Security Response

現地時間の 5 月 18 日、ソーシャルネットワークサイトの Facebook は待望の IPO（新規株式公開）を果たしました。株式の需要が発行株数を大幅に上回っていたので、この IPO は応募超過になるとたびたび予測されていました。

これほど注目を集めている IPO が、いわゆるナイジェリアの手紙詐欺や「419」詐欺といった先払い詐欺を狙う犯罪者の目にとまらないはずがありません。簡単に再確認しておくと、この種の詐欺は何らかの支援を要請し、その見返りとして莫大な資金を約束するというのが常套手段です。ただし、約束された金額を受け取るためには、あの手この手で求められる料金や手数料を前払いしなければなりません。請求は続きますが、約束された資金が現実化することは決してありません。

シマンテックは最近、「FACEBOOK (IPO) SUBSCRIPTION PARTNERSHIP PROPOSAL（Facebook の IPO 共同購入のご案内）」と称した 419 詐欺を確認しました。見出しをすべて大文字で書くのは、この手の 419 詐欺でおなじみの特徴です。

メッセージでは世界中にいくつもの拠点を持つ金融会社から送信していると謳っていますが、詐欺の真意は不明です。詐欺の本文では、「ソフトな」つまり条件のゆるい貸し付けを受けて Facebook 株を購入し、元の購入額より高い価格で金融会社に売り戻すという方法が紹介されています。

この金融会社はロンドン、香港、ドバイにオフィスを構えているとも書かれていますが、メッセージの本文に書かれた電話番号は、カリフォルニア州サクラメントにある電話応答代行サービスのもので、この会社の Web サイトを見ると、その登録オフィスはウェールズのカーディフにあります。

これが詐欺であることの最大の証拠は、返信を促しているその宛先のメールアドレスです。Web ベースの無料メールプロバイダによくある、まるで素人のようなアドレスです。正規の企業であれば、無料 Web メールのアドレスなどではなく、独自ドメインのメールアドレスを使うのが普通でしょう。メッセージの「差出人」ヘッダーに書かれたメールアドレスと名前も、メッセージ本文で使われているアドレスや名前と一致していません。...

Android.Opfake は、モバイルデバイスの所有者を騙して、少額ながらアプリの料金を支払わせようとするマルウェアです。そのために、Android デバイスからプレミアム SMS メッセージを送信するという手口を使っています。Android.Opfake は成長を続け、今やロシア語圏で相当数の Android ユーザーに影響を与えかねない脅威へと進化しています。インターネットをちょっと検索しただけでも、人気のあるアプリの専用サイトなど、さまざまなアプリを入手できるアプリマーケットを装ったサイトが何百と見つかります。こうしたサイトでホストされている Android.Opfake の中には、犠牲者を最初に引き込むときの手法も、詐欺に用いる手順も異なる亜種がいくつか存在しています。

最近でも、実に興味深い方法で処理を実行する亜種が確認されています。最終的な結果を見れば Android.Opfake が詐欺であることは明白ですが、デバイスの所有者を Google Play に誘導し、すでにインストールが済んでいるにもかかわらずアプリをインストールさせようとする手口です。この場合、アプリは専用のサイトにホストされていることも、偽アプリマーケットにホストされていることもありますが、これは Android.Opfake では一般的です。人気のあるアプリをホストしているサイトの一例を次に示します。
 

ダウンロードとインストールが終わってアプリを起動すると、再度インストールが実行されるように見えます。
 

...

Today sees the highly-anticipated IPO (Initial Public Offering) of the social-networking site Facebook. The IPO is expected to be several times oversubscribed as the demand for shares greatly exceeds the number of shares being issued.

The high-profile nature of this IPO has not escaped the attention of the “419” or the “advance fee fraud” scammers. As a brief reminder, these scams typically promise vast sums of money in exchange for assistance. However, before said sums of money can be received, several increasingly-inventive up-front charges and fees must be paid. The fees keep coming and the promised money never materializes.

We recently spotted a 419 scam message offering a "FACEBOOK (IPO) SUBSCRIPTION PARTNERSHIP PROPOSAL". The use of an all uppercase heading is a common hallmark of such 419 scams.

The scam claims to be sent from a finance firm with offices in multiple locations around the world. The exact nature of the...

Android.Opfake は、それが現在標的としている多くのモバイルプラットフォームよりも以前から存在し、かつて標的としていたいくつかのモバイルプラットフォームよりも長く存続しています。モバイル環境をめぐる脅威の世界で執拗に生き延びつづける性質を持ち、その姿は核戦争後の世界に生息するゴキブリさながらです。ブラックマーケットとの連携網を利用するビジネス手腕と、セキュリティベンダーによる予防策に短時間で対抗する能力とを併せ持つ Opfake は、何年間もこの世界を生き抜いてきただけではありません。今や Opfake 一族は、モバイルマルウェアの歴史そのものとさえ言えます。

これまでに発見されてきた多くのトロイの木馬と同様、Android.Opfake は正規のアプリケーションに偽装しています。実際シマンテックは、Web ブラウザ Opera のインストーラからポルノ動画に至るまで、実に多様なアプリやコンテンツに身を潜めた Opfake の亜種を多数確認しています。この悪質なプログラムの内部コードを解析すると、より真相に近いその本質が見えてきます。正規のアプリケーションではありえない、疑わしい機能がいくつも存在します。たとえば、自身の設定ファイルを暗号化している点などには、その動作を隠そうという意図が明白です。あるいは、デバイスから詳しい連絡先情報を収集する機能もありますが、これはまっ先に情報窃盗が疑われます。

こうした疑わしい動作などについては、最近のホワイトペーパー『Android.Opfake In-Depth』（英語）で詳しく取り上げています。

* 日本語版セキュリティレスポンスブログの RSS...