is702
ニュース

ルータを改ざんし、Facebookの偽アプリに誘導する攻撃が発生中

2018/03/30

トレンドマイクロは3月29日、公式ブログで「不正アプリをダウンロードさせるルータのDNS設定書き換え攻撃が発生」と題する記事を公開しました。ルータの設定を書き換え、接続した端末を不正サイトに誘導する攻撃が、3月中旬ころから確認されているとのことです。

この攻撃では、まずルータに侵入し、設定されている「DNS」(Domain Name System、ドメイン名の管理簿)を書き変えます。DNSを改ざんされてしまうと、正しい手順でWebサイトにアクセスしようとしても、異なるサイトに誘導されてしまいます。あるいはインターネット接続そのものが不可能になります。

今回の攻撃では、Android端末でWebにアクセスすると、「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」というメッセージが表示されるようになりました。この表示に従ってOKボタンを押してしまうと、Android向け不正アプリ(APKファイル)がインストールされます。

トレンドマイクロの解析によれば、このアプリの正体は、情報窃取型の不正アプリ「AndroidOS_SmsSpy」でした。またAPKファイルは、Facebookの正規アプリ「com.facebook.katana」をリパックして作られていました。なお不正に設定されたDNSサーバ、不正アプリのダウンロードサイトは、台湾のホストに構築されていることも判明しています。ダウンロードページは、ハングル語・中国語(繁体字、簡体字)・日本語・英語に対応しており、特にアジア圏を狙った攻撃だと推測されます。トレンドマイクロSPNによる統計では、誘導先の不正サイトのIPに対し、3月26日以降だけで150件以上のアクセスが確認されました。

一般利用者は、ルータのファームウェアを常に最新にすること、初期設定のパスワードや簡単なパスワードは使用しないことが大切です。インターネット側からの管理機能へのアクセスが不要な場合には、LAN側からのみアクセスできるよう設定することも重要です。




Android OSで今回確認された攻撃で誘導される不正サイトにアクセスした場合の表示例<br />

Android OSで今回確認された攻撃で誘導される不正サイトにアクセスした場合の表示例


  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ