Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DNS改ざん誘導先アプリは正規版のリパック - 26日以降に150件以上のアクセス

ルータのDNS設定を書き換え、不正なスマートフォンアプリの配布サイトに誘導する攻撃が確認されているが、ダウンロードさせる不正アプリに正規アプリを改造した「リパックアプリ」が含まれていることが明らかになった。

20180329_tm_001.jpg
リパックアプリがインストール時に要求する権限(画像:トレンドマイクロ)

トレンドマイクロが分析結果を明らかにしたもの。

3月29日の時点でダウンロード先のサイトにはアクセスできない状態だが、同社クラウド基盤による統計より、3月26日以降、配布サイトへ少なく150件以上のアクセスが行われていたことが判明しているという。

同社が問題の「APKファイル」を確認したところ、Facebookが正規に提供するアプリ「Facebook 拡張ツールバッグ」のファイル「com.facebook.katana」に攻撃者が不正なコードを追加し、「リパック」したアプリであることが判明。

同不正アプリは、インストール後に起動するとデバイス管理者の権限を要求、Googleのアカウント情報をだまし取ることから、同社では情報窃取型マルウエア「AndroidOS_SmsSpy」として対処した。

(Security NEXT - 2018/03/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

ルータのDNS改ざん攻撃、狙いはアジア圏? - 誘導元は韓国が最多
一部「無線LANルータ」でDNS設定の改ざん被害 - 誘導先でマルウェア配布
WatchGuard、Percipient Networksを買収 - DNSによる遮断機能を取得
真庭市のサーバに不正アクセス - 「OpenSSL」の脆弱性が標的に
米Akamai、悪意あるドメインへの接続防ぐソリューション
JPCERT/CC、サイバー攻撃グループが登録した偽ドメインの奪還に成功 - 対策ノウハウも
カスペルスキー、ITインフラ全体の情報から攻撃を検知するソリューション
国内のオープンリゾルバを踏み台にしたDNS水責め攻撃が再開 - JPCERT/CCが観測
フィッシング対策協議会、サイト改ざんについて中間報告 - 原因特定できず
9月後半からDNS水責め攻撃が再開 - JPCERT/CCが観測