Ginp：偽のSMSを発信するモバイル型トロイの木馬

バンキング型トロイの木馬の大半は、スマートフォンに侵入すると、SMSにアクセスしようとします。銀行から送られてくる認証コードを傍受することが目的です（※訳注：日本ではSMSによる認証コード送信があまり使われていませんが）。マルウェアを操る人々は、この認証コードがあれば、スマートフォンの持ち主に気付かれずに支払いを行ったり、預金を我が物にしたりすることができます。それに加え、感染したデバイスの中にある連絡先へSMS経由で悪質なダウンロードリンクを送りつけ、さらに多くのデバイスを感染させるモバイル型トロイの木馬も多数あります。

中には、SMSへのアクセス権を悪用して、感染したデバイスの持ち主の名前をかたって攻撃的なテキストメッセージなどを配信するものもあります。当社が昨年秋に初めて検知した「Ginp」というマルウェアは、感染したスマートフォンの上で、届いてもいないSMSを偽造する機能を備えています（リンク先は英語）。しかも、SMSのねつ造だけではありません。Ginpがどのような活動をするのか、順を追って見ていきましょう。

モバイル型トロイの木馬「Ginp」の各種機能

Ginpは当初、バンキング型トロイの木馬が標準的に備えている機能を持っていました。感染先デバイスから入手した連絡先や傍受したテキストメッセージを開発者に送信する機能、クレジットカード情報を盗む機能、バンキングアプリの画面にフィッシング画面を重ねて表示する機能です。

画面に画面を重ねて表示する際には、目の不自由な方のためにAndroidに標準搭載されているユーザー補助機能が悪用されていました。これは珍しいことではありません。ユーザー補助機能を通じて画面上にあるあらゆるものへ視覚的にアクセスできるほか、ボタンやリンクを「タップ」することも可能であり、事実上スマートフォンを完全に掌握できてしまうことから、バンキング型トロイの木馬のほかさまざまな種類のマルウェアがこの機能を使っています。

しかし、Ginpの開発者は、より独創的な機能で再三にわたってこのマルウェアを拡充していきました。たとえば、特定のアプリを開かせるために、プッシュ通知やポップアップメッセージを表示するようになりました。そのアプリの画面にフィッシング画面を重ねて表示するためです。こうした通知は、「クレジットカード情報を入力するためのフォームが表示されるのだな」と利用者に思わせる、巧妙な文章になっています。以下は、スペイン語での通知文です。

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito.Utilice Play Store para agregarlos de manera segura.

（Google Pay：お客様のクレジットカードまたはデビットカードの情報がありません。Play Storeアプリを使用すると、この情報を安全に追加できます）

果たして利用者が思ったとおり、Play Storeアプリ内にはカード情報を入力するためのフォームが表示されます。しかし、フォームを表示しているのはGinpであって、Google Playではありません。入力したデータはサイバー犯罪者の元へ直行します。

カード情報を入力するための偽物の画面。非常に本物らしく、またPlay Storeアプリに表示されているかのように見える

さらにGinpは、いかにもバンキングアプリが表示したかのように見える通知を表示します。

B**A: Actividad sospechosa en su cuenta de B**A.Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.

（B**A：お客様のB**Aアカウントで、不審な操作が確認されました。最近の取引を確認し、91 *** ** 26に電話でお問い合わせください）

この偽通知に表示されているのは銀行の本物の電話番号なので、ここに電話をかけた場合は十中八九、「あなたの口座に問題はない」という話になるでしょう。しかし、銀行に電話をかける前に「不審な操作」について確認した場合、マルウェアはバンキングアプリの画面の上に偽の画面を重ねて表示し、カード情報の入力を要求します。

実に説得力のある偽のSMS

2月初め、Kasperskyのボットネット活動モニタリングシステム（Botnet Attack Tracking）は、Ginpの新機能を検知しました。偽の着信SMSを作成する機能です。目的はこれまで同様、利用者にアプリを開かせることですが、Ginpが内容や発信元を自由に設定してSMSを生成できるようになっています。要するに、攻撃者は銀行やGoogleから届いたように見せかけたメッセージを捏造可能なのです。

銀行から送られたかのように見せかけたSMS。モバイルアプリ内で支払いを確認するように求めている

人はしばしば通知を見ないものですが、着信したSMSは遅かれ早かれ読む傾向にあります。つまり、誰かしらがアプリを開いて自分の口座に何が起きているかを確認する確率が高いということであり、Ginpがカード情報を入力するための偽フォームを滑り込ませるのはまさにそのタイミングです。

Ginpから身を守るには

現時点では、Ginpの主な標的はスペイン在住の人々ですが、以前はポーランドや英国の人々が標的となっていました。したがって、これら以外の国に住んでいる場合であっても、サイバーセキュリティの基本ルールをどうぞお忘れなく。

• アプリは必ずGoogle Playからダウンロードしましょう。
• Androidの設定で、出所が不明のアプリのインストールをブロックしましょう。
• SMS内のリンクをクリックしないようにしましょう。特に、メッセージに少しでも不審な点がある場合はクリックしないでください。たとえば、いつもはメッセンジャーやSNSで画像を送ってくる友だちが、写真へのリンクをSMSで突然送ってきたりしたら、怪しいと考えられます。
• アプリがユーザー補助権限を要求してきても、この権限を与えないようにしましょう。この強力な権限を本当に必要とするプログラムは、ほとんどありません。
• テキストメッセージへのアクセスを要求するアプリには、警戒してかかりましょう。
• スマートフォンに、信頼できるセキュリティ製品をインストールしましょう。たとえば、カスペルスキー インターネット セキュリティ for Androidは、Ginpをはじめとする多くの脅威を検知します。