Earthlink

Symantec Connect - Security - Blog Entries http://www.symantec.com/connect/item-feeds/blog/691%2C2261/feed/all/all en SNS サイトに投稿し、他の脅威を攻撃するワーム http://www.symantec.com/connect/blogs/sns <a href="http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2012-031306-1802-99">W32.Wergimog</a> はリムーバブルドライブを介して拡散し、バックドアを開こうとするワームです。その亜種を調べているときに興味深いサンプル（<a href="http://www.symantec.com/security_response/writeup.jsp?docid=2012-051704-2659-99">W32.Wergimog.B</a> と命名）が見つかりました。どちらも同じソースコードをベースにしていますが、.B 型の亜種にはさらに注目すべき機能が含まれていたので、ここで詳しくお伝えしたいと思います。   正規のアプリケーションに対する攻撃 W32.Wergimog.B は、Internet Explorer や Mozilla Firefox などの正規のアプリケーションに自身をインジェクトします（図 1）。   <img src="/connect/imagebrowser/view/image/2259231/_original" alt="" src="/connect/imagebrowser/view/image/2259231/_original" /> 図 1: W32.Wergimog.B は特定のアプリケーションに自身をインジェクトしてインターネットに接続する   インジェクト先のアプリケーションにネットワーク接続機能があることを確認すると、W32.Wergimog.B は以下にまとめた一連の機能を実行します。   ソーシャルネットワークサービス（SNS）サイトへの投稿 W32.Wergimog.B には、ユーザーが以下のいずれかの SNS サイトにアクセスしたときにチャットメッセージ、ステータス更新、ツイートを書き換える機能があります。 <ul> <li>Facebook のチャット</li> <li>Facebook のウォール</li> <li>Hi5 のステータス更新</li> <li>Hyves のステータス</li> <li>Linkedin のステータス更新</li> <li>Myspace のステータス更新</li> <li>Omegle のチャット</li> <li>Twitter のツイート</li> </ul> このワームは、最初にコマンド & コントロール（C&C）サーバーに接続して、SNS サイトに投稿する内容を取得します。現時点で、シマンテックはこの投稿内容を入手できていませんが、投稿するコマンドは「spread」と呼ばれています。したがって、この投稿には、W32.Wergimog.B などの悪質なプログラムをユーザーにダウンロードさせる URL が含まれている可能性が高いと思われます。 SNS サイトを介して拡散を試みるマルウェアは、これが初めてではありません。たとえば <a href="http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-080315-0217-99">W32.Koobface</a> も、このアプローチを採用していました。これらのワームが拡散に使うサイトには類似性も見られますが、両者の間には違いがあります。それは、Koobface グループと違って W32.Wergimog.B は自身で SNS サーバーには接続せず、ユーザーが新しく投稿するまで待ってから、それを書き換えるということです。   アカウントの窃盗 このワームには、侵入を受けたユーザーが以下のいずれかのサイトにログインしたときに、ユーザーアカウントとパスワードの情報を盗み出すというもうひとつの機能があります。 <ul> <li>fileserve.com</li> <li>hackforums.net</li> <li>hotfile.com</li> <li>megaupload.com</li> <li>thepiratebay.org</li> <li>uploading.com</li> </ul> ここに挙げたうちのいくつかは、ファイル共有サービスサイトであることに注目してください。つまり、盗み出されたアカウント情報は、これらのダウンロードサイトを介してワームを拡散し、そこからさらに先へ拡散するために利用されるおそれがあります。   ライバルの脅威に対する攻撃 このワームで注目に値するのは、他の脅威に対しても自身をインジェクトすることです（図 2）。   <img src="/connect/imagebrowser/view/image/2259241/_original" alt="" src="/connect/imagebrowser/view/image/2259241/_original" /> 図 2. ライバルの脅威に自身をインジェクト   W32.Wergimog.B は、ライバルの脅威の名前とシグネチャをリストに持ち、同じコンピュータ上にそれらの脅威が存在するかどうかを調べます。標的となっているのは、以下の脅威です。 <ul> <li>DarkComet</li> <li>IRCBot</li> <li>Metus</li> <li>RXBot</li> <li>Warbot</li> <li>xvisceral</li> </ul> ライバルの脅威の名前とそれに対応するシグネチャを以下の図に示します。   <img src="/connect/imagebrowser/view/image/2259251/_original" alt="" src="/connect/imagebrowser/view/image/2259251/_original" /> 図 3. 脅威の名前とそれに対応するシグネチャのペア   インジェクションに成功すると、ワームはコンピュータ上でネットワーク通信をフックします。次にシグネチャを確認し、ライバルの脅威を見つけた場合にはそのプロセスを終了させます。この機能に当たるのが次の図です。これは、IPS ソフトウェアの動作ときわめてよく似ています。   <img src="/connect/imagebrowser/view/image/2259271/_original" alt="" src="/connect/imagebrowser/view/image/2259271/_original" /> 図 4: Wergimog.B はライバルの脅威を見つけるとそのプロセスを終了させる   標的となっている脅威が広くまん延しているものであることを踏まえると、W32.Wergimog.B の作成者は他の脅威と一緒に駆除されてしまうのを回避しようとしているのかもしれません。悪質なネットワーク通信が増えると、脅威に感染していることをユーザーに気づかれてしまうからです。 ときとして、他の脅威の動作を停止しようとする機能を持ったマルウェアが確認されますが、一般的にはそういった機能はごく単純です。たとえば、特定のファイルパス、プロセス名、レジストリエントリをチェックするだけのものです。それに比べると、W32.Wergimog.B で使われている手法は万端と言えるでしょう。シグネチャはきわめて特殊な固有情報なので、ライバルの脅威を確実に停止させることができるからです。 しかも、元の W32.Wergimog にも .B 亜種にも UDP フラッド、SYN フラッド、Slowloris といったサービス拒否（DoS）攻撃の機能があります。Slowloris と呼ばれる DoS ツールは 2009 年にリリースされ、サーバーに大きな影響を及ぼしました。Slowloris の標的となるのは Apache 1.x と 2.x、そして一部の HTTP サーバーで、やや古くなった感はありますが依然として広く利用されています。W32.Wergimog の亜種も同じ手法を使っていますが、Slowloris ツールと W32.Wergimog の亜種の間にどのような関係があるのかはわかっていません。 これら 2 つの亜種が現れ始めたのは 2011 年の 4 月から 6 月の間であり、どちらも今年の 4 月まで活動が報告され続けていました。W32.Wergimog の亜種による感染を防ぐには、お使いのセキュリティ製品と OS を最新の状態に保ってください。シマンテックは、W32.Wergimog ワームの推移を引き続き監視していく予定です。   * 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、<a href="http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja">http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja</a> にアクセスしてください。 Security Security Response Endpoint Protection (AntiVirus) Social Networking Service W32.Koobface W32.Wergimog W32.Wergimog.B Worm Mon, 21 May 2012 08:57:02 +0000 Takashi Katsuki 2260561 at http://www.symantec.com/connect Google Play 上の無料アプリに対して料金を請求するマルウェア http://www.symantec.com/connect/blogs/google-play <a href="http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2012-012709-2732-99">Android.Opfake</a> は、モバイルデバイスの所有者を騙して、少額ながらアプリの料金を支払わせようとするマルウェアです。そのために、Android デバイスからプレミアム SMS メッセージを送信するという手口を使っています。Android.Opfake は成長を続け、今やロシア語圏で相当数の Android ユーザーに影響を与えかねない脅威へと進化しています。インターネットをちょっと検索しただけでも、人気のあるアプリの専用サイトなど、さまざまなアプリを入手できるアプリマーケットを装ったサイトが何百と見つかります。こうしたサイトでホストされている Android.Opfake の中には、犠牲者を最初に引き込むときの手法も、詐欺に用いる手順も異なる亜種がいくつか存在しています。 最近でも、実に興味深い方法で処理を実行する亜種が確認されています。最終的な結果を見れば Android.Opfake が詐欺であることは明白ですが、デバイスの所有者を Google Play に誘導し、すでにインストールが済んでいるにもかかわらずアプリをインストールさせようとする手口です。この場合、アプリは専用のサイトにホストされていることも、偽アプリマーケットにホストされていることもありますが、これは Android.Opfake では一般的です。人気のあるアプリをホストしているサイトの一例を次に示します。   <img src="/connect/imagebrowser/view/image/2256841/_original" alt="" src="/connect/imagebrowser/view/image/2256841/_original" /> ダウンロードとインストールが終わってアプリを起動すると、再度インストールが実行されるように見えます。   <img src="/connect/imagebrowser/view/image/2256851/_original" alt="" src="/connect/imagebrowser/view/image/2256851/_original" /> もうインストールは済んだはずなのに、変ですね。このインストールが偽物に違いありません。 偽のインストールが完了すると、デバイスの所有者は使用許諾を確認してボタンをタップするように求められます。その使用許諾は、いったいどこにあるのでしょうか。確かに、画面の一番下まで進むとリンクがあります。そのリンク先を読むと、アプリの使用について料金が請求されると書かれていますが、それに気づくのは難しく、目にすることすらないかもしれません。   <img src="/connect/imagebrowser/view/image/2256861/_original" alt="" src="/connect/imagebrowser/view/image/2256861/_original" />   タップ可能なボタンは 1 つしかありませんから、それをタップしてみましょう。今度は、URL とボタンが 1 つだけの画面が表示されます。   <img src="/connect/imagebrowser/view/image/2256881/_original" alt="" src="/connect/imagebrowser/view/image/2256881/_original" /> このボタンをタップすると、次のような Web サイトが開きます。ページには多数のアプリが一覧されていますが、注目すべきなのは、ページの一番上にある最初の URL です。これは、Google Play 上にあって、すでにインストールされているはずのアプリの URL です。 <img src="/connect/imagebrowser/view/image/2256891/_original" alt="" src="/connect/imagebrowser/view/image/2256891/_original" /> このリンクを選択すると、確かに Google Play が開きます。このページのアプリのタイトルとアイコンをよく見ると、もともとインストールされていると思っていたアプリが Google Play では無料であることがわかります（信頼できないサイトからではなく、Google Play からダウンロードすることをお勧めします）。   <img src="/connect/imagebrowser/view/image/2256901/_original" alt="" src="/connect/imagebrowser/view/image/2256901/_original" />   この段階で、人によっては詐欺に引っかかってしまった可能性を考えるかもしれませんし、少なくとも何か変だとは思い始めるでしょう。プレミアム SMS メッセージは、偽インストールの時点ですでに（バックグラウンドで）送信されているので、詐欺に関してはもはや手遅れです。 Google Play 以外の場所にあるアプリは、信頼のできるサイトでだけインストールするようにして、アプリの出どころにかかわらず、インストール時の許可には注意してください。アプリで要求される許可に不審な点があれば、そのアプリはインストールしないようにしましょう。たとえば、今回取り上げたマルウェアは、悪質な活動を遂行するために、プレミアム SMS に関連する許可を利用します。通常、ゲームにそのような許可は必要ありません。最後になりますが、<a href="http://jp.norton.com/nms-top/promo">ノートンモバイルセキュリティ</a>などのセキュリティアプリケーションを使ってデバイスを保護することもお勧めします。   * 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、<a href="http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja">http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja</a> にアクセスしてください。 Security Security Response Endpoint Protection (AntiVirus) Android.Opfake Mon, 21 May 2012 03:00:05 +0000 Joji Hamada 2260291 at http://www.symantec.com/connect Worm Posts on SNS Sites and Wipes out Rivals http://www.symantec.com/connect/blogs/worm-posts-sns-sites-and-wipes-out-rivals <a href="http://www.symantec.com/security_response/writeup.jsp?docid=2012-031306-1802-99">W32.Wergimog</a> is a worm that attempts to spread through removable drives and opens a back door. When I looked into its variants, I found an interesting sample, which I named <a href="http://www.symantec.com/security_response/writeup.jsp?docid=2012-051704-2659-99">W32.Wergimog.B</a>. Both samples are based on the same source code, but the .B variant contains even more interesting functionality that I would like to detail here.   For legitimate applications W32.Wergimog.B injects itself into legitimate applications, such as Internet Explorer and Mozilla Firefox, as shown in Figure 1.   <img _cke_saved_src="/connect/imagebrowser/view/image/2259231/_original" alt="" src="/connect/imagebrowser/view/image/2259231/_original" style="width: 550px; height: 331px;" /> Figure 1. Threat injects itself into certain applications and then connects to the Internet   Once it confirms that the applications it has injected itself into have network connectivity, it performs the functions outlined below.   Posting on Social Networking Service (SNS) sites If a user connects to any of the following SNS sites, the worm is capable of modifying a chat message, status update, or Tweet: <ul> <li>Facebook Chat</li> <li>Facebook Wallpost</li> <li>Hi5 Status Update</li> <li>Hyves Status</li> <li>Linkedin Status Update</li> <li>Myspace Status Update</li> <li>Omegle Chat</li> <li>Tweet (Twitter)</li> </ul> Initially, the worm connects to the command-and-control (C&C) server to obtain the content that it posts to the SNS services. At present, we are unable to obtain these posts, but the posting command is called ‘spread’. It is likely, therefore, that the post contains a URL that points to a location where a user might download W32.Wergimog.B or some other malicious program. This is not the first threat to attempt to spread through SNS sites. <a href="http://www.symantec.com/security_response/writeup.jsp?docid=2008-080315-0217-99">W32.Koobface</a>, for example, also applied this approach. While there is an overlap in the sites that both of these worms use to spread, one distinction between the two is that unlike the Koobface family, W32.Wergimog.B does not make its own connection to the SNS servers by itself. Rather, it needs to wait for a user to make a new post and then the worm modifies it.   Account stealing Another function of the worm allows it to steal user account and password information if a compromised user logs in to any of the following sites: <ul> <li>fileserve.com</li> <li>hackforums.net</li> <li>hotfile.com</li> <li>megaupload.com</li> <li>thepiratebay.org</li> <li>uploading.com</li> </ul> It is interesting to note that some of the above sites are file sharing services. It is possible, therefore, that the stolen account information may be used to spread the worm through these download sites, thereby allowing it to spread even further.   Attack on rival threats An interesting feature of this worm is that it also injects itself into other threats, as shown in Figure 2.   <img _cke_saved_src="/connect/imagebrowser/view/image/2259241/_original" alt="" src="/connect/imagebrowser/view/image/2259241/_original" style="width: 550px; height: 325px;" /> Figure 2. Injects itself into rival threats   The worm contains lists of rival threat names and signatures to determine if the threats exist on the same computer. The following threats are targeted: <ul> <li>DarkComet</li> <li>IRCBot</li> <li>Metus</li> <li>RXBot</li> <li>Warbot</li> <li>xvisceral</li> </ul> The following image illustrates rival threat names and their corresponding signatures.   <img _cke_saved_src="/connect/imagebrowser/view/image/2259251/_original" alt="" src="/connect/imagebrowser/view/image/2259251/_original" style="width: 550px; height: 592px;" /> Figure 3. Threat names and corresponding signature “pairs”   After infection the worm hooks network communication on the computer. It then attempts to identify the signatures and end any processes of rival threats that it finds, as can be seen in the image below. This is very similar to how IPS software operates.   <img _cke_saved_src="/connect/imagebrowser/view/image/2259271/_original" alt="" src="/connect/imagebrowser/view/image/2259271/_original" style="width: 550px; height: 152px;" /> Figure 4. Wergimog.B kills processes of any rival threats that it finds   The targeted threats are very prevalent, so it may be that the W32.Wergimog.B author wants to avoid being removed along with these threats. This is because an increase in malicious network communications allows a user to be aware that an infection exists. Sometimes we see a function in a threat that attempts to end the operation of rival threats, but generally speaking such functionality is very simple. For example, checking for a specific file path, process name, or registry entry. Conversely, the method employed by W32.Wergimog.B is very reliable as the signatures are very specific and thus it can be sure of stopping the rival threats. In addition, both the original W32.Wergimog and the .B variant have three types of denial-of-service (DoS) attack vectors, which are UDP flooding, SYN flooding, and ‘Slowloris’. A DoS tool called Slowloris was released in 2009 and had a big impact on servers. It targets Apache 1.x, 2.x, and some HTTP servers. It’s a little old now but remains popular. W32.Wergimog variants use the same technique but we don’t know what the relationship is between the original tool and W32.Wergimog variants. These two variants started to appear between April and June 2011, and both of them have continued to be reported on until April of this year. To avoid infection by the W32.Wergimog variants, keep your security products and OS updated. We are continuing to watch out for developments of the W32.Wergimog worm. Security Security Response Endpoint Protection (AntiVirus) Social Networking Service W32.Koobface W32.Wergimog W32.Wergimog.B Worm Fri, 18 May 2012 21:24:20 +0000 Takashi Katsuki 2259181 at http://www.symantec.com/connect 419 Scammers Take Advantage of the Facebook IPO http://www.symantec.com/connect/blogs/419-scammers-take-advantage-facebook-ipo Today sees the highly-anticipated IPO (Initial Public Offering) of the social-networking site Facebook. The IPO is expected to be several times oversubscribed as the demand for shares greatly exceeds the number of shares being issued. The high-profile nature of this IPO has not escaped the attention of the “419” or the “advance fee fraud” scammers. As a brief reminder, these scams typically promise vast sums of money in exchange for assistance. However, before said sums of money can be received, several increasingly-inventive up-front charges and fees must be paid. The fees keep coming and the promised money never materializes. We recently spotted a 419 scam message offering a "FACEBOOK (IPO) SUBSCRIPTION PARTNERSHIP PROPOSAL". The use of an all uppercase heading is a common hallmark of such 419 scams. The scam claims to be sent from a finance firm with offices in multiple locations around the world. The exact nature of the scam is unclear. The scam mentions loaning money under "soft" or generous terms to buy Facebook stock or shares and then selling them back to the finance firm at a price higher than the original purchase price. The financial company claims to have offices in London, Hong Kong, and Dubai, yet the phone number included in the message is an answering service with a Sacramento, California phone number. The company's website claims that its registered office is in Cardiff, Wales. A final strong indication that this is a scam is the email address, which the scammer is soliciting replies to. It is an amateurish-looking address at a common free Web-based email provider. A legitimate company would almost certainly use an email address at its own domain, rather than using a free Web-based address. The email address and name in the "From" header of the message are also different to the email address and name used in the message body. <img src="/connect/imagebrowser/view/image/2257741/_original" alt="" src="/connect/imagebrowser/view/image/2257741/_original" /> Given the high profile nature of this IPO, we expect scammers to continue to take advantage of it in much the same way that they have taken advantage of previous news stories and events. As usual, when receiving any kind of financial offer, exercise extreme caution. Use companies registered with the appropriate regulatory bodies for your jurisdiction, and if in doubt, don't hand over any of your money. Symantec customers are protected against this and many other threats.   Security Security Response Endpoint Protection (AntiVirus) 419 scam facebook Fri, 18 May 2012 14:21:44 +0000 Nick Johnston 2257781 at http://www.symantec.com/connect 韓国のユーザーを狙うフィッシング攻撃 http://www.symantec.com/connect/blogs-264 共同執筆者: Avdhoot Patil フィッシング攻撃者は、さまざまな業種にわたり、また多くの言語を使って世界中でブランドを騙っています。2012 年 4 月以降、韓国語のフィッシング攻撃が勢いを増しており、英語以外の言語による全フィッシングサイトのうち 0.5% を占めています。なかでも増えているのが、韓国に拠点を置く銀行を狙った攻撃です。こうした攻撃の最大の動機は、おおかたのフィッシング攻撃と同様、金銭の詐取です。シマンテックが確認したフィッシングサイトの一部を以下に紹介します。 1 つ目の例では、ユーザーの名前、住民登録番号、携帯電話番号、銀行口座番号とそのパスワード、振込パスワードを入力するよう求められています。所定の情報を入力するとページがリダイレクトされ、セキュリティカードシリアル番号を入力するよう要求されます。そのうえで、フィッシングサイトは正規のサイトにリダイレクトされます。 <img src="/connect/imagebrowser/view/image/2255031/_original" alt="" src="/connect/imagebrowser/view/image/2255031/_original" /> 図 1: ユーザーの個人情報を求めるフィッシングサイト   <img src="/connect/imagebrowser/view/image/2255041/_original" alt="" src="/connect/imagebrowser/view/image/2255041/_original" /> 図 2. フィッシングサイトは、セキュリティカードシリアル番号を入力するページにリダイレクトされる   別のフィッシングサイトの場合、名前と住民登録番号を求められます。個人情報を入力するには、その前に利用規約を承諾する必要があります。必要な情報を入力すると、さらに詳しい情報を要求するページにリダイレクトされます。このページには、最初のページで入力した住民登録番号があらかじめ表示されています。その他の必要情報としては、引き落とし口座の番号、そのパスワード、振込パスワード、セキュリティカードシリアル番号、セキュリティカードのパスワードなどが要求されます。フィッシングサイトのホストは、米国と中国に置かれたサーバーでした。このようなフィッシングサイトに騙されたユーザーは、個人情報を盗まれてしまいます。 <img src="/connect/imagebrowser/view/image/2255051/_original" alt="" src="/connect/imagebrowser/view/image/2255051/_original" /> 図 3: 詳しい情報を入力する前に利用規約の承諾が必要   <img src="/connect/imagebrowser/view/image/2255061/_original" alt="" src="/connect/imagebrowser/view/image/2255061/_original" /> 図 4: さらに詳しい情報の入力が求められ、すでに入力した住民登録番号が自動的に表示される   フィッシング攻撃者は、頻繁に世界中から獲物を求めてさまよい、絶えず犠牲者を探しています。韓国語のフィッシングサイトが急増したことにも、そうした傾向は端的に表れています。 インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。 <ul> <li>電子メールメッセージ中の疑わしいリンクはクリックしない。</li> <li>電子メールに返信するときに個人情報を記述しない。</li> <li>ポップアップダイアログボックスやポップアップ画面に個人情報を入力しない。</li> <li>個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。</li> <li><a href="http://jp.norton.com/internet-security/">ノートンインターネットセキュリティ 2012</a> など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。</li> </ul>   * 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、<a href="http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja">http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja</a> にアクセスしてください。 Security Security Response Email Encryption Endpoint Encryption Endpoint Protection (AntiVirus) Hosted Mail Security Mail Security for Exchange/Domino Message Filter Messaging Gateway Symantec Protection Suites (SPS) Online Fraud phishing Spam Fri, 18 May 2012 09:53:19 +0000 Mathew Maniyara 2257211 at http://www.symantec.com/connect Andoid.Opfake の徹底調査 http://www.symantec.com/connect/blogs/andoidopfake <a href="http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2012-012709-2732-99">Android.Opfake</a> は、それが現在標的としている多くのモバイルプラットフォームよりも以前から存在し、かつて標的としていたいくつかのモバイルプラットフォームよりも長く存続しています。モバイル環境をめぐる脅威の世界で執拗に生き延びつづける性質を持ち、その姿は核戦争後の世界に生息するゴキブリさながらです。ブラックマーケットとの連携網を利用するビジネス手腕と、セキュリティベンダーによる予防策に短時間で対抗する能力とを併せ持つ Opfake は、何年間もこの世界を生き抜いてきただけではありません。今や Opfake 一族は、モバイルマルウェアの歴史そのものとさえ言えます。 これまでに発見されてきた多くのトロイの木馬と同様、Android.Opfake は正規のアプリケーションに偽装しています。実際シマンテックは、Web ブラウザ Opera のインストーラからポルノ動画に至るまで、実に多様なアプリやコンテンツに身を潜めた Opfake の亜種を多数確認しています。この悪質なプログラムの内部コードを解析すると、より真相に近いその本質が見えてきます。正規のアプリケーションではありえない、疑わしい機能がいくつも存在します。たとえば、自身の設定ファイルを暗号化している点などには、その動作を隠そうという意図が明白です。あるいは、デバイスから詳しい連絡先情報を収集する機能もありますが、これはまっ先に情報窃盗が疑われます。 こうした疑わしい動作などについては、最近のホワイトペーパー『<a href="http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/android_opfake_in_depth.pdf">Android.Opfake In-Depth</a>』（英語）で詳しく取り上げています。   * 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、<a href="http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja">http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja</a> にアクセスしてください。 Security Security Response Endpoint Protection (AntiVirus) Android.Opfake white paper Fri, 18 May 2012 09:18:57 +0000 Masaki Suenaga 2257161 at http://www.symantec.com/connect OSX.Flashback - ボットネットが利益を上げるための手口 http://www.symantec.com/connect/blogs/osxflashback <a href="http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2011-093016-1216-99">OSX.Flashback</a> ボットネットの解析を進めていくにつれ、この手のボットネットの収益性はかなり高いことが明らかになりつつあります。<a href="http://www.symantec.com/connect/blogs/osxflashbackk">以前の記事</a>では、感染したコンピュータ上で広告を表示することによって、OSX.Flashback が作成者の儲けにつながっていることを指摘しましたが、その後、この攻撃で表示された広告の件数と、その広告からもたらされた金額について、さらに具体的な実態がわかってきました。 シマンテックの解析によれば、4 月の最初からの 3 週間でこのボットネットは侵入先のコンピュータ上で 1,000 万件を超える広告を表示しましたが、実際にリンクをクリックして広告を目にしたユーザーはごく一部であり、およそ 400,000 件の広告がクリックされました。この 3 週間のクリック数から攻撃者は 14,000 ドルを稼いだことになりますが、稼ぐことと実際にその金額を手にすることは別であり、回収に至るまでの道のりはかなり困難です。PPC（ペイパークリック）プロバイダの多くは詐欺対策の手段を講じており、支払い前のアフィリエイト検証プロセスも実施しているからです。幸い、今回の攻撃者は受け取りに必要な手順を完了できなかったようです。 Flashback の広告クリック処理コンポーネントが実際にインストールされたのは、感染した 600,000 台以上のコンピュータのうち約 10,000 台にすぎないと推測されます。言い換えれば、ボットネット全体の 2 % たらずを利用するだけでも、攻撃者は 3 週間で 14,000 ドルを稼いだことになるわけで、もしボットネットすべてを利用できたとしたら、1 年間で何百万ドルという稼ぎになる可能性を秘めています。 この規模のボットネットを操る者にとって、選択肢はさまざまです。最近は、偽の広告を使って攻撃者の利益を生み出すボットネットが数多く登場しており、Flashback もまさにそのケースです。Flashback の運用者はボットネットを活用して偽の広告クリックにユーザーを誘導しています。<a href="http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E8%A9%90%E6%AC%BA">クリック詐欺</a>とも呼ばれる手口です。 シマンテックは、Flashback のコマンド & コントロール（C&C）サーバーから送信されるトラフィックを解析して、攻撃者が使うリダイレクトを追跡することに成功しました。感染したコンピュータは、ユーザーの入力した検索キーワードを攻撃者に渡します。攻撃者は各種の<a href="http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E5%A0%B1%E9%85%AC%E5%9E%8B%E5%BA%83%E5%91%8A">ペイパークリック（PPC）</a>サービスに接続し、PPC プロバイダからの広告を侵入先コンピュータにルーティングします。その過程で、PPC プロバイダからこの広告に対する報酬を受け取ります。 感染したコンピュータに送信されるトラフィックのパターンも特定できましたが、そこから、Flashback の運用者には PPC プロバイダについて多少の好みがあることもわかりました。実際、感染したコンピュータに送信されている広告の 98% 以上は、同じ PPC プロバイダから発信されていると見られます。このような場合、攻撃者は、ユーザーの目に触れなかった可能性がある広告、ユーザーが検索した内容とは無関係かもしれない広告に対して報酬を受け取るという形で、ユーザーと PPC プロバイダの両方をうまく利用していると言えます。   プロセス - 支払いを受け取るまで OSX.Flashback のボットマスターは、Google の検索結果を乗っ取り、独自の PPC 検索結果を表示してコンバージョンを達成させます。メインストリーム以外の PPC の分野で、最も利益につながっているのは医薬品、債務整理、自動車保険に関するキーワードです。一般的に、yarn（紡ぎ糸）、glue（接着剤）、silly putty（シリーパテ）といった検索頻度の低いキーワードは、安価で利用できますが、逆に得られる利益も大きくありません。 Flashback の作成者は、ユーザーが実際に検索したのとは違うキーワードに対して広告を送信する機会もあったはずですが、この手は使いませんでした。ユーザーが「toys（おもちゃ）」を検索すれば、玩具に関する広告が表示されます。これは、ペイパークリックプロバイダが実施している監査プログラムをすり抜けるためと思われます。たとえば Google で「toys」を検索すると、OSX.Flashback によって乗っ取られた結果が表示され、C&C サーバーはエンコードされた以下の URL を返信します。 <code>[http://][IP </code><code>アドレス</code><code>]/click.php?id=oilZLmquP5Xbg7U282f16g_6-uBw5r_xrTrfouhLHbOkwDfu0QZN4X21K6rK98QROh[</code><code>削除済み</code><code>]</code> この URL で、ユーザーは元の検索語「toys」に関連する以下の URL にリダイレクトされます。 <code>[http://][</code><code>削除済み</code><code>]search.net/?login=[</code><code>削除済み</code><code>]&search=toys</code> 感染したコンピュータの総数 600,000 台以上に比べれば、リダイレクトされるのはほんの一部ですが、それでも攻撃者は 3 週間で 1,000 万以上の広告を表示し、その間に 14,000 ドルを稼ぎ出したのです。最終的にペイロードをインストールさせる成功率が今より高ければ、この額はさらに大きくなるはずであり、攻撃者にとっては収益性の高いモデルとなります。ペイパークリック型のボットネットというアイデア自体は、Windows では数年前から確認されており、けっして新しいものではありませんが、Mac の市場シェアが高くなってくれば、Mac に関連する同類のボットネットは今後さらに増えてくるでしょう。   * 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、<a href="http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja">http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja</a> にアクセスしてください。 Security Security Response Endpoint Protection (AntiVirus) botnet click-fraud OSX.Flashback PPC Fri, 18 May 2012 05:15:32 +0000 Symantec Security Response 2256991 at http://www.symantec.com/connect Malware Charges a Fee for Free Apps on Google Play http://www.symantec.com/connect/blogs/malware-charges-fee-free-apps-google-play <a href="http://www.symantec.com/security_response/writeup.jsp?docid=2012-012709-2732-99">Android.Opfake</a> is malware used to scam mobile device owners into paying a small fee for apps by sending out premium-rate SMS messages from Android devices. It has continued to grow and evolve into a threat that potentially affects a large population of Russian-speaking Android device owners. A quick Internet search will show over a hundred sites, including dedicated sites for popular apps and other sites, pretending to be app market sites with various apps available. There are several variants of Android.Opfake hosted on these sites with different methods to lure victims there initially, and different steps involved in each scam. We recently came across one variant that carries out its actions in an interesting fashion. The end result makes it so obvious that Android.Opfake is fraudulent because it directs the device owner to Google Play to install the app even though installation had already happened. In this instance, the apps are hosted on dedicated sites as well as fake app markets—typical for Android.Opfake. Here is an example of one of these sites hosting a popular app:   <img src="/connect/imagebrowser/view/image/2256841/_original" alt="" src="/connect/imagebrowser/view/image/2256841/_original" /> After downloading, installing, and opening the app, an installation appears to run again:   <img src="/connect/imagebrowser/view/image/2256851/_original" alt="" src="/connect/imagebrowser/view/image/2256851/_original" /> That’s strange, we already installed the app; this installation must be fake. When the fake installation completes, the device owner is asked to confirm an agreement and continue by clicking a button. Where is this agreement, you may ask? There is actually a link at the bottom of the screen. If read, the agreements states the user will be charged for using the app. It's difficult to notice. You may not even see it:   <img src="/connect/imagebrowser/view/image/2256861/_original" alt="" src="/connect/imagebrowser/view/image/2256861/_original" />   Let’s press the only button available. We next see a screen that displays a URL and only one button again:   <img src="/connect/imagebrowser/view/image/2256881/_original" alt="" src="/connect/imagebrowser/view/image/2256881/_original" /> Pressing that button opens the website shown below. There are many apps listed on the page, but we want to take note of the first URL at the top of the page. This is the URL for the app on Google Play that is supposed to be installed already: <img src="/connect/imagebrowser/view/image/2256891/_original" alt="" src="/connect/imagebrowser/view/image/2256891/_original" /> Selecting this link does indeed open up Google Play, at least. If you take a close look at the title and the icon of the app on this page, you’ll notice the app we thought was originally installed is absolutely free on Google Play (where we recommend getting it from rather than from an untrusted site):   <img src="/connect/imagebrowser/view/image/2256901/_original" alt="" src="/connect/imagebrowser/view/image/2256901/_original" />   At this point, it might cross someone's mind that they had just become a victim of a scam or, at least, have a feeling there is something not right here. It’s a bit too late as far as the scam goes because the premium-rate SMS message has already been sent (in the background) during the fake installation. You should only install apps outside of Google Play from trusted sites. Always check permissions before installation, regardless of where the app is found. If you are not comfortable with some of the permissions requested by the app, do not install it. This particular malware takes advantage of SMS-related permissions, for instance, to perform malicious activities. Games usually should not require such permissions. Finally, protecting your device with a security app such as <a href="http://us.norton.com/norton-mobile-security/">Symantec’s Norton Mobile Security</a> is also recommended. Security Security Response Endpoint Protection (AntiVirus) Android.Opfake Fri, 18 May 2012 03:13:08 +0000 Joji Hamada 2256911 at http://www.symantec.com/connect Delving into Andoid.Opfake http://www.symantec.com/connect/blogs/delving-andoidopfake Pre-dating many of the mobile platforms it currently targets and outlasting several of the mobile platforms where it originated from, <a href="http://www.symantec.com/security_response/writeup.jsp?docid=2012-012709-2732-99">Android.Opfake</a> has a tendency for survival on the mobile threat landscape not unlike roaches in the aftermath of a nuclear holocaust. Combing business savvy through a strong black market affiliate network and quick reaction time to adapt itself to thwart efforts by security vendors, Opfake has not only managed to stay in business for several  years, the Opfake family has come to define the evolution of mobile malware. Like many traditional Trojan horses, on the surface Android.Opfake purports to be a legitimate application. In fact, we have observed several variants of the Trojan masquerading as various apps and content, including an installer for the Opera Web browser and a pornographic movie. Analysis of the code behind the malicious program, as ever, reveals a truer sense of its nature. Numerous suspicious functions exist in its functionality that would have no reasonable place in any legitimate application. For example, encryption of its own configuration files—doubtless an attempt to prevent its behavior from becoming too obvious. It also contains functionality to collect contact details from the device—behavior that immediately raises concerns about information-stealing. These suspicious activities and more are discussed in greater detail in a recent white paper, entitled <a href="http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/android_opfake_in_depth.pdf">Android.Opfake In-Depth</a>. Security Security Response Endpoint Protection (AntiVirus) Android.Opfake white paper Thu, 17 May 2012 18:14:13 +0000 Masaki Suenaga 2256451 at http://www.symantec.com/connect Temple Run も悪用する Android.Opfake の次の一手 http://www.symantec.com/connect/blogs/temple-run-androidopfake <a href="http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2012-012709-2732-99">Opfake</a> の攻撃者集団については、いろいろな呼び方ができそうですが、少なくとも彼らを「なまけ者」とは呼べません。私たちが暮らすこのデジタル時代にあって、彼らはソーシャルエンジニアリングというアナログな技術を新たな次元で駆使しています。最近も、人気ゲームタイトルの偽アプリを拡散する窓口として機能するダミーサイトをいくつも作り出しています。 フロントエンドのサイトはすべて中央のバックエンドサイトにリダイレクトされ、このバックエンドがファイルジェネレータまたはリポジトリとして機能します。これまでに確認されているフロントエンドのサイトの一部を挙げます。 <ul> <li>[http://]www.fruitninjaandroid-apk.ru</li> <li>[http://]www.flashplayerandroid-apk.ru</li> <li>[http://]www.cuttherope-android-apk.ru</li> <li>[http://]www.cuttherope-experiments-apk.ru</li> <li>[http://]www.cuttherope-apk.ru</li> <li>[http://]www.angrybirds-android-apk.ru</li> <li>[http://]www.jellydefense.ru</li> <li>[http://]www.templerun-android.ru</li> </ul>   <img src="/connect/imagebrowser/view/image/2254551/_original" alt="" src="/connect/imagebrowser/view/image/2254551/_original" />   正規のゲームであると信じ込ませるために、ゲームをプレイしているデバイスの実際のスクリーンショット画像が使われていることに注目してください。 アプリをインストールするときの許可の要求には常に注意を払ってください。怪しい場合は、開発者の Web サイトで公式のダウンロードリンクを確認するようにしましょう。次回の私のブログでは、「イビルツイン手法で狙われた Android アプリ: パート 2」と題して、偽アプリで使われている典型的な手口と、それを回避する方法を紹介する予定です。   * 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、<a href="http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja">http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja</a> にアクセスしてください。 Security Security Response Endpoint Protection (AntiVirus) Android.Opfake games Thu, 17 May 2012 06:44:57 +0000 Irfan Asrar 2255171 at http://www.symantec.com/connect