‘DHL’トラッキングSMSがドイツのAndroidユーザーにマルウェアを送信、日本にC&Cサーバーを持つ

次回、DHLからの配達またはパッケージの配達予定に関するSMSを受け取った場合は、注意してください。McAfee Blogに掲載された報告によると、DHLが送信する短いテキストメッセージ（SMS）は、実際にはあなたのパッケージの追跡通知を装って、悪意のあるAndroidマルウェアをスマートフォンに配信しています。この特定のSMSスパムは、これまでのところドイツでのみ確認されています。

読者は、追跡通知をスパム手法として使用することは、メール自体と同じくらい古いものであり、RMS、DHL、FedEx、UPSなどのほとんどすべての信頼できる宅配業者が、無防備な被害者のお金を奪うために使用されていることに気付くでしょう。しかし、研究者たちは、SMSがこの方法でAndroidにマルウェアを配布するために使用されるのはこれが初めてであると指摘しています。

• *

McAfee Labsの研究者たちは、この傾向が現在ドイツのユーザーをターゲットにしていることに気付きました。彼らは、Dropboxが提供するクラウドストレージに保存されたマルウェアを受け取ります。悪意のあるファイルは「DHL.apk」という名前のインストーラーパッケージであり、GoogleのURL短縮サービスを介してマスクされた共有リンクを通じて配信されます。

• *

McAfeeによると、ドイツのSMSは「Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über」と読み、悪意のあるダウンロードへのURLが続きます。翻訳すると、これはDHLの小包が配達されたことを知らせ、提供されたリンクを介して追跡できることを示しています。これは、被害者がリンクをクリックしてマルウェアをダウンロードするための非常に良い動機を提供します。

インストール後、マルウェアは通常のマルウェアがすることをします

すべきこと。Googleサービスフレームワークを乗っ取り、それをシャットダウンし、ホーム画面にその場所を取ります。最初の起動時に、ユーザーは管理者権限を許可するよう求められます。

• *

McAfeeのセキュリティ研究者たちは、このマルウェアをAndroid/SmsHnd.Aと名付けました。インストール後、ユーザー権限を取得したマルウェアは、コマンド＆コントロールサーバーとの通信を確立するためのバックグラウンドサービスを開始し、デバイスから何を盗むかの指示を受け取ります。研究者によると、これは、

• デバイスの敏感な情報（電話番号、デバイスモデル、IMEI、IMSI）を漏洩させる

• リモートサーバーから提供されたデータ（電話番号とテキスト）を使用してSMSメッセージを送信する

• すべての電話およびSIM連絡先に特定のテキストメッセージを送信する

• 連絡先リストを盗む

• *

**

さらに、サイバー犯罪者は、コマンド＆コントロールサーバーから受け取った情報（電話番号とテキスト）を使用して短いテキストメッセージを送信できるように設計しています。これは、アドレス帳の被害者の連絡先にマルウェアをさらに広めるためにも使用できます。

「これらの行動に加えて、感染したデバイスにSMSメッセージが送信されるたびに（ただし、被害者の連絡先リストのいずれかの番号からではない）、それは傍受され、リモートサーバーに転送されます。」

| | | |

| | 画像出典 McAfee Blog | |

この理由の一つは、被害者がオンラインバンキングアカウントにログインするために送信される二要素認証コードを傍受することです。McAfeeの研究者たちは、リモートコマンド＆コントロールサーバーが日本のどこかにあることを発見し、さらなる調査が進行中です。