スマートフォンも攻撃を受けている
モバイルデバイスは活況を呈しています。 もちろん、スマートフォンの使用の増加は、これらのデバイス用の悪意のあるソフトウェア(マルウェア)の開発に影響を与えることはできませんでした。 パーソナルコンピューターと比較して、情報セキュリティの問題に関するユーザーリテラシーのレベルはさらに低くなります。 これにより、攻撃者にとって犯罪行為の大きな場が開かれます。 お金を引き出す最も簡単な方法は、有料の番号にSMSメッセージを送信する悪意のあるアプリケーションです。 しかし、ZeusとSpyEyeの開発者は黙って座っているわけではなく、2010年から2011年にかけて、その洗練された印象的な変更が「ペン」の下から出てきました。
インターネットを使用して金融取引を保護する一般的な方法の1つがmTan(モバイルトランザクション認証番号)であることを知っている人は多いでしょう。トランザクション)、たとえば、WebMoneyを介して支払う場合。 スマートフォンの普及は、広範なモバイルプラットフォーム向けの悪意のあるアプリケーションを介してmTanテクノロジーをバイパスするメカニズムを開発した攻撃者の手に渡っています。
ZeusとSpyEyeには、電子決済システムの実際のHTMLページを置き換えて、ユーザーの資格情報(ログインとパスワード)をコマンドセンターに送信する機能があります。 mTanを取得するために、追加のフィールドがフォームに埋め込まれています。その1つは電話番号です。 最終的には、SMSを傍受するためにマルウェアがスマートフォンにインストールされます。 この技術は、Man-in-the-Mobileと呼ばれます(2台のコンピューター間を通過するネットワーク上のデータを傍受する場合のMan-in-the-Middleと同様)。 さまざまなマルウェアの傍受の詳細を以下に説明します。
ZeuS-in-the-Mobile
2010年9月末に導入されたZeuS-in-the-Mobile(ZitMo)は、mTanを盗むことを目的とした最初のマルウェアでした。 オンラインバンキングシステムの変更された承認ページでは、ユーザー名とパスワードに加えて、ユーザーは、証明書を更新するために、使用するモバイルデバイスのモデルを示し、自分の番号を入力するように求められました。 しばらくしてそのような情報を提供したユーザーは、インストール要求とともに指定された番号への新しい「セキュリティ証明書」へのSMSリンクを受け取りました。 実際、「証明書」はZitMoアプリケーションでした。 ZitMoバージョンは、Symbian、Windows Mobile、Blackberry、Androidのいくつかのプラットフォームに対応しています。 最初の3つのプラットフォームの主な機能は、ZitMoコードで指定された攻撃者の電話番号にSMSメッセージを送信することです。 興味深いことに、これらの携帯電話番号はイギリスで登録されています。 Androidバージョンの場合、データはHTTPプロトコルを使用して攻撃者のサーバーに送信されます。
SpyEye-in-the-Mobile
2011年4月、Kaspersky Labの専門家は、SpyEyeの改ざんに参加して、Man-in-the-Mobileという形式の別の攻撃を発見しました。 Symbianプラットフォーム用の悪意のあるアプリケーションは、SpyEye-in-the-Mobile(SpitMo)と呼ばれます。 電話番号とIMEIを入力するための2つの追加フィールドがパスワードとログインフォームに導入され、スマートフォンの証明書を更新することになっています。 IMEIは、サイバー犯罪者による悪意のあるプログラムのデジタル署名の作成に使用されました。 次の「セキュリティ証明書」へのリンクは、数日後にSMSを介して、偽の入力フォームに示された電話番号に到達しました。 悪意のあるプログラムは、疑わしいもののインストールと削除を簡単に行うための証明書で署名されています。 どうやら、署名のための証明書の注文はOPDA中国ディーラー協会のウェブサイトを通じて正式に承認され、それを得るのに2〜3日かかりました。 スマートフォンでは、マルウェアは着信SMSメッセージをインターセプトし、mTanを含むメッセージを選択して、HTTP経由で攻撃者サーバーに送信しますが、ユーザーには表示しません。
カーバープインザモバイル
2012年12月の時点で、カスペルスキーの専門家は、Androidプラットフォーム向けのMan-in-the-Mobileフィールドでの別のプレイヤー-Carberp-in-the-Mobile(CitMo)の登場を記録しました。 Carberpは別のクライムウェアスポークスマンであり、ZeusとSpyEyeのライバルです。 それらと比較して、ロシアのユーザーに対するCarberpを使用した犯罪者の指向が明らかになりました(ZeusとSpyEyeは通常、主に米国で海外で使用されています)。 2012年3月、ESETの支援により、犯罪活動でCarberpを使用した多くのサイバーグループの1つが逮捕されました 。 その後、Carberp開発者は「レイダウン」します。 現在、Carberpの開発と販売が再開されました。詳細、価格、機能はこちらです。
Carberpによって実装された偽のオンラインバンキングフォームは、システムに入るために必要と思われるプログラムをダウンロードしてインストールすることをユーザーに提供します。 さらに、ユーザーはSMSメッセージで電話番号を示すリンクを取得するか、QRコードを個別にスキャンしてリンクを取得できます。 CitMoアルゴリズムはSpitMoと同じで、SMSデータはHTTP経由で送信されます。
おわりに
ますます多くのスマートフォンユーザーが危険にさらされていることに注意してください。 市場は拡大し、Androidデバイスのシェアは拡大しています-犯罪者やマルウェア開発者の間での人気は高まっています。 最近、攻撃者は一般に、空港、レストランなどの混雑した場所にQRコードを配置し始め、広告通知に置き換えて、潜在的な被害者がそれらをスキャンして悪意のあるリソースを見つけることを望みます。 そのため、脅威ベクトルはすでに仮想世界から現実世界に移行しています。