Roaming Mantis パート5:スミッシングによる拡散とリサーチャー避けテクニックの強化

Roaming Mantisに関する最新情報。2019年の調査で見られた攻撃活動の変化や、新たに取り入れられた興味深い手法について。

Kasperskyでは、以前からRoaming Mantisの攻撃活動を追跡しています。より多くの金銭を盗むため、攻撃者たちは何度にもわたって攻撃手法を改良し、標的を増やしてきました。2019年の調査でも、いくつか興味深い変化が認められました。現在、彼らの焦点はトラッキングや調査を回避することにシフトしています。

この記事では、昨年の調査で見られた攻撃活動の変化や、新たに取り入れられた興味深い手法を取り上げて解説します。

スミッシング:さらに多くの物流企業が偽装の対象に

2018年、攻撃グループはマルウェア「Wroba.g(別名Moqhao、XLoader)」の拡散方法として、元々使っていたDNS乗っ取りの手法に加えて新たな拡散手法を取り入れました。物流企業からの不在通知を装うスミッシング(SMSを使用したフィッシング詐欺)の手法です。ダウンロードされる悪意あるAPKファイルには、著名な物流企業のロゴに見せかけたアイコンが使用されていました。

2019年、攻撃グループが国に応じて偽装する物流企業を使い分けていることが判明しました。たとえば、日本向けには佐川急便、台湾向けにはヤマト運輸とFedEx、韓国向けにはCJ Logistics、ロシア向けにはEcont Expressの偽アイコンが使用されていました。

図1. 著名な物流企業のロゴをまねたアイコンを使うスミッシングのメッセージ例

図1. 著名な物流企業のロゴをまねたアイコンを使うスミッシングのメッセージ例

日本サイバー犯罪対策センター(JC3)によると、2020年2月、不在通知を装うSMSの文言が、「コロナウイルス関連でのマスク無料配布」をうたう内容に変更されています。この例からも分かるとおり、犯罪者は常に注目の話題を利用しようと試みます。

「許可リスト」機能(現時点では韓国語のランディングページのみ)

Wroba.gのランディングページにも、新機能が追加されました。セキュリティリサーチャー避けの許可リスト機能です。SMSのリンクからランディングページにアクセスすると、確認のために自分の携帯電話番号を入力するように求められます。入力された番号が攻撃者の標的リスト内に存在した場合に、悪意ある「app.apk」が配信される仕組みとなっています。

図2. 許可リスト機能を備えた、CJ Logisticsの偽ページ

図2. 許可リスト機能を備えた、CJ Logisticsの偽ページ

現在のところ、この新機能が採用されているのは韓国語のページのみです。この攻撃グループは、新たな手法をまず韓国語を使う利用者に対して試す傾向にあります。したがって、今回追加された手法は、後に別の言語のランディングページにも適用される可能性があります。適用されれば、攻撃者の許可リストデータベースにある特定の番号を入力しないとAPKファイルがダウンロードされなくなるため、リサーチャーはサンプルの入手がほぼ不可能となります。

Multidexによる難読化

Androidアプリで使用されるDalvik Executable(DEX)ファイルには、参照できるメソッド数は64Kまでという制限があります。そこで、Multidexを設定することで、複数のDEXファイルをビルドして読み取ることができるようになっています。2019年、攻撃グループは、APKファイル内のMultidexを利用して悪意あるローダーモジュールを隠すという難読化トリックを活用していました。当社の調査では、少しずつ改良が加えられていった様子が明らかになっています。

図3. Multidexを使用した難読化技法の変遷

図3. Multidexを使用した難読化技法の変遷

図中に赤で囲まれた「classes${num}.dex」が実際の悪意あるローダーモジュールであり、それ以外のDEXファイルは単なるジャンクコードです。しかし、Wroba.gの暗号化されたペイロードは現在もassetsディレクトリ内にあり、過去の記事で紹介したPythonスクリプトを使って復号することが可能です。

新たな標的:日本のキャリア決済とオンラインバンキング

この攻撃グループは、強い金銭的動機を持っています。新たに、通話料と併せてコンテンツ利用料を徴収するキャリア決済の仕組みと、オンラインバンキングのアカウントが標的となっていることが判明しました。Wroba.gの暗号化されたペイロード内には、これらの認証情報を盗むフィッシングサイトへ利用者をリダイレクトする仕組みが実装されています。

図4. ハードコードされたパッケージ名、PinterestのURL、ポップアップメッセージ

図4. ハードコードされたパッケージ名、PinterestのURL、ポップアップメッセージ

このマルウェアは、感染デバイス上で特定の日本の銀行のアプリケーションパッケージを検出した場合、または感染デバイスのキャリアが特定の携帯電話会社であることが判明した場合に、ハードコードされたPinterestのアカウントへバックグラウンドで接続します。その際には、利用者に対して「第三者からの不正アクセスをブロックした」という内容の警告メッセージが表示され、先へ進むにはメッセージ内のボタンをクリックしなければなりません。ボタンをクリックすると、フィッシングサイトへリダイレクトされます。

図5. piterest.com上の悪意あるアカウントを経由した、フィッシングサイトへのリダイレクト

図5. piterest.com上の悪意あるアカウントを経由した、フィッシングサイトへのリダイレクト

フィッシングサイトへのリダイレクトに使われるPinterestのアカウントは、標的となっている銀行のパッケージおよび携帯電話会社に応じて異なります。

銀行のアプリケーションパッケージ、または携帯電話会社 Pinterestのアカウント フィッシングサイト(2019年12月時点) フィッシングサイト(2020年1月時点)
jp.co.japannetbank.smtapp.balance nor********** jnb.jp-bankq[.]com N/A
jp.co.jibunbank.jibunmain abi******** jibun.jp-bankq[.]com N/A
jp.co.netbk.smartkey.SSNBSmartkey sin************* sbi.jp-bankq[.]com N/A
jp.co.rakuten_bank.rakutenbank kel*************** rakuten.jp-bankq[.]com N/A
jp.co.sevenbank.AppPassbook gh6****** seven.jp-bankq[.]com N/A
jp.co.smbc.direct eme************* smbc.jp-bankq[.]com smbc.bk-securityo[.]com
jp.japanpost.jp_bank.FIDOapp fel*************** jppost.jp-bankq[.]com N/A
jp.mufg.bk.applisp.app sho************* mufg.jp-bankq[.]com N/A
Docomo ami*********** nttdocomo-uh[.]com nttdocomo-xm[.]com
au pos*********** au-ul[.]com au-xm[.]com
Softbank ash************ epos-ua[.]com N/A

上の表にあるとおり、2019年12月時点ではすべてのアカウントにそれぞれ対応するフィッシングサイトが存在しましたが(データはTwitterにて @ninoseki 氏によって提供されたもの)、フィッシングサイトのURLは攻撃者によって一日に何度も変更されています。2020年1月時点では、対応するフィッシングサイトのURLが存在するアカウントは3つだけでした。フィッシングサイトのアドレスは簡単に変更可能であることから、対応するフィッシングサイトが現時点で存在しないアプリについても、近々攻撃が再開される可能性は高いと考えられます。

新たに見つかったAndroidマルウェア:Wroba.jおよびFakecop

Roaming Mantisでは、主にAndroidマルウェアの「Wroba.g」と「Wroba.f」が使用されてきました。2019年4月、当社は新たに「Wroba.j」と「Fakecop」を観測しました。これらのマルウェアファミリーは、インフラや配信方法などの点で、他のマルウェアファミリーと共通点があります。マルウェアファミリーの変遷、なりすましに使われている物流企業ブランド、マルウェアの機能、およびマネーロンダリングの手法については、公開済みの資料『Roaming Mantis: A melting pot of Android bots in Botconf2019』(英語)をご覧ください。

当社の統計データによると、両マルウェアの検知数が非常に低いことが分かりました。この結果から、攻撃者によるテストである可能性が高いと考えられます。

Wroba.jを解析したところ、Wroba.jのSMS配信機能に、警戒すべき特徴が見つかりました。

図6. SMS送信結果のフィードバック生成

図6. SMS送信結果のフィードバック生成

これは、SMSスパムの配信後に配信結果のフィードバックを得て、精緻な電話番号リストを自動生成する機能です。それだけでなく、IMSI(国際移動体装置識別番号)をチェックして日本の携帯電話会社を特定し、対応するリストに電話番号を追加する機能も備えています。

図7. ドコモのIMSIのチェック

図7. ドコモのIMSIのチェック

マルウェア内にハードコードされたIMSIから判断して、攻撃グループが標的としているのはドコモとソフトバンクであると見られます。

ドコモのIMSI:

  • 44001
  • 44002
  • 44003
  • 44009
  • 4401
  • 4402
  • 4403
  • 44049
  • 44058
  • 4406
  • 44087
  • 44099

ソフトバンクのIMSI:

  • 44020
  • 44021
  • 44005
  • 44101

まとめ

強い金銭的動機を持つRoaming Mantisは、リサーチャーによる追跡を逃れるための新たな手法を取り入れながら活動を継続しています。現在のところ、新規追加された許可リスト機能は韓国語のランディングページにのみ適用されていますが、他の言語のランディングページに実装されるのも時間の問題でしょう。

Roaming Mantisは現在も活発にスミッシングを利用し、Android向けマルウェアを拡散しています。これは憂慮すべき事態です。感染したモバイルデバイスがボットネットを形成し、さらなるマルウェア配信やスミッシングなどに利用される可能性があるためです。ISPとセキュリティ企業は共にRoaming Mantisの活動を注視し、対策していくことが求められます。

参考

マルウェアファミリーの詳細については、McAfeeおよびFortinetが情報を公開しています。いずれも、2019年に見られたRoaming Mantisの活動に関する興味深い最新情報が掲載されています。

 

各APKのMD5ハッシュ例

e6ae4277418323810505c28d2b6b3647     Wroba.g
939770e5a14129740dc57c440afbf558     Wroba.f
521312a8b5a76519f9237ec500afd534     Wroba.j
6d29caaa8b30cc8b454e74a75d33c902     Fakecop

ヒント