Android ユーザーへの大規模攻撃、ようやく終結

318,000人以上ものユーザーを攻撃した大規模な攻撃がようやく終わりを見せました。興味深いことに、ターゲットとなったのはロシアのユーザーのみでした。というのも携帯デバイスのデフォルトUI (ユーザーインターフェース)でロシア語を設定していたユーザーのみだったようです。このAndroid 攻撃の犯人は、Svpeng Android バンキング型トロイの木馬であったことが分かりました。このトロイの木馬は携帯デバイスのGoogle Chrome ブラウザの脆弱性を悪用していたと思われます。

使われていたバグはChrome がダウンロードを処理するやり方だったと見なされています。Svpeng トロイの木馬はRT (Russia Today)やMeduzaニュースポータルなどのようなロシアのウェブサイトを通して拡散されました。これらにはJavaScriptが挿入されていました。もっと正確に言うと、この悪質なJSが組み込まれたGoogle AdSense 広告だったのです。サイト上で機能しているこの不正コードが感染広告などを勝手にクリックし、その結果ウイルスのペイロードが被害ユーザーの携帯デバイスにダウンロードされていました。

Svpengの実行ファイルとしては、以下のようなものが挙げられます(ここでの「.apk」という拡張子はAndroidのアプリファイルを示します):

2GIS.apk

AndroidHDSpeedUp.apk

Android_3D_Accelerate.apk.

Android_update_6.apk

Asphalt_7_Heat.apk

CHEAT.apk

Chrome_update.apk

Cut_the_Rope_2.apk

DrugVokrug.apk

Google_Play.apk

Instagram.apk

Mobogenie.apk

Root_Uninstaller.apk

Skype.apk

SpeedBoosterAndr6.0.apk

Temple_Run.apk

Trial_Xtreme.apk

VKontakte.apk

Viber.apk

WEB-HD-VIDEO-Player.apk

WhatsApp.apk

last-browser-update.apk

minecraftPE.apk

new-android-browser.apk

Установка.apk

犠牲となったユーザーの数はもっと少ない可能性があります。その理由は、トロイの木馬がシステム上で起動するにはダウンロードされたAPK ファイルが開かれる必要があったからです。

Kaspersky Labのサイバーセキュリティ研究者たちは、この攻撃が増殖するのを止めました。彼らは脆弱性についてGoogleに報告し、Androiデバイス用のChomeアップデートをリリースしました。このアップデートはAndroid スマホのブラウザにおける自動ダウンロードの習性に向けたものです。よってSvpeng トロイの木馬は攻撃を続けることができなくなりました。この猛攻は8月から11月までの約3ヶ月間続いていたものです。

出典: bleepingcomputer.com, securelist.com.