Roaming Mantis というマルウェアが Android とか iPhoneをターゲットに活動しているという記事を見かけました。
企業向けのネットワークでは、標的型とかで随分やられていることもあり、結構前から「ゼロトラストモデル」ということで、誰も信じないのが普通になってきていますが、家庭の方は、何となくルータ入れておけばいいよね位の感覚が残っていると思います。
少なくとも、ルータのパスワードを出荷時のまま簡単な奴で放置しているとか、パスワードなしで入れるとか言う状態は、もう完全にアウトな時代です。
以下では、カスペルスキーさんのブログを紐解きながら、マルウェアへの注意を喚起したいと思います。
- もともと、どんなマルウェアだった?
- さらなる進化→iPhoneもターゲットに
- そもそもルータはどうやって乗っ取られたのか?
- 佐川SMS詐欺で拡散を狙う
- 一年たって、さらなる進化→iPhoneユーザは注意!
- まとめ
もともと、どんなマルウェアだった?
最初の記事はこのあたりです。去年の4月ですね。
https://blog.kaspersky.co.jp/malicious-facebook-apk/19968/
https://blog.kaspersky.co.jp/roaming-mantis/20105/
怖いのは、家庭で使われているようなルータのDNS設定を変更して、マルウェア配布サイトに誘導するというところ。マルウェア自体は、見るからに怪しいのでインストールする人は(この時点では)少ない気もしますが、Google Play 以外からでもインストールできるような設定にしている方は、設定を見直したほうが良いでしょう(特にアマゾンアプリストアを使っている人)。
Android8.1だと「アプリと通知」→「特別なアプリアクセス」→「不明なアプリのインストール」でしょうか。とにかく、Chrome とか Facebook のふりをした、変なアプリをインストールさせようとする、のが当初の動きだったようです。
さらなる進化→iPhoneもターゲットに
5月になると、さらに進化して iPhoneをフィッシングサイトに誘導することもできるようになったとのこと。
https://blog.kaspersky.co.jp/roaming-mantis-update/20383/
ここで偽装するURLは「security.apple.com」という、ありそうな名前。DNSを乗っ取っているのでやりたい放題です。AppleIDとか、クレジットカード番号とか抜かれます。怖い...
マルウェア自体も進化していて、多くのバックドアコマンド(pingなんかも含まれる)が実行可能だったり、coinhive のマイニングを走らせたり(これは異常にCPUを食うそうなので気づくと思いますが)、さらに悪徳な感じになっています。
そもそもルータはどうやって乗っ取られたのか?
これについては、LACさんがハニーポット的なものを仕掛けて、攻撃を観測されています。
ルータの管理画面がWAN側に開いているなんて怖すぎですが、そういう古いルータは買い替えないと危ないですね。取り急ぎ、ファームウェア更新を確認。また、パスワードがデフォルトのまま(admin とか password とか rootroot とか)だったりすると、あっという間に乗っ取られて変な設定に書き換えられてしまいます。家庭用でも、パスワードは厳重に。
佐川SMS詐欺で拡散を狙う
10月になると、さらなる進化が。
https://blog.kaspersky.co.jp/roaming-mantis-new-methods/21749/
一時期話題になった、佐川急便からのSMSメッセージを装い、怪しいサイトをクリックさせる仕組みをつかって拡散を狙うようになったとのこと。佐川SMS詐欺も巧妙で怖いですが、これをプラットフォーム化して、ほかのマルウェア拡散に使うとは...
https://blog.kaspersky.co.jp/malicious-android-app-hitting-japan/19236/
「変なURLを踏まない」「変なアプリをインストールさせない」というところは、十分に注意する必要がありますね。本当に、嫌な世の中だなと思います。
一年たって、さらなる進化→iPhoneユーザは注意!
で、1年たって今年の4月。今度は「怪しい構成プロファイルをインストールさせようとする」というように進化したとのこと。構成プロファイルがおかしくなると、攻撃者のサイトにVPNで収容されて、トラフィックが丸見えになってしまう危険もあるそうで、恐ろしいことこの上ないです。
https://blog.kaspersky.co.jp/roaming-mantis-part-iv/22949/
フィッシングページは相変わらず security.apple.com というそれっぽい名前。しかも、AppleIDだけでなく2段階認証のコードまで盗もうとしているらしく、もう油断ならないことと言ったら。
で、まだまだ、攻撃者は手を変え品を変え、我々のクレジット情報や端末情報を狙っているのです。
まとめ
カスペルスキーさんのブログの最後にありましたが、まさに下記3点が重要。
- 家庭用ルータのセキュリティを高める。パスワードを変える、ファームウェアを更新する。
- SMS詐欺などに注意し、フィッシングサイトに用心する。変な構成ファイルをダウンロードしない。(iPhoneの場合)
- 変なアプリをインストールしない(Androidの場合)
油断大敵です。気を付けましょう。