"BOKU"のITな日常

BOKUが勉強したり、考えたことを頭の整理を兼ねてまとめてます。

Androidのマルウエア/偽広告ブロッカーやルータのDNS設定乗っ取り手口

f:id:arakan_no_boku:20190330223940j:plain

目次

はじめに

リライトで目次を追加しました。

内容的には2018年4月当時のものです。

Androidのマルウエア/偽広告ブロッカーやルータのDNS設定乗っ取り手口

Androidスマホを使い始めたので、他人事だった「Androidで活動する犯罪行為」も気にせざるをえなくなりました。 

マルウエアに今一番狙われている環境がAndroidらしいです。

そんな中、最近、自分が気になったのが以下の2つです。

  • 2000万人が騙された偽の広告ブロッカー
  • DNS設定をのっとる悪いやつ

 

2000万人が騙された偽の広告ブロッカー

GoogleChromeウェブストアに堂々と紛れ込んでた。

その事実だけで超ショックです。

www.itmedia.co.jp

インストールされると、一見普通の広告ブロッカーのようにふるまいます。

その裏で制御用サーバから受け取った命令の内容を、ブラウザで実行させる仕組みをもっていたそうです。 

しかも、制御用サーバからの命令は、一見無害な画像の中に隠して検出を免れていたという、なかなか手のこんだ手口です。 

デフォルトでは無害な命令が仕組まれているので問題はおきないのですが、簡単に攻撃者が差し替えることができて、差し替えた命令は特権コンテキスト(バックグラウンド)で動かして、「どんな悪さでもできる」状態になってしまうとか・・・相当にやばいやつです。

なかなか手が込んでいて高度で、かなり、頭の良い人間がかかわってますよね。 

幸い、Googleで4/18時点では対処ができた状態になっているらしいです。 

詳しくは、こちらのブログにのってます。

blog.adguard.com

 

ルータのDNS設定乗っ取り手口

 WiFiルーターDNS情報を書き換えて、マルウェアをダウンロードするIPアドレスに誘導するといういやらしい手口です。

blog.kaspersky.co.jp

書き換えられると「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」という怪しい日本語のメッセージで、OKボタンをおさせようとします。

f:id:arakan_no_boku:20180421004117j:plain

あからさまに、怪しいです。

ダイアログにOKしかない時点で完全にアウトなんですが、慣れてない人だと焦って、ダイアログを閉じるために、わけもわからずOKを押すでしょうね。

OKすると、「Googleアカウント危険、認証完了後使用してください」みたいなメッセージで誘導されて、氏名やら生年月日やらを入力させられます。

その情報をつかって、2段階認証を破るための情報を盗まれる・・つまり、のっとられる・・というわけですね。。

 

作成者が信頼おける相手でない限りダウンロードするな

とにかく、Androidは危ないです。

パソコン以上に個人情報がつまってます。

だから、新しい拡張機能をインストールするときは細心の注意が必要です。

面白そうだな・・と思う気持ちより、マルウエアに感染しないように警戒する。

それが賢いのかもしれません。

チキン野郎だな・・と自分でも思いますが、拡張機能は「作成者が信頼おける相手でない限りダウンロードするな」という基本を肝に銘じることにしときます。

ではでは。