局に成りすました不正なショートメールを受信
・ そのメッセージを単に読んだ
・ 迷惑メールのリンクをタップし、ブラウザが開いて偽サイトが表示された
ウイルス感染段階にまだ至ってないから安全セーフ♪

配布されてる .apk ファイルが Android 端末にダウンロードされた
ウイルス感染直前であって、感染してないからギリギリまだセーフ♪

Android 端末に手動インストールして、さらにホーム画面で偽アプリを開いた
すでに Android 端末はウイルス感染したのでアウト

ちなみに、[提供元不明のアプリ] を許可する切り替え作業を行おうとすると、(今回のようなウイルス感染がまさにそう)全リスクの責任をユーザーが負う ことに同意すると Google が警告してきますよ。

イメージ 5
セキュリティ設定を切り替える直前の確認画面

iPhone は sagawa.apk/jppost.apk 大丈夫?

sagawa.apk / jppost.apk アプリは、Android OS を搭載するスマホやタブレット以外の環境では、いっさいインストールできません。

iOS アプリは Android 上で動かない
Android アプリは iOS 上で動かない

つまり、次の環境は、迷惑メール 「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました」 からのウイルス感染は通常起こらないから大丈夫です。

 Apple iOS (iPhone / iPad)フィッシング詐欺の攻撃あり
 従来型の携帯電話 ガラケー
 Windows XP/Vista/7/8/10
 Mac OS X


iPhone 向けにフィッシング詐欺が…

ただ、Apple iPhone や iPad のユーザーを狙って、ウイルス感染ではない別の手口が投入されていることも分かっています。

イメージ 4
iPhone 狙う偽の携帯電話の認証

イメージ 6
iPhone 狙う偽の認証コード・検証コード

イメージ 8
iPhone 狙う偽 Apple の認証

SAGAWA 携帯電話の認証 Appleの認証 Apple社から送られた製品はセキュリティ 許可の認証が必要となります。無題な濃いログ 携帯電話 携帯番号を入力してください Apple ID:Apple ID を入力してください パスワード:パスワード を入力してください [認証コード送信] 認証コード 検証コードを入力してください [確認する] ロード中...

  • 偽サイトにアクセスすると、貨物追跡サービスと称して入力を要求
    ・ 電話番号
    ・ Apple ID × パスワード
    フィッシング詐欺

これにダマされて送信してしまうと、商品の購入代金を通信料金にまとめて支払う キャリア決済を上限まで使い込まれる金銭被害 が発生するようです。

  • ドコモ払い 上限5万円

  • auかんたん決済 上限10万円

  • ソフトバンクまとめて支払い 上限10万円


Android 狙うウイルスアプリの正体

ウイルス感染の流れを端折り、『偽サイトにアクセスしたらウイルス即感染! 偽サイトのボタンをタップするだけで情報が盗まれる!』 といった誤情報がある?


Android 感染にはインストールが必須

まず、Android ウイルスは勝手に強制インストールではありません。

Android 端末にインストールを試みると、次のように 「このアプリケーションをインストールしてよろしいですか?」 として Android アプリの導入するからユーザーに確認する場面が必ずあります。

イメージ 11

イメージ 7
アプリをインストールする直前の確認場面
日本郵便を佐川急便や装う Android ウイルス

No!」 とキャンセルできるワケです。

ただ、セキュリティに無頓着な一部の Android ユーザーさんは、正規アプリと錯覚してインストールボタンを躊躇せずタップする、つまり不正なアプリを自らの意思で取り込んでしまうようで…。

  • Google Play ストアで配信されてる正規アプリ名
    日本郵便
    「佐川急便公式アプリ」

  • 不正な Android アプリ (ウイルス)
    「日本郵政」「日本郵便」「宅急便」「佐川急便」 と自称
    アプリのアイコンも正規アプリの画像を悪用


Android 端末が乗っ取られて迷惑メールをばら撒く

Android ウイルスの感染でどんな症状が?

  1. Android 端末内にある電話番号や知り合いの連絡先が含まれている アドレス帳 のデータ を攻撃者に盗みとられる

  2. Android 端末を制御を乗っ取られる
    ウイルス感染状態の Android 端末を攻撃者が遠隔操作して、佐川急便や郵便局を騙ったショートメールを不特定多数にバラまく
    → 100通分の SMS ショートメール送信料金が被害者に請求される

Androidを狙った、日本の宅配業者アプリを装うマルウェア – カスペルスキー
https://blog.kaspersky.co.jp/malicious-android-app-hitting-japan/

大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取 - トレンドマイクロ
https://blog.trendmicro.co.jp/archives/18779

感染後、FAKESPY は、端末に保存されている SMS、アカウント情報、連絡先、通話記録、ユーザの入力情報を収集します。次に、収集した情報に基づき、正規アプリに偽装したオンライン銀行詐欺ツール(バンキングトロジャン)のような不正アプリを感染端末に送り込みます。 (トレンドマイクロの記事より引用)

個人情報の塊である自分のスマホがイイように悪用されて、赤の他人に迷惑をかけまくるから悲惨です。 <被害者が加害者に変貌する

関連するブログ記事
続きを読む
このエントリーをはてなブックマークに追加

初回更新 2018年1月20日
最終更新 2019年3月16日

<迷惑メール>お客様宛にお荷物のお届け不在の為持ち帰りましたSMSでウイルス感染

SMSショートメールで「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。URL」な怪しい迷惑メールでウイルス感染被害

日本の運送会社 佐川急便日本郵便(郵便局) の名前を騙った悪質で不正な 迷惑メール(スパムメール) が、スマホや携帯電話の間で確認されています。

拡散してる迷惑メールの形式は、電話番号宛てのメッセージ送受信機能である SMS / ショートメール / ショートメッセージサービス / Cメール です。 <Eメールではない

  1. SMS迷惑ショートメールの内容

  2. Android ウイルスと iPhone フィッシング詐欺

  3. Android ウイルスアプリ C&Cサーバー

  4. sagawa.apk/jppost.apk セキュリティソフト検出名

  5. 攻撃者の正体は? セキュリティ記事

1. SMS迷惑ショートメールの内容

佐川急便の配達員による ”お荷物のお届け” → ”不在” という、如何にもありそうな通知メッセージなので、偽物と気づかずに真に受けてしまう人が出現して厄介です。

迷惑メールに記載されてる誘導先は、佐川急便の公式サイトで使われてる正当なドメイン .co.jp ではない特徴があります。

~ 佐川急便の正規ドメイン ~
sagawa-exp.co.jp

佐川急便でも何でもない .com .org ドメインへの誘導です。

【SMS 迷惑メール 文例】
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。
http://sagawa-[ランダムなアルファベット].com/
http://mailsa-[ランダムなアルファベット].com/
http://[ランダムなアルファベット].duckdns.org/


2. Android ウイルスと iPhone フィッシング詐欺

佐川急便や日本郵便(郵便局)を騙る迷惑メールは、基本的に Windows 7/8/10 や Mac OS X は攻撃対象になってません。


■ Android ユーザー向けの攻撃は?

佐川急便や日本郵便(郵便局)の偽ページでは、Android OS 上で動作する不審なアプリを Android 端末にインストールするよう仕向けてきます。

  • 佐川急便の偽サイトでダウンロードされるファイル名 sagawa.apk
    日本郵便の偽サイトでダウンロードされるファイル名 jppost.apk
    └ ファイルの拡張子 .apk → Android アプリのこと

  • 公式の Google Play では配信されてない素性不明なアプリ
    └ いわゆる ”野良アプリ” や ”勝手アプリ” と呼ばれるブツ

Android ウイルスに感染する確率を引き下げる 無料ウイルス対策 は確実に効果があり、それは Android 端末のセキュリティ設定にある 提供元不明のアプリの無効化 です。

イメージ 3
無料ウイルス対策でブロックされてインストールできない

なお、佐川急便や日本郵便(郵便局)を装う偽アプリは、有無を言わさず勝手に強制インストールされることはありません。

Android スマホユーザーさんに意思において、[確認画面でアプリをインストール]、[ホーム画面でアプリを起動する] という2つの作業を行うことが必須です。

イメージ 4
インストールするかユーザーに確認を仰ぐ場面
[インストール] ボタンのタップが必須

仮にも手動でインストールして開いた sagawa.apk ウイルスは、感染した Android 端末の制御を奪って乗っ取ります。

  1. Android 端末が遠隔操作されて、佐川急便や郵便局を名乗る迷惑メールを不特定多数にバラ撒く (ウイルス感染被害者 → メール送信者へ変貌する)

  2. 感染した Android 端末から、電話番号と知り合いの個人情報が詰まってるアドレス帳がウイルス攻撃者の元へ送信されて盗まれる


iPhone ユーザー向けの攻撃手口

  • sagawa.apk は iOS(iPhone/iPad) 端末にインストール不可能
    → ウイルス感染攻撃は Android OS のみ

  • iOS(iPhone/iPad) ユーザー向けに フィッシング詐欺 の攻撃アリ
    1. 佐川急便を騙る迷惑メールからフィッシングサイトへ誘導される
    2. 電話番号、または [Apple ID + パスワード] を手動で入力させて盗む

従来型の携帯電話(ガラケー) は、佐川急便や日本郵便(郵便局)を騙るを受け取る以外は、フィッシング詐欺やウイルス感染といった場面がありません。


Wi-Fi ルータの不正アクセスで DNS 設定改ざん?

不適切なセキュリティ設定になってる脆弱な Wi-Fi ルータ製品で起こりうるインターネット接続トラブルです。

悪意のある第三者がルータの管理画面に不正アクセスして DNS の設定を改ざんすることで、ブラウザを起動してもインターネットに接続できなくなり、代わりに不自然な日本語表記のダイアログが表示される症状が発生します。

  1. 管理画面のパスワードが工場出荷時の初期状態のまま変更していない
    (admin、password、root など)

  2. ルータのファームウェアを最新版に更新する作業を行わず放置している

【Android OS 向けダイアログ】
请安装Facebook扩展工具包提升安全性,以及使用流畅度.
請安裝Facebook擴展工具包提升安全性,以及使用流暢度.
Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。
페이스북 보안확장 및 사용을 유창하기위해 설치하시길바랍니다.
To better experience the browsing, update to the latest Facebook version.
→ 不正な Android アプリ facebook1.0.23.apk のダウンロード誘う

【iOS 向けダイアログ】
APP Store帐号存在安全异常,请重新登录
Apple Store帳號存在安全异常,請重新登入
APP Storeアカウントは安全異常があるので、再度ログインしてください。
APP Store계정은 비정상 상태이기 때문에 다시 로그인하세요.
The APP store account has a security exception, please log in again.
→ Apple ID アカウントを盗むフィッシングサイトへ誘導する

(参考ページ)

フェイスブックの機能追加を求めるメッセージが表示される障害について - バッファロー
https://www.buffalo.jp/news/detail/20180405-01.html

不正なアプリのダウンロード案内が表示される事象について - IODATA
https://www.iodata.jp/support/information/2018/facebook_app/

「Netcommunity OGシリーズ」におけるインターネット接続不可事象について - NTT東日本
https://www.ntt-east.co.jp/info/detail/180328_01.html

不正なアプリのダウンロード案内がされる事象について - NEC Aterm
http://www.aterm.jp/support/tech/2018/0406.html

3. Android ウイルスアプリ C&Cサーバー

ウイルス攻撃者と Android 端末との間で通信を行うため、遠隔操作で使われてるIPアドレスは、地理的位置として台湾にある C&C サーバー です。

【C&Cサーバーの例】
125.227.174.32 61.218.242.101 125.227.163.53 125.227.0.22 118.163.27.188 118.163.27.191 kuroekoyamato[.com kuronekoyamao[.com kuronekoamato[.com

その IPアドレスの情報を取得するため、かつては SNS の Twitter が悪用されていて、そんな1つの Twitter アカウントのスクリーンショットがコレ♪

イメージ 2
Twitterアカウント @sekadeta

4. sagawa.apk/jppost.apk ウイルス検出名

セキュリティソフトによる、不正な偽の佐川急便や日本郵便(郵便局)の不正アプリをウイルス検出名はこんな感じ~。 <「Wroba」「Bajaspy」「FakeSpy」 という脅威!

【セキュリティソフト ウイルス検出名例】
avast! Android:Evo-gen [Susp] APK:RepMetagen [Trj] APK:TrojanSMS [Trj] Android:Wroba-L [Trj] Android:Evo-gen [Trj]
Avira ANDROID/Spy.FFM.Gen ANDROID/Drop.Agent.FBB.Gen ANDROID/Dldr.Agent.PAR.Gen ANDROID/Drop.Agent.FBAE.Gen ANDROID/Dropper.AMAZ.Gen ANDROID/Drop.Agent.wevbr ANDROID/Dropper.FAIC.Gen ANDROID/Dropper.AAA.Gen ANDROID/Drop.Agent.ABAE.Gen ANDROID/Dropper.FGNT.Gen
BitDefender Android.Trojan.FakeBank.BR Android.Trojan.Obfus.CO Android.Riskware.Agent.gGTMK Android.Trojan.FakeBank.BU Trojan.GenericKD.31269926 Trojan.GenericKD.31269718 Trojan.GenericKD.31292777 Android.Trojan.FakeBank.BW Trojan.GenericKD.40957681
Dr.Web Android.BankBot.372.origin Android.Packed.20939 Android.Banker.180.origin Android.BankBot.1683 Android.BankBot.1687 Android.BankBot.1690 Android.BankBot.1693 Android.BankBot.1694 Android.BankBot.1695 Android.BankBot.1696 Android.BankBot.1697 Android.BankBot.1700 Android.BankBot.1701 Android.BankBot.1703 Android.BankBot.1706 Android.BankBot.1711 Android.BankBot.1722 Android.Banker.308.origin Android.Banker.2866 Android.Banker.311.origin Android.Banker.324.origin Android.Banker.328.origin Android.Banker.392.origin
ESET Android/Spy.Agent.ANX Android/TrojanDropper.Agent.BJW Android/TrojanDropper.Agent.BII Android/Spy.Banker.HL Android/TrojanDropper.Agent.AJK Android/Spy.Agent.KM Android/TrojanDropper.Agent.CIJ Android/TrojanDropper.Agent.CPQ Android/TrojanDropper.Agent.CYW Android/TrojanDropper.Agent.CYD Android/TrojanDropper.Agent.FGK
Kasperrsky HEUR:Trojan.AndroidOS.Boogr.gsh HEUR:Trojan-Dropper.AndroidOS.Agent.li HEUR:Trojan-Banker.AndroidOS.Bajaspy.a HEUR:Trojan-Banker.AndroidOS.Wroba.pac HEUR:Trojan-Dropper.AndroidOS.Wroba.e HEUR:Trojan-Banker.AndroidOS.Wroba.ap HEUR:Trojan-Dropper.AndroidOS.Wroba.f HEUR:Trojan-Dropper.AndroidOS.Wroba.g HEUR:Trojan-Banker.AndroidOS.Agent.eq
McAfee Android/Banker.CE Android/SpyAgent.IC RDN/Generic Dropper
Sophos Andr/Xgen-TK Andr/Xgen2-GS Andr/Xgen2-IA Andr/Xgen-VS Andr/Dropr-GY Mal/Generic-S Andr/Xgen-WG Andr/Xgen2-IN Andr/SmsSpy-FE Andr/Xgen2-KX Andr/Xgen2-LN Andr/Xgen-ABY
Symantec AppRisk:Generisk AdLibrary:Generisk Other:Android.Reputation.1 Other:Android.Reputation.2
Trend Micro AndroidOS_Wroba.U ANDROIDOS_FAKESPY.HRX ANDROIDOS_XLOADER.HRX TROJ_FRS

ウイルス攻撃者は、ウイルスファイルの差し替えを頻繁に行っているものの、Android 向けセキュリティアプリは汎用的な検出で無難に対処できてる感じ?

5. 攻撃者の正体は? セキュリティ記事

佐川急便や日本郵政(郵便局)を騙る迷惑メールの拡散は、ウイルス感染で乗っ取られた日本国内の Android 端末が悪用されて ”犯人” となってます。

その背後にいる Android スマホウイルスアプリ、iPhone フィッシング詐欺の一連のインシデントに関与するサイバー犯罪者はいったいドコの誰?

<2014年>
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=697
https://www.fireeye.com/blog/threat-research/2014/07/the-service-you-cant-refuse-a-secluded-hijackrat.html
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=702
https://news.drweb.com/show/?i=5879&lng=en
http://asec.ahnlab.com/1014

<2015年>
https://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-south-korean-users/

<2017年>
https://securingtomorrow.mcafee.com/mcafee-labs/android-banking-trojan-moqhao-spreading-via-sms-phishing-south-korea/


<2018年>
https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/
https://blog.trendmicro.com/trendlabs-security-intelligence/xloader-android-spyware-and-banking-trojan-distributed-via-dns-spoofing/
https://securitynews.sonicwall.com/xmlpost/roaming-mantis-attacks-android-devices-in-asia-likely-behind-otp-codes-may-8-2018/
https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/
https://blog.trendmicro.com/trendlabs-security-intelligence/fakespy-android-information-stealing-malware-targets-japanese-and-korean-speaking-users/
https://securelist.com/roaming-mantis-part-3/
https://www.fortinet.com/blog/threat-research/fakespy-comes-back--new-wave-hits-japan.html
https://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-the-connection-between-xloader-and-fakespy-and-their-possible-ties-with-the-yanbian-gang/

日本国外のサイバー犯罪グループが想定されていて、お隣の韓国のスマホユーザーを集中的に狙って Android ウイルスによるネットバンキング不正送金をだいぶ前から仕掛けている 朝鮮族 の存在が指摘されています。

続きを読む
このエントリーをはてなブックマークに追加

【詐欺】(21)ウイルス検出? プロセッサは批判的に過負担? 偽警告に注意

Android や iPhone/iPad といったスマホ&タブレットユーザーを狙ってます!

別に怪しいサイトとかに限らないネットサーフィン中にいきなり突然転送されてブチ当たるパターンが多い 偽警告ページ にダマされないでください!

イメージ 1
ウイルスが検出されました!?

警告!あなたのAndroid携帯電話はウイルスに感染しています! n  n今すぐクイックスキャンを実行することをお勧めします.
ウイルスが検出されました!
これらの有害なウイルスはデバイスのシステムファイルを損傷し、既存の連絡先がすべて失われる可能性があります.
スキャンが実行されている間お待ちください... Scan Completed Successfully!
警告! (21) あなたのAndroid携帯で検出されたウイルス
GoogleのおすすめのアプリをGoogle Playストアから無料でインストールして開き、その中のすべてのウイルスを削除する [数字] seconds.
[インストール] [キャンセル]

緑色の進行バーがびよ~んと伸びて端末内をまるでウイルスチェックするかのような動くアニメーションが表示されるけど嘘デタラメの演出です。 <そうなる処理がJavaScriptコードで記述されてる

イメージ 2
システム警告! システムアラート!

システム警告
指示に従ってください
システムアラート!
お使いの携帯電話のプロセッサは、批判的に過負荷になっています!
すべての連絡先、写真やデータが破損します!
[数字] 分、 [数字] 秒.
ステップ1: 下のボタンをタップします。Google Playからの無料"DU Cleaner"をインストールします。
ステップ2: アプリを開き、お使いの携帯電話をスキャンします。
ステップ3: アプリを削除しないでください。アプリを削除した場合、プロセッサは切断されます。
今すぐインストール

もっともらしい Google のロゴマーク、Android マスコットのドロイド君… 警告の信憑性を持たせるため Google ブランドを勝手に悪用してます。

ただ、この偽警告ページは攻撃者が日本語に長けてないので 『お使いの携帯電話のプロセッサは、批判的に過負荷に』 は全米に笑撃が走る一大事でしょう。

驚かせて焦らせる演出

ウイルス検出だのプロセッサの過負担だの衝撃情報を突き付けて、下のような嫌らしい演出も加えてユーザーを心理的のパニック状態にして物事を冷静に判断できなくします。
  • 端末がブルブル振動する
    → バイブレーション処理 Vibration API を呼んでる
  • 「ピンポーン」「ポーン」ってな警告音が流れる
    → 音声ファイルを読み込んで再生してる
  • 数字がカウントダウンする
    → 別に0になっても何も起こらん
焦って偽警告ページをタップするとアプリ配信サイト Google Play や App Sotre へ移動するパターンが多く、不必要なアプリをインストールするよう仕向けます。

アプリの宣伝報酬

この裏にはアプリのインストール成功で宣伝報酬を獲得できる仕組みが存在します。

手元では Baidu(DU Apps Studio)が提供する Du Cleaner なるAndroidアプリへ誘導されたので、こういう広告案件があったりするのです。 <報酬0.04ドル→ 約4円

イメージ 3
米国 カナダ 日本 ノルウェー ニュージーランド デンマーク
人気アプリランキングで上位へ持っていく地域が選ばれる

塵も積もれば山となる? 正攻法でアプリを宣伝することなく何ふり構わずユーザーを騙してでもインストールさせるため偽警告ページに行き着くと。
このエントリーをはてなブックマークに追加

↑このページのトップヘ