2018年1月12日

Androidを狙った、日本の宅配業者アプリを装うマルウェア

脅威

※2018年1月17日更新:一部画像を削除しました。

さも本物であるかのように信じさせる目的で日本の有名な宅配業者の名前を騙るスパムメールやWebサイトは、そう珍しくなくなりつつあります。残念ながら2018年もその傾向は続いているようです。

つい先日、日本の宅配業者のWebサイトを模倣した偽のサイトが現れました。

※この先は、分析のために偽サイトへのアクセスやアプリのインストールなどの操作を行いますが、実際に不審なURLを受け取った際にはそうした操作を行わないでください。

偽のサイトは正規のWebサイトと非常によく似たドメイン名を持っており、また、スマートフォンの小さな画面で見ると、一見しただけでそれが偽のサイトであると判別するのは難しくなっています。

このWebサイトへは荷物の不在通知を装ったSMSに書かれた短縮URLで誘導され、アクセスすると不正なアプリのインストールが促されます。Google URL Shortnerのデータによると、この短縮URLは11日前(本稿執筆時より11日前)に作成され、日本からのアクセスが大多数を占めていることが分かります。

図1. Google URL Shortenerによる当該短縮URLの解析結果(本稿執筆時)

このサイトからダウンロードできるのは「sagawa.apk」というAndroidアプリです。

Androidでこのアプリのインストールを実行すると、連絡先の読み取りやSMSの受信、SMSの読み取りなどの権限の取得を要求してきます。

図2. アプリインストール時の権限取得

このアプリのインストール時に通信をキャプチャしたところ、台湾へ通信し、端末のIMEIや電話番号などの情報を送っていることが分かりました。

図3. 偽アプリインストール時の通信

この偽アプリは、SMSや連絡先リストといった情報を外部へ送信するものです。疑わしいアプリには十分ご注意ください。

カスペルスキー製品では、このマルウェアを以下の検知名で検知・ブロックします。

・HEUR:Trojan.AndroidOS.Piom.qcd
・HEUR:Trojan-Spy.AndroidOS.Agent.qa

MD5
5b14395c8aa13b8d8451669d9207f8fc
66d6479f0344f3e8075c033b1a3b632d

ドメイン: sagawa○○○○.gnway.cc

※当該Webサイトは一時的にアクセスできなくなっていましたが、本稿執筆時には再度活動しています。疑わしいURLにはアクセスしないようご注意ください。