is702
ニュース

ルータのDNS書き換えで侵入する不正アプリ、個人情報を窃取

2018/05/07

トレンドマイクロは4月24日、公式ブログで「DNS設定書き換え攻撃によって拡散するAndroid端末向け不正アプリ『XLOADER』を確認」と題する記事を公開しました。3月上旬以降、日本・韓国・中国・台湾・香港で流行しているサイバー攻撃「DNSキャッシュポイズニング」(別称DNSスプーフィング)で拡散している不正アプリ「XLOADER(エックスローダ)」について解説しています。

「DNSキャッシュポイズニング」は、総当たり攻撃や辞書攻撃のような手法を利用してルータ(DNSサーバ機能を持つ製品)に侵入し、設定を書き換える攻撃です。設定が書き換えられたルータを経由すると、正規のサイトにアクセスしようとしても、不正サイトに誘導されてしまいます。

不正サイトは、アクセスしてきたAndroid端末に対して、FacebookアプリまたはChromeアプリに見せかけて、不正アプリ「XLOADER」をインストールしようとします。XLOADERは、個人情報や金融機関情報、アプリ一覧情報等を盗み取ります。さらにSMSを送信したり、管理者権限を利用して設定の変更を防いだりする機能を持っています。

XLOADERは端末にインストールされると、暗号化データをもとにファイルを作成します。次に、端末の管理者権限を要求し、承認後はランチャーのアプリ一覧からアイコンを隠してサービスを起動し、バックラウンドで実行し続けます。そして、起動や充電開始等のシステムイベント発生のタイミングで、さまざまな不正機能を開始します。

またユーザを欺くために、感染端末内にHTTPサーバを立ち上げ、オンライン銀行アプリで利用される画面を模した偽装ページを表示します。このページは、端末に設定された言語に応じて、韓国語、日本語、中国語、そして英語で表示され、ユーザ情報を窃取しようとします。その他にもXLOADERは、さまざまな情報窃取機能を備えており、他のアプリを起動したり乗っ取ったりすることが可能です。なおXLOADERを分析した結果、この不正アプリは、韓国の銀行とゲーム開発企業を狙っていることが判明しました。

XLOADERは、対象のAndroid端末ではなく脆弱性を抱えるルータをまず攻撃するため、ルータにおけるセキュリティの見直しが必須です。またユーザは、不審なメッセージや覚えのないメッセージに対して、より注意深くなる必要があるでしょう。




「XLOADER」が表示する情報窃取のためのフィッシングページ例<br />

「XLOADER」が表示する情報窃取のためのフィッシングページ例


  • 社団法人千葉県接骨師会
  • ホットニュース
  • 接骨院マップ
社団法人千葉県接骨師会
ホットニュース
接骨院マップ