「近辺にいるコロナウイルス感染者の情報が分かる」—虚偽で人を釣るトロイの木馬Ginp

バンキング型トロイの木馬Ginpが、コロナウイルス感染者の情報を提供すると偽り、Android利用者からクレジットカード情報をだまし取ろうとしています。

世界各地で人々が在宅勤務をするようになり、ソーシャルディスタンスが推奨されています。人との接触はどの程度避けなければならないのか、新型コロナウイルスに誰が感染しているのだろうか…多くの人が漠然とした不安を他人に対して抱きはじめており、そこにサイバー犯罪者はつけいる隙を見出したようです。

Coronavirus Finder(コロナウイルス発見ツール、と称した何か)

Kaspersky Dailyでは先日、Ginpというトロイの木馬に関する記事を掲載しました。このGinpを操るサイバー犯罪者グループは、新型コロナウイルス感染症(COVID-19)に関連する新しい活動を開始しています。Ginpは、特別なコマンドを受信すると「Coronavirus Finder」と書かれたWebページを表示します。このシンプルなインターフェイスのWebページは、自分の近くにいるコロナウイルス感染者の人数を示し、少額を支払ったらこの人たちの居場所を見ることができる、と述べています。

接触を避けるべき相手が分かれば安心だと思って、料金を支払う人もいるでしょう。大した金額ではないので、金銭的なハードルも高くありません。支払いに進むと、決済のためにカード情報を入力する画面が表示されます。

前回の記事で説明したように、このGinpというバンキング型トロイの木馬は、実にさまざまな方法を使って人々をだまし、入力フォームにクレジットカード情報を入力させて情報を盗みます。このWebページも、お察しのとおりカード情報を盗むためのものです。

クレジットカード情報を入力すると、情報はそのまま犯人の元にわたります。それ以外、何も起こりません。支払うつもりだった料金も請求されません(犯人からすれば、カードからお金を自由に使えるようになったのですから、請求する意味はないわけです)。当然、近くにいるはずのウイルス感染者に関する情報も表示されません。そもそも、彼らはそのような情報を持っていないのです。

このウイルスの感染が拡大するスピードを考えると、各国政府ですらそうした情報を持っていません。また、このようなWebページがデバイス上で表示されるのは、そもそもデバイスにGinpがインストールされているからです。スマートフォンがきちんと保護されていて、トロイの木馬が感染するようなことがなければ、このような通知は表示されません。

Kaspersky Security Networkのデータによると、Ginpに遭遇したユーザーの大半は、前と同じようにスペイン国内の人々です。今回観測されているGinpは「flash-2」という名称の新バージョンですが、以前のバージョンでは「flash-es12」でした。新バージョンで「es」がなくなったのは、サイバー犯罪者たちがスペイン以外に活動を広げていくつもりであることを意味するのかもしれません。

新型コロナウイルスの話題がサイバー犯罪者に利用されるのは、これが初めてではありません。すでにフィッシングメールに利用されたり、コロナウイルスにかこつけたマルウェアが作成されたりしています。

バンキング型トロイの木馬Ginpから身を守る

バンキング型トロイの木馬Ginpから身を守る方法としては、いつものように基本的な対策をお勧めします。

  • アプリは必ずGoogle Playからダウンロードする。さらに、他の提供元からアプリをインストールするオプションを無効にしてください。
  • 話を鵜呑みにしない。どこか怪しいと感じたら、リンクをクリックしないでください。特にログイン情報、パスワード、決済認証情報など重要なデータは、少しでも怪しく感じるときは入力しないでください。
  • ウイルス対策アプリ以外のアプリからユーザー補助機能の権限をリクエストされても、許可しない。
  • 信頼できるセキュリティ製品を使用する。カスペルスキー インターネット セキュリティ for Androidは、Ginpを「Tojan-Banker.AndroidOS.Ginp」の検知名で検知し、ブロックします。

新型コロナウイルスから身を守る方法については、WHO(英語)や日本の厚生労働省から発表されているガイドラインをご参照ください。

医療を守る

新型コロナウイルスの大流行に対抗すべく奮闘を続けている医療機関は、サイバーセキュリティ面での助力を必要としています。当社では医療機関向けに、当社主要製品を6か月間無料で利用できるライセンスをご提供します。

ヒント