偽のサイトで不正なアプリをインストールされてしまう
【この記事はIT系ライター M氏 が書きました】
佐川急便の荷物の不在通知を装ったSMS(ショートメッセージサービス)に記載されているURLから偽のサイトにユーザーを誘導され、 端末のIMEI(端末識別番号)や電話番号などの情報を不正に取得するアプリをインストールしてしまう被害者が増えています。
不安を煽り偽サイトへ誘導
まるで本物?佐川急便の偽サイト
SMSから誘導される佐川急便の偽サイトですが同社のCMに起用されている俳優の織田裕二さんのイメージ画像が表示されたり、同社のロゴが使用されるなど非常に手の込んだ作りになっています。
偽サイトのドメインは「gnway.cc」で本物のサイトの「co.jp」とは異なりますが、スマートフォンの小さな画面では判別が難しく、年配の方やスマートフォンの操作に不慣れな方には特に注意が必要です。
本物のサイトによく似せた作りになっていますが、「貨物追跡サービス」の赤い部分に本来存在しない「貨物追跡」ボタンがあります。実際にはこの偽サイト内のリンクはどれをタップしても偽アプリの「sagawa.apk」がインストールされる仕組みです。
さらに偽サイト下部に「インストール方法」と記載してあるのは、「Android端末に提供元不明のアプリのインストール許可する手順」です。
インストールの最中には連絡先の読み取りやSMS受信・送信の権限を要求する挙動をします。
本来、標準設定のAndroid端末には公式アプリストア以外のアプリをインストールできないようになっています。ダウンロードやインストールを行う場合は警告が表示されます。一部、ソーシャルゲーム等は運営会社の販売サイトを経由するため、この警告をスキップしてインストールを行うものがあります。
こういった経験がある方は注意がつい甘くなってしまいがちですので特にご注意ください。
メール内のURLは「http://setting-●●●●.online/」、転送先は「http://setting-appleid-●●●●.com/」となっており、 リンク先のページは過去にも見られたように、Appleのサイトに非常に良く似た巧妙な作りになっています。
インストール完了してしまうと様々な不正活動が・・。
インストール完了時にはユーザーの注意を逸らすべく、本物の佐川急便サイトを表示します。
またホーム画面にアイコンを作ったりはしません。自身の存在は隠し、表面上不都合が起きていないようにふるまいます。
実際にはこの偽アプリはバックドア型と呼ばれる不正アプリで攻撃者が遠隔操作に使用する不正サーバーに対して感染端末の情報を送信したり、攻撃者の指令により様々な不正活動を行ったりします。
不正サーバーに対して送信されてしまう感染端末の情報
・携帯電話番号
・端末 ID
・使用 SDK バージョン
・製造者情報
・ブルートゥース上の表示名
・自身の感染日時
・自身の端末管理者権限の有無
・画面ロックの有無
・国内の主要キャリア(ソフトバンク、ドコモ、au)製アプリのインストール有無
攻撃者が遠隔で実行可能な不正行動
・画面をロックし、パスワードを「778877」にリセットする
・端末の管理者権限を得る
・「連絡先」の情報を収集し、外部にアップロードする
・SMS や MMS の内容を取得し、外部にアップロードする
・他の不正アプリをダウンロードする
・既にインストールされている正規アプリをアンインストールし、他の不正アプリと置き換える
・音量とミュートの操作
・ファイルの削除
これらの情報・遠隔操作を組み合わせた場合、画面ロックを行って端末を使用不可にしたり、連絡先やSMSの情報を入手、他の不正ソフトをインストールするといったことが可能になります。
また、それらを組み合わせた端末ロック解除が条件の身代金要求型の攻撃も想定されます。
攻撃者が遠隔で実行可能な不正行動
偽サイトへの誘導と不正アプリのインストールをしようとする手口は日々、巧妙化しています。
今回のSMSを利用した以外にも、不正なURLが記載されたメールが届くケースも多いです。
また、こういった実在する大手企業になりすます手口はすぐに別の会社名で模倣される場合が多いです。
佐川急便以外の宅配業者を装った不正なSMSが発信される可能性があることを心に留めておく必要があるでしょう。
すでにAmazonや楽天カードを装った不正SMSが確認されています。
メールやSMS内のURLはリンク先のアドレス確認し、本文に不自然な日本語表現が使われていないか、という点も併せて確認する習慣をつけるようにしましょう。
いろいろと忙しい社会で普段から通信販売等で宅配便をよく利用する方は特に注意が必要ですね。
参考リンク
佐川急便 迷惑メール注意喚起ページ http://www2.sagawa-exp.co.jp/whatsnew/detail/721/