Roaming Mantis パート7：Wi-FiルーターのDNS改ざん機能を悪性モバイルアプリに実装

カスペルスキーは、2018年から、サイバー攻撃キャンペーン「Roaming Mantis（ローミングマンティス　別名Shaoye）」に関する情報を追跡、調査し続け、これまで６回に渡ってブログで情報を公開しました。Roaming Mantisは、強い金銭的動機に基づき、悪意あるAndroidアプリを拡散したり、またターゲットをフィッシングページに移動させて認証情報などを窃取します。2022年初めに公開したブログでは、スミッシングを通じてマルウェアの感染をフランス、ドイツなどヨーロッパへ拡大していることや、ランディングページのスクリプトを難読化するなどして、活動を隠ぺいするような行動も確認されました。

カスペルスキーのリサーチャーは新たに、Wi-Fiルーターに侵入し、DNSをハイジャックするための機能、DNS Changerが、Android向けのマルウェア、Wroba.o/Agent.eq（別名：MogHao, XLoader）に実装されたことを確認しました。Wroba.o/Agent.eqは、Roaming Mantisで主に使用されているトロイの木馬型マルウェアの一つです。

悪性モバイルアプリで拡散されるDNS Changer

2018年当初、カスペルスキーは、Roaming Mantisキャンペーンは、主に日本、韓国、そして台湾を含むアジア地域を標的にしていることを観測しました。当時この犯罪グループは、通信をハイジャックするために、ルーターのDNS設定を改ざんしていたのです。侵害されたルーターに接続されたデバイスは、悪性DNSサーバーによって、マルウェアが配布されるランディングページに誘導される仕組みになっていました。2019年から2022年までの間、攻撃者が悪意のあるURLリンクを配布するための主な手口は、DNSハイジャックではなくスミッシングで、誘導される先のランディングページでは、被害者のデバイスを識別するようになっており、Androidなら悪質なAPKファイルをインストールさせるよう促し、iOSならフィッシングサイトを表示させるよう設定されていました。

資料1 Roaming Mantisによる攻撃フロー、ルーターのDNS設定を改ざんし、悪性ランディングページへの誘導

2022年9月、マルウェアWroba.o (MD5 f9e43cc73f040438243183e1faf46581) の検体について解析を行った結果、ある特定のルーターが主な標的となっていたことを確認しました。Wroba.oによって、接続されているルーターのIPアドレスを取得し、ルーターの管理用Webインターフェイス経由でモデルを確認します。

資料2 ルーターのモデルを確認するためのコード

ルーターのモデル確認のためにハードコードされた文字列は、下記の通りです。

• ipTIME N3-i
• ipTIME N604plus-i
• EFM Networks ipTIME N604plus-i
• EFM Networks – ipTIME Q104
• EFM Networks ipTIME Q104
• EFM Networks – ipTIME Q204
• EFM Networks ipTIME Q204
• EFM Networks ipTIME V108
• EFM Networks ipTIME Q604
• EFM Networks ipTIME Q604 PINKMOD
• EFM Networks ipTIME N104R
• EFM Networks ipTIME N604R
• EFM Networks ipTIME Q504
• EFM Networks ipTIME N5
• EFM Networks ipTIME N604V
• EFM Networks ipTIME N104T
• EFM Networks – ipTIME G301
• n704bcm
• a8004t
• a2004sr
• n804r
• n104e
• n104pk
• a1004ns
• a604m
• n104pi
• a2008
• ax2004b
• n104q
• n604e
• n704e
• n704v3
• n704v5
• t5004
• t5008
• a1004
• a2003nm
• a2004sr
• a5004nm
• a604sky
• n2pi
• n604pi
• a2004m
• a3004nm
• a7ns
• a8txr
• ew302nr
• n602e
• t16000
• a3003ns
• a6004nm
• n1e
• n3i
• n6
• a2004ns
• n1pi
• a2004r
• n704bcm
• n600
• n102e
• n702r
• a8004i
• a2004nm
• t16000m
• a8004t
• a604r
• a9004x2
• a3004t
• n804r
• n5i
• n704qc
• a8004nm
• a8004nb
• n604p
• a604gm
• a3004
• a3008
• n2v
• ax2004m
• v504
• n1p
• n704bcm
• ew302
• n104qi
• n104r
• n2p
• n608
• q604
• n104rsk
• n2e
• n604s
• n604t
• n702bcm
• n804
• n3
• q504
• a604
• v308
• a3004d
• n104p
• g104i
• n604r
• a2004
• a704nb
• a604v
• n6004r
• n604p
• t3004
• n5
• n904
• a5004ns
• n8004r
• n604vlg

ハードコードされた文字列から、韓国国内の特定のルーターがDNS Changerの標的になっていることが判明しました。

そして、DNS Changerは、ハードコードされたvk.comのアカウント “id728588947” にまず接続し、次の接続先である “107.148.162[.]237:26333/sever.ini” を取得しアクセスを行います。”sever.ini”(英単語serverのスペリングミス)では、犯罪グループのコントロール下にある悪性DNSのIPアドレスが記載されており、これらのIPアドレスを取得します。

資料3 ハードコードされたvk.comのアカウントを経由して悪性DNSのIPアドレスを取得

さらに、DNS Changerのコードの分析を進めると、デフォルトの管理用IDとパスワード（admin:admin）を使用していることがわかります。最終的には、sever.iniから取得した悪性DNSのIPアドレスを使用して、モデル毎にURLクエリを生成し、ルーターのDNS設定の書き換えを行うように設計されていました。

資料3 ハードコードされたvk.comのアカウントを経由して悪性DNSのIPアドレスを取得

私たちは、このDNS Changer機能の実装は、セキュリティの観点から極めて深刻な問題だと捉えています。これは攻撃者が、DNS設定の改ざんに成功したルーターを経由して、インターネットと通信するサーバーにアクセスするデバイスに対して、様々な影響を及ぼすことが可能になることを示します。例えば、被害者を悪意のあるサイトへリダイレクトしたり、セキュリティ製品のアップデートを無効にするなどです。過去にも2016年に、他のAndroid向けDNS Changerの事例が報告され、DNSハイジャックがどれだけ深刻かが浮き彫りになりました。

街中のカフェや図書館が、たまたま攻撃者が標的とするモデルや脆弱な公共Wi-Fiを使っている場合があります。その公共Wi-Fiに、DNS Changerを有するマルウェアに感染したAndroidデバイスが接続すれば、ルーターのDNS設定が書き変えられてしまい、そのWi-Fiにアクセスする他のデバイスにも影響を及ぼします。そのため、ターゲットにされた特定の地域において短期間で被害が拡大する恐れがあります。

ランディングページの統計調査

先ほども述べた通り、現在、DNS Changerの主な標的は韓国ですが、日本、フランス、ドイツ、アメリカ、台湾、トルコ、その他の地域でも活動が観測されています。韓国以外の地域で最も頻繁に使われる手口はスミッシングですが、犯罪者は、近い将来、これらの地域でDNS Changerを実装したマルウェアを拡散して、ルーターの侵害を試みる可能性があります。

2022年12月、ダウンロードされたAPKファイルの数を把握するために、攻撃者が作成したランディングページを調査しました。ランディングページのIPアドレス、ダウンロードされたAPKファイルの数、確認されたダウンロードURLは下記の通りです。

ダウンロードされたAPKファイルの数は、2022年12月前半の数字です。観測されたランディングページをもとに、ダウンロード数を割り出した結果、Android向けのマルウェアが、特定の地域でいまだに多くダウンロードされ続けています。表のとおり、最もダウンロードされているのは日本で、今回新たにオーストリア、マレーシアも標的とされていることが確認されました。

ダウンロードされたURL（韓国以外）をよくみると、攻撃者がランディングページのIPアドレスを名前解決するためのドメインをランダムに生成して登録しているとみられています。これらのリンクは、スミッシングを攻撃の起点としていると考えられます。ただし、韓国においては、DNSハイジャックが使われていることもあり、URLは正規のドメインが表示されています。

また、悪性DNSを用いてモバイルデバイス用の”m.xxx.zzz”とPC用のwww.xxx.zzzを名前解決した場合、下記のような興味深い結果を得ることができました。

このことから、悪性DNSでは”m.xxx.zzz”というモバイルドメインのみ攻撃者が用意したランディングページのIPアドレスに名前解決されるように仕組まれています。攻撃者は、リサーチャーに発見されがたくすることを目的として、限定されたドメインのみに作用するようにフィルタリングを行うなどの隠ぺい工作をしているとみられています。

KSNが検知したターゲット地域

カスペルスキー製品は、Roaming Mantisの悪質なAPKファイルを「Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o)」として検知します。この検知名をもとに、Kaspersky Security Network（KSN）の統計情報を調べたところ、検知率は、フランス(54.4%)、日本(12.1%)、続いてアメリカ(10.1%)となりました。

上述のランディングページの統計と比較すると、検知率の多い国は、フランス、日本、オーストリア、ドイツと、さほど変わりはない結果となりました。一方で、アメリカでKSN検知率が高いのに対してランディングページの統計データがない理由は、当社が調査した時点で、アメリカ向けランディングページが発見されていないためです。

まとめ

カスペルスキーは、2019年から2022年までの間、Roaming Mantisが主にスミッシングを使って、悪意のあるURLを被害者に送り付け、ランディングページに誘導していたことを確認していました。2022年9月には、このキャンペーンで使われてきたAndroid向けトロイの木馬「Wroba.o」に、新たにDNS Changer機能が実装されていることを確認し、主に韓国で使われているルーターの特定のモデルを標的にしていることを発見しました。これにより、Wrobaに感染したAndroidのデバイスが、脆弱な公共Wi-Fiのルーターに接続すると、そのネットワークに接続する他のデバイスにも、マルウェアが拡散される可能性があります。当社が最も懸念しているのは、攻撃者によって、DNS Changer機能を用いた攻撃の対象が広い地域に拡大し、被害が広がることを強く懸念しています。

カスペルスキー製品では、このAndroidマルウェアを以下の検知名で検知およびブロックします。

HEUR:Trojan-Dropper.AndroidOS.Wroba.o
HEUR:Trojan-Dropper.AndroidOS.Agent.eq

脅威存在痕跡（IoCs）

Wroba.oのMD5:

2036450427a6f4c39cd33712aa46d609
8efae5be6e52a07ee1c252b9a749d59f
95a9a26a95a4ae84161e7a4e9914998c
ab79c661dd17aa62e8acc77547f7bd93
d27b116b21280f5ccc0907717f2fd596
f9e43cc73f040438243183e1faf46581

ランディングページのドメイン:

1hy5.cwdqh[.]com
3.wubmh[.]com
3y.tmztp[.]com
53th.xgunq[.]com
5c2d.zgngu[.]com
5.hmrgt[.]com
8.ondqp[.]com
9v.tbeew[.]com
d.vbmtu[.]com
g.dguit[.]com
j.vbrui[.]com
k.uvqyo[.]com
kwdd.cehsg[.]com
mh.mgtnv[.]com
o.wgvpd[.]com
r48.bgxbm[.]com
t9o.qcupn[.]com
vj.nrgsd[.]com
w3.puvmw[.]com
xtc9.rvnbg[.]com
y.vpyhc[.]com

ランディングページのIPアドレス:

103.80.134[.]40
103.80.134[.]41
103.80.134[.]42
103.80.134[.]48
103.80.134[.]49
103.80.134[.]50
103.80.134[.]51
103.80.134[.]52
103.80.134[.]53
103.80.134[.]54
134.122.137[.]14
134.122.137[.]15
134.122.137[.]16
199.167.138[.]36
199.167.138[.]38
199.167.138[.]39
199.167.138[.]40
199.167.138[.]41
199.167.138[.]43
199.167.138[.]44
199.167.138[.]45
199.167.138[.]48
199.167.138[.]49
199.167.138[.]51
199.167.138[.]52
27.124.36[.]32
27.124.36[.]34
27.124.36[.]52
27.124.39[.]241
27.124.39[.]242
27.124.39[.]243
91.204.227[.]131
91.204.227[.]132
91.204.227[.]144
91.204.227[.]145
91.204.227[.]146

侵害されたDNS:

193.239.154[.]15
193.239.154[.]16
193.239.154[.]17
193.239.154[.]18
193.239.154[.]22

sever.iniを取得する為の不審なvk.comのアカウント:

id728588947

悪性DNSサーバが記載されたファイルsever.iniのURL: 

107.148.162[.]237:26333/sever.ini

C2を取得のための不審なアカウントとページ: 

http://m.vk[.]com/id668999378?act=info
http://m.vk[.]com/id669000526?act=info
http://m.vk[.]com/id669000956?act=info
http://m.vk[.]com/id674309800?act=info
http://m.vk[.]com/id674310752?act=info
http://m.vk[.]com/id730148259?act=info
http://m.vk[.]com/id730149630?act=info
http://m.vk[.]com/id761343811?act=info
http://m.vk[.]com/id761345428?act=info
http://m.vk[.]com/id761346006?act=info
https://www.youtube[.]com/channel/UCP5sKzxDLR5yhO1IB4EqeEg/about
https://docs.google[.]com/document/d/1s0n64k12_r9MglT5m9lr63M5F3e-xRyaMeYP7rdOTrA/mobilebasic
https://docs.google[.]com/document/d/1IIB6hhf_BB1DaxzC1aNfLEG1K97LsPsN55AT5pFWYKo/mobilebasic

C2:

91.204.227[.]32
91.204.227[.]33
92.204.255[.]173
91.204.227[.]39
118.160.36[.]14
198.144.149[.]131