カード情報を狙い、金銭を脅し取るトロイの木馬「Rotexy」

2018年11月29日

このところ、Rotexyというモバイルマルウェアの感染が広がっています。このマルウェアは、バンキング型トロイの木馬と画面ロック型ランサムウェアの両方の特徴を持っています。Kaspersky Labのエキスパートは8月から9月にかけて、Androidスマートフォンにこの悪意あるアプリを侵入させようとする試みを4万件以上検知しました。RotexyについてはすでにSecurelistにて概要と技術的詳細を説明していますが(英語記事)、この記事ではRotexyの感染経路と、お金を払わずにRotexyを削除する方法をお伝えします。

バンキング型トロイの木馬、Rotexyの動作

Rotexyは、SMSを通じて拡散します。アプリをダウンロードしたくなるような内容のメッセージに、アプリのダウンロード用リンクが添えられた内容です。友人の電話番号から送られてくる場合もあるため、実際にリンクにアクセスする人がいました。

Rotexyはデバイスに侵入すると、次の行動を起こすための予備活動を実施します。まずは、自分が感染したデバイスについて調査します。マルウェアリサーチャーによる解析を妨害することが目的です。自分の動作している場所がスマートフォンの上ではなくエミュレーター内であることが分かると、Rotexyはアプリの初期化プロセスを延々と繰り返します。最新のバージョンでは、ロシア国外のデバイスに感染した場合も同じようになることが確認されています。

このトロイの木馬が行動を開始するのは、感染先のデバイスがいくつかの基本条件に合致することを確認した後です。最初の行動は、管理者権限の要求です。理論的には、デバイスの持ち主は管理者権限の付与を拒否できますが、権限を求める通知が表示され続けるのでスマートフォンの使用に支障が出ます。やむなく同意すると、Rotexyはアプリを読み込めなかったという通知を表示して、アイコンを隠します。

Rotexyはその後、デバイスに関する情報を攻撃者の元へ送信し、折り返しコマンドを受け取ります。その際には、複数のテンプレートとテキストも併せて受け取ります。コマンド送信の方法としては、指令サーバーとの直接通信が既定となっていますが、Googleクラウドメッセージングを使う方法とSMSを介した方法も実装されています。

SMS泥棒としてのRotexy

Rotexyは、SMSに関してかなり貪欲です。感染したスマートフォンがSMSを受信すると、Rotexyはデバイスをサイレントモードに切り替えるので、スマートフォンの持ち主はSMSが届いたことに気が付きません。Rotexyは着信メッセージを傍受して指令サーバーから受け取ったテンプレートと照らし合わせ、うまみのある情報(モバイルバンキングに関するSMS通知に書かれている、カード番号の最後の数桁など)が含まれていれば保存してサーバーに転送します。さらに、スマートフォンの持ち主に代わって、そうしたSMSメッセージに返信することも可能です。こういったときに使う応答メッセージも、テンプレートに含まれています。

何らかの理由で指令サーバーからテンプレートや特別な指示を受け取っていない場合、Rotexyは感染したスマートフォンでやり取りされたSMSをすべて保存し、攻撃者の元へ転送します。

それだけでなく、サイバー犯罪者の命令を受けて、マルウェアをダウンロードするためのリンクを連絡先リストにあるすべての連絡先に送ることも可能です(これがRotexyの主な感染経路の1つとなっています)。

バンキング型トロイの木馬としてのRotexy

Rotexyの策は、SMSの操作だけではありません。最終的な目的と考えられるのは攻撃者に金銭をもたらすことで、そのためにクレジットカード情報を狙います。Rotexyは、スマートフォンの画面にフィッシングページを重ねて表示させる手口を利用します。ページの見た目はさまざまですが、スマートフォンの所有者に対して「送金通知が来ている、受け取りにはカード情報の入力が必要だ」という内容を告げるものがほとんどです。ここで使われる文章は、SMS傍受の指示と一緒に受け取ったテキストです。

マルウェア作成者は念には念を入れて、カード番号を確認するプロセスまで用意しています。まず、Rotexyはカード番号が正しいものかどうかを検証します(念のため補足すると、カード番号はランダムではなく、一定のルールに基づいて作成されています)。次に、銀行からのSMS(傍受したもの)に書かれているカード番号の下4桁と、フィッシングページに入力された番号を照合します。数値が一致しない場合、マルウェアはエラーを返し、正しいカード番号を入力するように要求します。

ランサムウェアとしてのRotexy

指令サーバーから別の指示を受け取り、別のシナリオに沿って活動する場合もあります。フィッシングページを表示するのではなく、スマートフォンの画面をロックして、「違法動画をしょっちゅう見ている」という理由で罰金の支払いを要求する画面を表示するパターンです。

アップデートのインストールを装ったRotexyがスマートフォンの画面をロックし、「違法動画をしょっちゅう見ている」という理由で罰金の支払いを要求

アップデートのインストールを装ったRotexyがスマートフォンの画面をロックし、「違法動画をしょっちゅう見ている」という理由で罰金の支払いを要求

支払要求メッセージには、「証拠」写真としてポルノ動画の画像が添付されています。モバイルランサムウェア関連では、サイバー犯罪者が公的機関のふりをすることがよくあります。Rotexyの場合は、「FSB(ロシア連邦保安庁)Internet Control」と名乗っています(なお、Internet Controlという名称の部署はありません)。

Rotexyに感染したスマートフォンのロックを解除する方法

この点については朗報があります。感染したスマートフォンのロックを解除し、Rotexyを駆除することは可能です。専門家の助けは必要ありません。先に説明したように、RotexyはSMSを介して命令を受け取ることができます。決まった番号から送られた命令である必要はありません。つまり、自分のスマートフォンがロックされて脅迫画面を閉じることができなくなったとしても、他のスマートフォン(友人や家族のものなど)から自分のスマートフォンへコマンドを送ることで状況を打開できます。

  • 自分のスマートフォンの電話番号宛てに、SMSで「393838」というテキストを送信する。Rotexyはこれを「指令サーバーのアドレスを空白に変更しなさい」という命令だと解釈し、サイバー犯罪者の命令に従うのをやめます。
  • 次に、「3458」というテキストを送信する。Rotexyから管理者権限が取り上げられ、デバイスの支配が解除されます。
  • 最後に、「stop_blocker」というテキストを送信する。画面をロックしているフィッシングページまたはバナーを強制的に削除させるコマンドです。
  • その後も管理者権限をしつこく要求してくるようであれば、セーフモードでデバイスを再起動して(方法はこちらを参照)、アプリケーションマネージャまたはアプリケーションと通知(Androidのバージョンにより設定の表示が異なる)に移動し、デバイスからマルウェアを削除します。ここでは削除を妨害するようなことは起きません。以上です。

このロック解除方法はRotexyの現行バージョンの解析に基づいているため、今後のバージョンでは事情が変わる場合があります。Rotexyの技術的な詳細については、Securelistで公開されているレポート(英語)をご覧ください。

Rotexyほか、モバイルを標的とするトロイの木馬からスマートフォンを守る方法

そもそもスマートフォンにマルウェアが入り込まないようにしておけば、時間を無駄にすることも、神経をすり減らすこともありません。感染を避けるのはそう難しいことではありません。いつもの基本的な対策が有効です。