is702
ニュース

偽装SMS、モバイル端末のOSに応じて攻撃内容を切り替える手法でさらなる変化

2019/03/15

トレンドマイクロは3月15日、公式ブログで「継続する偽装SMS:今度は携帯電話事業者サイトの偽装とiOSを狙う不正プロファイル」と題する記事を公開しました。偽装SMSを使って不正アプリ拡散やフィッシングサイト誘導を狙う攻撃について、新たな動きが2つ確認されました。

まず1つ目は、偽装先について、これまでよく使われていた「宅配業者」ではなく、「携帯電話事業者」に偽装し偽サイトに誘導する事例が確認されました。さらに2つ目として、誘導先の不正サイト上でiOS端末の固有情報を窃取するために、不正な構成プロファイルを使用する手口が、新たに見つかりました。

携帯電話事業者を偽装した不正サイトは、アクセスした端末のOSを判定しており、Android端末だった場合には、不正モバイルアプリ「XLoader」をダウンロードさせます。「XLoader」は、2018年前半に「ルータのDNS改ざんによる拡散」が観測されていましたが、同年8月以降はほとんど観測されていませんでした。しかし2019年2月に入り、再度拡散しはじめ、今回のような偽装SMSによる拡散も発生しています。

またこの不正サイトは、アクセスした端末がiOS端末だった場合には、別の不正サイトへ誘導します。こちらのサイトは、「ネットワークセキュリティのアップグレード」と称して、不正な「構成プロファイル」をインストールさせ、端末固有情報の窃取しようと試みます。この不正プロファイルをインストールしてしまうと、端末やSIMカードの固有情報、OSバージョンや製品情報が攻撃者の元に送信される仕組みになっていました。そして最終的に、Appleを偽装するフィッシングサイトへ誘導されます。

有名企業やサービスを詐称するメール・SMSの利用は、古典的な犯罪手法ながら、さまざまな変化を見せて続いています。誘導先サイトのURLについては、該当企業やサービスの正規URLであるかどうか、かならず確認してください。また、公式アプリストアまたは信頼できるアプリストアからのみ、アプリをインストールしてください。サイト閲覧時等に、意図せずアプリやプロファイルのインストールが始まったときは、安易にインストールを許可せず、正当性を確認するようにしましょう。



携帯電話事業者を偽装した不正サイトの表示例(Android端末でアクセスした場合)

携帯電話事業者を偽装した不正サイトの表示例(Android端末でアクセスした場合)


  • FCTV
  • mitene
FCTV
mitene