初回更新 2018年1月20日
最終更新 2019年3月16日
最終更新 2019年3月16日
<迷惑メール>お客様宛にお荷物のお届け不在の為持ち帰りましたSMSでウイルス感染
日本の運送会社 佐川急便 や 日本郵便(郵便局) の名前を騙った悪質で不正な 迷惑メール(スパムメール) が、スマホや携帯電話の間で確認されています。
拡散してる迷惑メールの形式は、電話番号宛てのメッセージ送受信機能である SMS / ショートメール / ショートメッセージサービス / Cメール です。 <Eメールではない
- SMS迷惑ショートメールの内容
- Android ウイルスと iPhone フィッシング詐欺
- Android ウイルスアプリ C&Cサーバー
- sagawa.apk/jppost.apk セキュリティソフト検出名
- 攻撃者の正体は? セキュリティ記事
1. SMS迷惑ショートメールの内容
佐川急便の配達員による ”お荷物のお届け” → ”不在” という、如何にもありそうな通知メッセージなので、偽物と気づかずに真に受けてしまう人が出現して厄介です。
迷惑メールに記載されてる誘導先は、佐川急便の公式サイトで使われてる正当なドメイン .co.jp ではない特徴があります。
~ 佐川急便の正規ドメイン ~
sagawa-exp.co.jp
sagawa-exp.co.jp
佐川急便でも何でもない .com .org ドメインへの誘導です。
【SMS 迷惑メール 文例】
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。
http://sagawa-[ランダムなアルファベット].com/
http://mailsa-[ランダムなアルファベット].com/
http://[ランダムなアルファベット].duckdns.org/
2. Android ウイルスと iPhone フィッシング詐欺
佐川急便や日本郵便(郵便局)を騙る迷惑メールは、基本的に Windows 7/8/10 や Mac OS X は攻撃対象になってません。
■ Android ユーザー向けの攻撃は?
佐川急便や日本郵便(郵便局)の偽ページでは、Android OS 上で動作する不審なアプリを Android 端末にインストールするよう仕向けてきます。
- 佐川急便の偽サイトでダウンロードされるファイル名 sagawa.apk
日本郵便の偽サイトでダウンロードされるファイル名 jppost.apk
└ ファイルの拡張子 .apk → Android アプリのこと - 公式の Google Play では配信されてない素性不明なアプリ
└ いわゆる ”野良アプリ” や ”勝手アプリ” と呼ばれるブツ
Android ウイルスに感染する確率を引き下げる 無料ウイルス対策 は確実に効果があり、それは Android 端末のセキュリティ設定にある 提供元不明のアプリの無効化 です。
無料ウイルス対策でブロックされてインストールできない
なお、佐川急便や日本郵便(郵便局)を装う偽アプリは、有無を言わさず勝手に強制インストールされることはありません。
Android スマホユーザーさんに意思において、[確認画面でアプリをインストール]、[ホーム画面でアプリを起動する] という2つの作業を行うことが必須です。
インストールするかユーザーに確認を仰ぐ場面
[インストール] ボタンのタップが必須
仮にも手動でインストールして開いた sagawa.apk ウイルスは、感染した Android 端末の制御を奪って乗っ取ります。
- Android 端末が遠隔操作されて、佐川急便や郵便局を名乗る迷惑メールを不特定多数にバラ撒く (ウイルス感染被害者 → メール送信者へ変貌する)
- 感染した Android 端末から、電話番号と知り合いの個人情報が詰まってるアドレス帳がウイルス攻撃者の元へ送信されて盗まれる
■ iPhone ユーザー向けの攻撃手口
- sagawa.apk は iOS(iPhone/iPad) 端末にインストール不可能
→ ウイルス感染攻撃は Android OS のみ - iOS(iPhone/iPad) ユーザー向けに フィッシング詐欺 の攻撃アリ
1. 佐川急便を騙る迷惑メールからフィッシングサイトへ誘導される
2. 電話番号、または [Apple ID + パスワード] を手動で入力させて盗む
従来型の携帯電話(ガラケー) は、佐川急便や日本郵便(郵便局)を騙るを受け取る以外は、フィッシング詐欺やウイルス感染といった場面がありません。
■ Wi-Fi ルータの不正アクセスで DNS 設定改ざん?
不適切なセキュリティ設定になってる脆弱な Wi-Fi ルータ製品で起こりうるインターネット接続トラブルです。
悪意のある第三者がルータの管理画面に不正アクセスして DNS の設定を改ざんすることで、ブラウザを起動してもインターネットに接続できなくなり、代わりに不自然な日本語表記のダイアログが表示される症状が発生します。
- 管理画面のパスワードが工場出荷時の初期状態のまま変更していない
(admin、password、root など) - ルータのファームウェアを最新版に更新する作業を行わず放置している
【Android OS 向けダイアログ】
请安装Facebook扩展工具包提升安全性,以及使用流畅度.
請安裝Facebook擴展工具包提升安全性,以及使用流暢度.
Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。
페이스북 보안확장 및 사용을 유창하기위해 설치하시길바랍니다.
To better experience the browsing, update to the latest Facebook version.
→ 不正な Android アプリ facebook1.0.23.apk のダウンロード誘う
【iOS 向けダイアログ】
APP Store帐号存在安全异常,请重新登录
Apple Store帳號存在安全异常,請重新登入
APP Storeアカウントは安全異常があるので、再度ログインしてください。
APP Store계정은 비정상 상태이기 때문에 다시 로그인하세요.
The APP store account has a security exception, please log in again.
→ Apple ID アカウントを盗むフィッシングサイトへ誘導する
(参考ページ)
・ 「Netcommunity OGシリーズ」におけるインターネット接続不可事象について - NTT東日本
https://www.ntt-east.co.jp/info/detail/180328_01.html
3. Android ウイルスアプリ C&Cサーバー
ウイルス攻撃者と Android 端末との間で通信を行うため、遠隔操作で使われてるIPアドレスは、地理的位置として台湾にある C&C サーバー です。
【C&Cサーバーの例】
125.227.174.32 61.218.242.101 125.227.163.53 125.227.0.22 118.163.27.188 118.163.27.191 kuroekoyamato[.com kuronekoyamao[.com kuronekoamato[.com
その IPアドレスの情報を取得するため、かつては SNS の Twitter が悪用されていて、そんな1つの Twitter アカウントのスクリーンショットがコレ♪
Twitterアカウント @sekadeta
4. sagawa.apk/jppost.apk ウイルス検出名
セキュリティソフトによる、不正な偽の佐川急便や日本郵便(郵便局)の不正アプリをウイルス検出名はこんな感じ~。 <「Wroba」「Bajaspy」「FakeSpy」 という脅威!
【セキュリティソフト ウイルス検出名例】
avast! Android:Evo-gen [Susp] APK:RepMetagen [Trj] APK:TrojanSMS [Trj] Android:Wroba-L [Trj] Android:Evo-gen [Trj]
Avira ANDROID/Spy.FFM.Gen ANDROID/Drop.Agent.FBB.Gen ANDROID/Dldr.Agent.PAR.Gen ANDROID/Drop.Agent.FBAE.Gen ANDROID/Dropper.AMAZ.Gen ANDROID/Drop.Agent.wevbr ANDROID/Dropper.FAIC.Gen ANDROID/Dropper.AAA.Gen ANDROID/Drop.Agent.ABAE.Gen ANDROID/Dropper.FGNT.Gen
BitDefender Android.Trojan.FakeBank.BR Android.Trojan.Obfus.CO Android.Riskware.Agent.gGTMK Android.Trojan.FakeBank.BU Trojan.GenericKD.31269926 Trojan.GenericKD.31269718 Trojan.GenericKD.31292777 Android.Trojan.FakeBank.BW Trojan.GenericKD.40957681
Dr.Web Android.BankBot.372.origin Android.Packed.20939 Android.Banker.180.origin Android.BankBot.1683 Android.BankBot.1687 Android.BankBot.1690 Android.BankBot.1693 Android.BankBot.1694 Android.BankBot.1695 Android.BankBot.1696 Android.BankBot.1697 Android.BankBot.1700 Android.BankBot.1701 Android.BankBot.1703 Android.BankBot.1706 Android.BankBot.1711 Android.BankBot.1722 Android.Banker.308.origin Android.Banker.2866 Android.Banker.311.origin Android.Banker.324.origin Android.Banker.328.origin Android.Banker.392.origin
ESET Android/Spy.Agent.ANX Android/TrojanDropper.Agent.BJW Android/TrojanDropper.Agent.BII Android/Spy.Banker.HL Android/TrojanDropper.Agent.AJK Android/Spy.Agent.KM Android/TrojanDropper.Agent.CIJ Android/TrojanDropper.Agent.CPQ Android/TrojanDropper.Agent.CYW Android/TrojanDropper.Agent.CYD Android/TrojanDropper.Agent.FGK
Kasperrsky HEUR:Trojan.AndroidOS.Boogr.gsh HEUR:Trojan-Dropper.AndroidOS.Agent.li HEUR:Trojan-Banker.AndroidOS.Bajaspy.a HEUR:Trojan-Banker.AndroidOS.Wroba.pac HEUR:Trojan-Dropper.AndroidOS.Wroba.e HEUR:Trojan-Banker.AndroidOS.Wroba.ap HEUR:Trojan-Dropper.AndroidOS.Wroba.f HEUR:Trojan-Dropper.AndroidOS.Wroba.g HEUR:Trojan-Banker.AndroidOS.Agent.eq
McAfee Android/Banker.CE Android/SpyAgent.IC RDN/Generic Dropper
Sophos Andr/Xgen-TK Andr/Xgen2-GS Andr/Xgen2-IA Andr/Xgen-VS Andr/Dropr-GY Mal/Generic-S Andr/Xgen-WG Andr/Xgen2-IN Andr/SmsSpy-FE Andr/Xgen2-KX Andr/Xgen2-LN Andr/Xgen-ABY
Symantec AppRisk:Generisk AdLibrary:Generisk Other:Android.Reputation.1 Other:Android.Reputation.2
Trend Micro AndroidOS_Wroba.U ANDROIDOS_FAKESPY.HRX ANDROIDOS_XLOADER.HRX TROJ_FRS
ウイルス攻撃者は、ウイルスファイルの差し替えを頻繁に行っているものの、Android 向けセキュリティアプリは汎用的な検出で無難に対処できてる感じ?
5. 攻撃者の正体は? セキュリティ記事
佐川急便や日本郵政(郵便局)を騙る迷惑メールの拡散は、ウイルス感染で乗っ取られた日本国内の Android 端末が悪用されて ”犯人” となってます。
その背後にいる Android スマホウイルスアプリ、iPhone フィッシング詐欺の一連のインシデントに関与するサイバー犯罪者はいったいドコの誰?
<2014年>
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=697
https://www.fireeye.com/blog/threat-research/2014/07/the-service-you-cant-refuse-a-secluded-hijackrat.htmlhttps://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=702
https://news.drweb.com/show/?i=5879&lng=en
http://asec.ahnlab.com/1014
<2015年>
https://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-south-korean-users/
<2017年>
https://securingtomorrow.mcafee.com/mcafee-labs/android-banking-trojan-moqhao-spreading-via-sms-phishing-south-korea/
<2018年>
https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/
https://blog.trendmicro.com/trendlabs-security-intelligence/xloader-android-spyware-and-banking-trojan-distributed-via-dns-spoofing/
https://securitynews.sonicwall.com/xmlpost/roaming-mantis-attacks-android-devices-in-asia-likely-behind-otp-codes-may-8-2018/
https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/
https://blog.trendmicro.com/trendlabs-security-intelligence/fakespy-android-information-stealing-malware-targets-japanese-and-korean-speaking-users/
https://securelist.com/roaming-mantis-part-3/
https://www.fortinet.com/blog/threat-research/fakespy-comes-back--new-wave-hits-japan.html
https://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-the-connection-between-xloader-and-fakespy-and-their-possible-ties-with-the-yanbian-gang/
日本国外のサイバー犯罪グループが想定されていて、お隣の韓国のスマホユーザーを集中的に狙って Android ウイルスによるネットバンキング不正送金をだいぶ前から仕掛けている 朝鮮族 の存在が指摘されています。
これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。