アラカン"BOKU"のITな日常

文系システムエンジニアの”BOKU”が勉強したこと、経験したこと、日々思うことを書いてます。

2000万人が騙された!偽広告ブロッカーやルータのDNS設定乗っ取る悪いやつの話題について

ほんと、うんざりするほど、新しい攻撃手法のニュースが目に付きます。

 

その中で最近驚いた2つの事例について書きたいと思います。

 

2000万人が騙された偽の広告ブロッカー

 

最近で一番驚いたやつです。

www.itmedia.co.jp

 

GoogleChromeウェブストアに堂々と紛れ込んでた。

 

その事実がかなり衝撃です。

 

これはインストールされると、一見普通の広告ブロッカーのようにふるまいつつ、制御用サーバから受け取った命令の内容を、ブラウザで実行させる仕組みをもっていたそうです。

 

しかも、制御用サーバからの命令は、一見無害な画像の中に隠して検出を免れていたという、なかなか手のこんだ手口。

 

デフォルトでは無害な命令が仕組まれているそうですが、簡単に攻撃者が差し替えることができて、特権コンテキスト(バックグラウンド)で命令を動かして、「どんな悪さでもできる」状態になってしまうそうです。

 

この「制御用サーバーから受け取る命令」が悪意ある命令でない可能性なんか、おそらくこれっぽちもないでしょうから・・、たまんないですよね。

 

幸い、AdGuardからの報告を受けて、Googleで4/18時点では対処ができた状態になっているらしいですが、油断もスキもありません。

 

詳しくは、こちらのブログにのってます。

blog.adguard.com

 

とにかく、拡張機能は「作成者が信頼おける相手でない限りダウンロードするな」ということなんでしょうかね。

 

Androidを狙ったDNS設定をのっとる悪いやつ

 

こんなん防ぎようがないんじゃないの?

 

そう思ってショックだったのが、こいつです。

blog.kaspersky.co.jp

 

WiFiルーターDNS情報を書き換えて、マルウェアをダウンロードするIPアドレスに誘導するっていうんですから、超悪質です。

 

そして誘導したサーバーで「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」などという怪しい日本語のメッセージを表示して、インストールを催促するようです。

f:id:arakan_no_boku:20180421004117j:plain

 

まあ、普通はこの時点で「怪しい」と思って、インストールしないで終わらせればいいんでしょうけど、ダイアログにOKしかないし・・どうしたら良いのか?と思いますよね・・普通。

 

うっかり、インストールしてしまうと、「Googleアカウント危険、認証完了後使用してください」みたいなメッセージがでて、続けてしまうと、氏名やら生年月日やらなんだかんだ入力させられるのですが、結局のところ目的は「2段階認証の情報を盗む」ことみたいです。

 

そのうえで、盗んだ2段階認証の情報を使って、いろいろ悪さをされる。

 

まあ、典型的はサイバー犯罪者の手口ですね。

 

カスペルスキーブログにとても詳しい解説がある

 

もっと詳しく知りたい場合、カスペルスキーのブログで非常に詳しく解析と解説をしてくれてます。

blog.kaspersky.co.jp

blog.kaspersky.co.jp

 

ありがたいですねえ。

 

以前は、Androidの話は正直他人事でした。

 

でも、自分も最近、Androidスマホに変えました。

 

なので、いきなり他人事ではなくなってしまいました。

 

極力、注意していきたいです。

 

まあ、いらないものや、押し付けてくるようなものはインストールしない!

 

これしかないみたいですけど。