インフィニティソリューションズ株式会社ブログ

偽者Google Chromeインストーラにご注意。銀行口座情報が盗まれる。

ここに取り上げる偽者はとりあえず日本をターゲットにしていないが、対岸の火事だと思っていると痛い目に会いかねない。

InformationWeekの記事より。

Fake Google Chrome Installer Steals Banking Details(偽者Google Chromeインストーラで銀行口座情報が盗まれる)

Malware Blog   Trend Micro

‘A file named “ChromeSetup.exe” is being offered for download on various websites, and the link to the file appears to be legitimately hosted on Facebook and Google domains. In reality, the software won’t install Google’s Chrome browser, but an information-stealing Trojan application known as Banker, according to antivirus vendor Trend Micro.’

「アンチウィルスベンダーのトレンドマイクロ社によると、様々なウェブサイトで、”ChromeSetup.exe”という名のファイルがダウンロード用に提供されており、FacebookやGoogleドメイン上に合法的にあるファイルにリンクされている。現実には、ソフトウェアはGoogle Chromeブラウザをインストールせず、Bankerとして知られるトロージャン型情報詐取アプリケーションをインストールするものだ。」

‘Once the malware–which appears to be targeting Latin American users, especially in Brazil and Peru–is executed, it relays the IP address and operating system version to one of two command-and-control (C&C) servers, then downloads a configuration file. After that, whenever a user of the infected PC visits one of a number of banking websites, the malware intercepts the HTTP request, redirects the user to a fake banking page, and also pops up a dialog box informing the user that new security software will be installed.’

「ラテンアメリカ、特にブラジルとベルーのユーザをターゲットにしているマルウェアが実行されると、IPアドレスとOSバージョンが2台の指令・制御(C&C)サーバのいずれかに中継され、構成ファイルをダウンロードする。その後、汚染されたPCのユーザが数ある銀行のウェブサイトの1つにアクセスすると、マルウェアがHTTPリクエストを横取りし、ユーザを偽者の銀行サイトのページにリダイレクトする。また、新しいセキュリティソフトウェアがインストールされる旨のダイアログボックスがポップアップする。」

‘In fact, the malware has been designed uninstall GbPlugin, which is “software that protects Brazilian bank customers when performing online banking transactions,” said Trend Micro security researcher Brian Cayanan in a blog post. “It does this through the aid of gb_catchme.exe–a legitimate tool from GMERcalled Catchme, which was originally intended to uninstall malicious software. ’

「トレンドマイクロのセキュリティ・リサーチャBrian Cayana氏のブログによれば、実際、マルウェアは、『オンラインのバンキング取引を行う際に銀行の顧客を保護するためのソフトウェア』であるGbPluginをアンインストールするようデザインされている。『GMERの合法的なツールCatchmeであり、元々マルウェアをアンインストールすることを意図としたgb_catchme.exeの助けを借りて実現している。」

— トレンドマイクロはこのC&Cサーバにアクセスし、ログを見ることが出来たらしい。3時間の間に3000個のユニークアドレスが記録されていたとのこと。つまりそれだけのユーザが汚染されていて、被害に会う可能性があるということだ。

— マルウェアをダウンロードさせるために、本物の銀行サイトから偽のサイトへリダイレクトしているのだが、どうやって実現しているのかは、まだ不明とのこと。

‘In other malware news, GFI Labs is warning that a new piece of Android malware masquerades as free antivirus software. Advertised via Twitter spam promoting links to “sexi gerl see,” among other phrases, the malicious application has been available via websites sporting a dot-TK (.tk) address, which is the top-level domain name for Tokelau, a New Zealand territory in the South Pacific.’

「もう1つ、マルウェアのニュース。GFI LabはAndroidをターゲットとした新しいマルウェアはアンチウィルスソフトに見せかけている、と警告している。Twitterスパムで展開され、『sexi gerl see』へのリンクとその他の言葉で誘っているもので、マルウェア・アプリケーションは、ドットTK(.tk)のアドレスで提供されているもの。.tkは、ニュージーランドのTokelauのトップレベルのドメイン名だ。」

‘Clicking on the proffered Twitter link takes users to a Russian-language Web page–hosted in the Ukraine–that advertises numerous products, including fake updates for Opera and Skype, as well as an “Anit-Virus Scanner.” “Users who accessed and used this purported scanner are then given the option to download and install a file, which [varies] depending on whether the target is a PC or a phone,” said GFI Labs researcher Jovi Umawing in a blog post. Interestingly, the PC version–delivered as a Java archive file–will fail to execute. But the APK (Android application package) version will install on an Android device. The application’s Android icon, meanwhile, was copied from security firm Kaspersky.’

「Twitterリンクをクリックすると、ロシア語のウェブページに遷移する。ウクライナでホストされているページで、OperaやSkypeの偽者アップデートや、『アンチウィルススキャナ』など、様々な製品を売り込んでいるページだ。『この噂のスキャナを使うと、ファイルをダウンロードするオプションが提示される。ファイルはターゲットがPCか携帯かで異なる』、とGFI LabsのリサーチャJovi Umawing氏はブログで述べている。面白いことに、PCバージョンはJavaのアーカイブファイルとして提供されるが、実行に失敗する。しかし、APK(Android application Package)バージョンはAndroidデバイス上にインストールできる。ちなみにアプリケーションのAndroidアイコンは、セキュリティ会社Kasperskyからコピーしたものだ。」

‘Many security tools will have difficulty spotting the malicious APK file. According to Bulgarian antivirus researcher Vesselin Bontchev at FRISK Software, “the fake AV file is actually server-side polymorphic.”Polymorphic malware is designed to change every time it gets downloaded, which generates malware with identical attack capabilities but different fingerprints. That makes spotting the malware more difficult for signature-based security defenses.’

「多くのセキュリティツールは悪意あるAPKファイルを特定することが難しい。ブルガリアのアンチウィルス研究者であるFRISKソフトウェアのVesselin Botchev氏によれば、『偽のAVファイルは実際にはサーバサイドの多形性を有している。多形性のマルウェアはダウンロードするたびに異なるようにデザインされたもので、マルウェアは同様の攻撃能力をもっているものの、フィンガープリントは異なるのだ。シグネチャーをベースとしたセキュリティ防護では、このマルウェアを特定することは難しい。」

— マルウェアはそれぞれ特定のパターン(シグネチャー)を持っているので、それを検出することによりマルウェアを防ごうというアンチウィルスもあるのだが、それではダメだということらしい。ちなみにこの偽アンチウィルススキャナは勝手に高価なSMSメッセージを送信しまくることを目的としているらしい。