2022年2月25日金曜日

日本ユーザーを狙った、感染端末の電話番号(SMS認証)を悪用する手法

日本ユーザーを狙った、感染端末の電話番号(SMS認証)を悪用する手法

はじめに

こんにちは。

アクティブディフェンス研究所の森瑞穂(@morimolymoly)と申します。

今回は日本をターゲットとした、マルウェアに感染した端末の電話番号を悪用する手法をご紹介いたします。効果的な手法で感染端末を解析し、電話番号の悪用手法を観測いたしました。

携帯電話を狙ったマルウェア

携帯電話を狙ったマルウェアは現在大きな問題となっています。中でもMoqHao(Xloader)はスミッシング(詐欺SMS)を介して、日本郵便などの物流業者を装ったり、Chromeなどの正規のアプリを装って侵入してきます。

MoqHaoはbotとして動作し、詐欺SMSのバラマキを行い感染端末を増やすだけでなく、SMSの読み取りや電話番号の悪用等も行います。

今回は電話番号の悪用に焦点を当てて詳しく解説していきます。

MoqHaoによる電話番号の悪用

MoqHaoは電話番号をTelephonyManager経由で取得し、これをC2サーバに送信します。窃取された電話番号は、MoqHaoのSMS読取と組み合わせることで、攻撃者による任意のタイミングでの二段階認証の突破を可能とします。この観測では、下記の2つの悪意のある振る舞いを確認しました。

  1. 電話番号のみで開設ができる決済サービスへの登録
  1. SMS認証番号のみで完結する決済サービスを用いた金銭の窃取
  1. MoqHaoの攻撃基盤維持のため、電話番号を用いて新規でWebサービスアカウントの開設を行う

解析方法

SMSや電話番号の悪用の動作を観測するために、我々はMoqHaoの静的解析の結果をもとに、動的解析用のツール、Telexposedを開発いたしました。

https://github.com/morimolymoly/telexposed

このツールはroot化した端末にインストールできるXposed(Androidの機能を改造できるフレームワーク)のモジュールです。動作と致しましては、電話番号を好きな値に変更することができます。これはTelephonyManagerのgetLine1Numberメソッドをフックし、好きな電話番号の値を返すものとなっております。

さて、観測環境を説明いたします。

環境としましては以下の通りになっております。

  • 感染端末
    • MoqHaoが動作
    • Telexposedを用い電話番号は観測端末を指す
    • 空SIMを差し込む
  • 観測端末
    • SMSを観測する
    • あらかじめモバイル向けサービス等に登録しておく

このようにして、感染した端末が本来受信するべきSMSを、観測端末で受信することができるようになります。観測端末ではSMSを受信するのみであり、悪性なSMS送信や、実際にSMSを読み取られハッキング被害を受けてしまう恐れは一切ありません。また、感染端末では悪性SMSの送信などは行えずC2と通信を行う動作のみを行います。

また、標的となるサービスに対しても攻撃は成立しません。なぜならMoqHaoは観測端末のSMSの認証コードを読むことができないからです。攻撃を成立させずに攻撃を観測するのがこの手法の重要な点です。

観測されたSMS

観測されたSMSは主に日本で展開されているモバイル向けサービスなどのログイン・アカウント開設のSMS認証でした。

次に本マルウェアとその攻撃基盤の標的となっていることが観測されたサービスの例を挙げます。

標的となっていたサービス

メルカリ

アカウントをアクティベートするための電話認証に使われるものだと考えられます。

auかんたん決済

auかんたん決済へのログイン試行だと考えられます。目的としては、不正な決済を行うものだと考えられます。

バンドルカード

観測されたSMS

目的

バンドルカードと呼ばれる電話番号のみで取得できるVISAプリペイドカードです。バンドルカード取得のためにアカウント開設を企んだものと考えられます。

フコンタクテ(VK[.]com)

観測されたSMS

目的

フコンタクテはMoqHaoがC2アドレスを隠蔽することで知られています。

このSMSはフコンタクテのアカウント開設を企むものです。

目的としては大きく2つあり、

  • 単純にアカウント開設をする
  • マルウェアの基盤維持のため開設

です。

おわりに

日本をターゲットとしたモバイル向けマルウェアが行う、SMSの不正な読み取りを用いた攻撃観測事例を解説しました。

攻撃者はこのマルウェアを通じて日本で広く利用されているサービスのアカウントを乗っ取り、その不正利用までを意図していると考えられます。また、マルウェアとその攻撃プラットフォームを維持する目的で、SMS認証が必要なサービスへの登録を行っていると考えられます。これは、本マルウェアへの感染を放置すると、アカウント乗っ取りの被害者になるだけではなく、サイバー攻撃に加担してしまうことになります。

感染予防と感染した場合の対処法について

参考リンク

JPCERT/CC - モバイル端末を狙うマルウェアへの対応FAQ

https://blogs.jpcert.or.jp/ja/2021/12/mobile-malwarefaq.html