Video Screencast Help
Security Response

Android.Sumzand の最新の亜種、「サンチャージ」による大量スパム攻撃が継続中

Created: 18 Sep 2012 08:34:22 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

Android.Sumzand は、現在日本で最も活発な活動が確認されているマルウェアのひとつですが、最近になって「サンチャージ」というアプリに姿を変えました。この一連の亜種はスパムを通じて宣伝されており、ディスプレイ面を太陽に向けておけばモバイルデバイスを充電できるアプリという謳い文句で、多くのユーザーから連絡先情報を盗み出すことに成功しています。デバイスに格納されている大量のデータを集める一方、詐欺師はここで集めた電子メールアドレスに宛てて偽アプリのスパム広告をさらに大量に送信しています。スパムの受信者数は、日を追うごとに指数関数的に急増しています。

このスパム攻撃はかなり大規模に広がってきたため、インターネット上のフォーラムやソーシャルネットワーキングサイトでも盛んに議論が続いています。こんな手口に引っかかる利用者がいるのかと疑問を示すユーザーもいれば、今まで一度もスパムを受け取ったことがなく、なぜ急にスパムが届くようになったのかと困惑しているユーザーもいます。なかには、このアプリが売り文句どおりに動作しないと憤慨しているユーザーも少数ながらいますが、詐欺師の立場からすれば、アプリはきちんとその役目を果たしているのです。つまり、バックグラウンドで個人データを盗み出すという動作です。

悪評を避けるために、詐欺師は定期的にアプリを変更し、その存在が目立たないように工夫しています。「サンチャージ」は、8 月初めに存在が確認されて以来 4 番目の亜種ですが、今回はその変更に手抜きがありました。手を抜いたのか、単に忙しすぎて体裁を整える時間とリソースが足りなかったのかもしれません。あるいは、この攻撃を開始したとき、そのスケールの大きさに自分たちが気づいていなかった可能性もあります。

スパムとして送信される電子メールの内容は、アプリ名とダウンロード用に記載されている URL を除けば、どの亜種もほとんど変わりありません。送信者のメールアドレスは常に変更されていますが、いずれも一般的に知られているドメインから送信されているようです。最新のサンプルを以下に示します。

アプリをホストしているホームページも、初期バージョンを除いてすべてほぼ同一です。

アプリのアイコンこそ大きく変わっていますが、アプリ自体は一貫して同じままです。コードに記載されている、連絡先情報をアップロードするための URL と、言うまでもありませんが、アプリ名が違っているだけです。実行すると、4 つのどのアプリでもソーラーパネルの画面が表示されます。充電しているように見えるのは一瞬だけで、すぐに、このアプリはデバイスに対応していないというメッセージがポップアップ表示されます。注意が必要なのは、見かけも機能もこの 4 つのアプリと酷似している「Solar Charger」というジョークアプリが存在していることです。詐欺師がこのジョークアプリからアイデアと画像を盗用して不正アプリを作ったことは、ほぼ間違いありません。

興味深いことに、詐欺師は検出をすり抜けることにはあまり関心がないようです。少なくともシマンテック製品に対しては無警戒で、シマンテックは不正なこの「サンチャージ」アプリを未然に検出しました。

詐欺師グループは変更を続けていますが、基本的には名前とアイコンを変えるだけにとどまっています。アプリをホストしているサイトも変わりますが、それ以外は同一です。送信者不明の電子メール、特にアプリを宣伝するメールには注意してください。送信者が不明な場合は、たとえ見たことのあるドメインであってもやはり警戒が必要です。手口はいつでも変わる場合があるので、その点に用心する必要があります。今回のブログでは取り上げていませんが、Android.Sumzand の亜種として、女優の沢尻エリカさんの無料ビデオが観られると称する偽アプリも確認されています。このアプリの宣伝に使われている電子メールの内容は、今回取り上げた 4 つのアプリとはまったく異なっています。ほかにも、これに類似した詐欺行為が確認されているので、注意してください。各種の悪質なアプリに対抗するために、Symantec Mobile Securityノートン モバイルセキュリティなどのセキュリティソフトウェアをインストールすることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。