Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Mobile & Wireless remove filter
Irfan Asrar | 10 Jan 2012 | 0 comments

2011 年は、スマートフォンに移行する消費者の数が急増したこともあって、モバイル環境に大きな変化が見られた年でした。こうした状況が犯罪者集団の目にとまらないはずはなく、攻撃者たちの意識はモバイル向けのマルウェアに向くようになっています。しかし、この傾向がただの小手調べの段階から、実際に深刻な影響を及ぼす段階に進み、Windows に対する脅威に匹敵するほどの規模になるかどうかは、依然として予断を許しません。先週の活動状況を指標にして言うと、2012 年は注目に値するスタートを切ったと言えます。シマンテックは新しい詐欺を確認しましたが、今回はフランスの Android ユーザーを標的として、Carrier IQ をめぐる騒動を悪用しようとするものでした。

シマンテックの解析によると、Android.Qicsomos は、デバイス上で Carrier IQ を検出するために開発されているオープンソースプロジェクトを改変したバージョンであり、プレミアム SMS 番号に発信するコードが追加されています。このマルウェアがインストールされると、ヨーロッパの大手通信業者のロゴに酷似したアイコンがメニューに表示されます。このマルウェアの拡散にソーシャルエンジニアリングの経路が使われているのではないかとシマンテックが判断するに至ったのは、Android マーケットにこのマルウェアの痕跡が見つからないことに加えて、このロゴが理由です。たとえば、正規の通信業者を装ったスパムやフィッシング手法によってソフトウェアのダウンロードと実行を促している可能性があります。

悪質なコードが実行されるのは、アプリケーション内の[Désinstaller](アンインストール)と書かれたボタンをタップしたときです。このボタンをタップすると、4 つの SMS メッセージがプレミアム番号の...

Irfan Asrar | 10 Jan 2012 | 0 comments

2011 has seen some dramatic changes in the mobile landscape, with the ever-increasing growth rates in consumer adoption of smart phones. This has not gone on without getting the attention of the criminal fraternity, which has turned its attention to mobile malware. But what remains to be seen is if this trend moves beyond the stage of testing the waters to actually making a significant impact, reaching the scales we associate with threats for Windows. If the activities of the past week are any indicator, then 2012 is off to an interesting start. Another scam has come to our attention, this time targeting Android users in France, attempting to exploit the frenzy surrounding Carrier IQ.

From our analysis, Android.Qicsomos is a modified version of an open source project meant to detect Carrier IQ on a device, with additional code to dial a premium SMS number. On installation,...

Irfan Asrar | 04 Aug 2011 | 0 comments

権限のない音声録音の実行または送信を伴う脅威は新しい概念ではありませんが、大部分は概念を実証するためのデモと大学の卒業研究に限定されていました。この脅威は、脅威の情勢の様相を大きく変えることは言うまでもなく、情報漏えい防止やモバイルの脅威など、セキュリティの多くの側面に関連しているため、研究者の興味を大いに引き付けています。また、以前のブログに投稿した内容でもあります。したがって、1 週間以上前に発見した Android の脅威と、録音された音声会話をリモートサーバーにアップロードできるかどうかについての問い合わせをいくつか受けたとき、Android.Nickispy についてもう一度見直すことにしました。

このアプリケーションは、中国の複数のサイトで入手できます。大切な人の通話や居場所を追跡することで、不貞の疑いを裏付けるためのソリューションとして、懸念を持つユーザーに宣伝されてきました。このアプリケーションを他人のスマートフォンにインストールすることはないとは言い切れないわけですが、作成者が目的を明確に示していたため、インストールした人がどのような意図だったかは明白です。もっとも、インストールが完了すると、アプリケーションは Speech Recorder というアイコンとして表示されるため、ユーザーにはっきりと見えます。

アプリケーションが録音された音声会話をリモートサーバーにアップロードするという報告が複数あるにもかかわらず、シマンテックの分析ではそのような機能が見つかりませんでした。通話は録音できますが、...

Irfan Asrar | 03 Aug 2011 | 0 comments

Threats making or transmitting unauthorized audio recordings are not a new concept, though they have largely been limited to proof-of-concept demonstrations and final-year university projects. This is a vector that generates a lot of intrigue from researchers, as it pertains to many facets in security, such as data loss prevention and mobile threats, not to mention the changing face of the threat landscape. It is also something we have blogged about previously. Thus, when we received several inquiries about an Android threat we discovered over a week ago, and its ability to upload recorded voice conversations to a remote sever, I decided to take a second look at the threat Android.Nickispy.

This app was available on...

Irfan Asrar | 20 Jul 2011 | 0 comments

インターネットを検索すると、過去数年、その年が「モバイルマルウェアの年」になると明言していた記事が多く見つかります。逆に言えば、それ以外の年はモバイルマルウェアの年になりえないということです。さらに、この検索結果は 10 年近く前までさかのぼったものです。このような予言的な文句が大胆かつ挑戦的である理由は、大抵の場合において、その記事が年初に書かれているからかもしれません。年初には、誰にもその年に何が起こるかわからないわけですから。

 
しかし、2011 年が本当の「モバイルマルウェアの年」になるかどうかを考えた場合、ここ数週間で起こった出来事だけを見ても、今年になってモバイル脅威の傾向に対して大きな変動があったという事実を十分に正当化できると思います。
 
 types and targets
図 1 ‐ 2011 年のモバイルマルウェア: 種類と標的
 
はっきりとわかることは、脅威の作成者の取り組みがさらに戦略的で大胆になってきているということです。モバイルマルウェアの感染経路を複雑化しようとする試みは増加傾向にあり、単に脅威をアンインストールするだけでは対応できないところまできています。
 
複数のペイロード
 
その戦略のひとつに、悪質なパッケージを段階的なペイロードに分割するというものがあります。アイデアは単純です。攻撃する際、1 つのペイロードに悪質なコードの全部を追加せずに、個別に送信できるように脅威を分割したモジュールにします。このように脅威を展開すると、さまざまな利点があります。まず、脅威をインストールするときに出現する膨大で過剰な許可リストの警告を排除できます。この警告によって、ユーザーは悪質なアプリがインストールされようとしていることを知ることができます。次に、...
Irfan Asrar | 18 Jul 2011 | 0 comments

A quick online search would reveal a number of articles declaring any one of the last few years as being the “year of mobile malware.” Conversely, these searches also reveal claims that the same years are not going to be the year of mobile malware. These search results go back as far as the early part of the decade. The contradictory nature of these bold predictive headlines could be explained by the fact that the articles are typically written at the beginning of each year—and who knows what the year may hold at the outset?

But, if the criteria to qualify 2011 as the real "year of mobile malware" was to be challenged, then surely the events of the past few weeks alone should be enough to justify the fact that this year truly has seen considerable seismic activity that has shifted the tectonic plates of the mobile threat landscape.
 
...
Mathew Maniyara | 07 Jul 2011 | 0 comments

携帯電話の技術は日進月歩で発達していますが、フィッシング攻撃者も携帯電話の利用に伴う脆弱性を悪用する手口を日々模索しています。この傾向が目立つのは大きく言って次の 2 つの点で、第 1 はワイヤレスアプリケーションプロトコル(WAP)のページを狙ったフィッシング、第 2 は携帯端末用に登録されているドメイン名の危殆化を利用することです。

携帯電話や WAP ページ用に、多くの正規の企業が Web サイトを設計しています。WAP ページと通常の Web ページとの違いは、WAP ではファイルサイズが縮小され、グラフィックも最小限に抑えられているという点です。これは、携帯電話の互換性のためであるとともに、ユーザーが移動中のブラウジング速度の高速化を達成するためでもあります。シマンテックでは、こうした Web ページを詐称するフィッシングサイトを記録し、その傾向を監視しています。6 月には、このようなフィッシングサイトで、ソーシャルネットワークや情報サービスのブランドも利用されていました。以下に示すサンプルは、ユーザーのログイン情報を入力するフォームしかないフィッシングページの例です(携帯電話向けの典型的なデザインです)。要求されている情報をユーザーが入力すると、正規のブランドの WAP ページにリダイレクトされます。この場合のフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

携帯電話からアクセスする Web サイトで使われるドメイン名では、.mobi という最上位ドメインが一般的です。これらのドメイン名が侵入を受け、複数のフィッシングのホストとして利用されています。過去 6 カ月間で見ると、こうしたフィッシングサイトのおよそ 65% が銀行関係のブランドを詐称し、19% が電子商取引関連、残りが ISP、ソーシャルネットワーク、情報サービス部門を詐称していました。

フィッシング攻撃における最大の動機が個人情報の盗難であることは変わりません。携帯電話ユーザーを標的とするのも、...

Mathew Maniyara | 06 Jul 2011 | 0 comments

Technologies in cell phones are advancing day after day, and so phishers are also seeking various means to exploit vulnerable cell phone users. The two key areas in which we can see this trend are, firstly, the increase in phishing against wireless application protocol (WAP) pages, and secondly, the use of compromised domain names that have been registered for mobile devices.

Many legitimate brands have designed their websites for cell phones or WAP pages. The difference between a WAP page and a regular Web page is that the WAP page uses reduced file sizes and minimal graphics. This is done for cell phone compatibility and also to achieve higher browsing speeds while the user is on the move. Symantec has recorded phishing sites spoofing such Web pages and has monitored the trend. In June, social networking and information services brands were observed in these phishing sites. In the example shown below, the phishing page consists of nothing more than a form asking for users...

Mario Ballano | 29 Jun 2011 | 0 comments

シマンテックでは、最初に出現して以来一貫して Android の脅威を監視し、その解析と分類の方法を模索するとともに、遠からず利用されると予想される感染経路にも注目してきました。Android アプリケーションが、インストールされている他のアプリケーションを悪用して個人情報を盗み出したり悪質なコードを実行したりする経緯も、いくつかの調査で明らかになりました。なかでも、私たちが発見したのは、Windows DLL Hijacking と似たものでした。今回お話ししているのは、Android 自体の脆弱性ではなく、アプリケーション固有の問題であることにご注意ください。Google の Android マーケットプレイスでは、この攻撃を受けやすいアプリケーションが複数見つかっており、そのアプリケーションの開発者にはその旨が通達されています。

Android では、アプリケーションがコードを動的にロードして実行するための API が公開されています。たとえば、ダウンロードしておき、後からロードするプラグインがサポートされているアプリケーションもあります。残念なことに、このようなプラグインが安全でない場所に保存されていると、このプロセスが乗っ取られ、個人データへのアクセスを許したり、悪質なアプリケーションによって任意のコードが実行されたりします。追加のコードのロードを許すクラスは、次の 2 つです。

  パブリックコンストラクタ

 

 

...

Mario Ballano | 29 Jun 2011 | 0 comments

We have been taking a close look at Android threats since they first appeared, looking for ways to analyze and classify them, as well as looking at possible attack vectors they may use in the near future. Some of our research has uncovered how Android applications could potentially exploit other installed applications to steal their private information or execute malicious code. In particular, we came across something that resembles Windows DLL Hijacking. Bear in mind that we are not talking about Android vulnerabilities per se, but application-specific issues. We found a few applications in the Google Android Marketplace that were susceptible to this attack and have notified the application developers accordingly.

Android provides APIs that allow an application to dynamically load code to be executed. For example, an application may support plug-ins that are downloaded and then loaded at a later time. Unfortunately...