318,000人以上ものユーザーを攻撃した大規模な攻撃がようやく終わりを見せました。興味深いことに、ターゲットとなったのはロシアのユーザーのみでした。というのも携帯デバイスのデフォルトUI (ユーザーインターフェース)でロシア語を設定していたユーザーのみだったようです。このAndroid 攻撃の犯人は、Svpeng Android バンキング型トロイの木馬であったことが分かりました。このトロイの木馬は携帯デバイスのGoogle Chrome ブラウザの脆弱性を悪用していたと思われます。
使われていたバグはChrome がダウンロードを処理するやり方だったと見なされています。Svpeng トロイの木馬はRT (Russia Today)やMeduzaニュースポータルなどのようなロシアのウェブサイトを通して拡散されました。これらにはJavaScriptが挿入されていました。もっと正確に言うと、この悪質なJSが組み込まれたGoogle AdSense 広告だったのです。サイト上で機能しているこの不正コードが感染広告などを勝手にクリックし、その結果ウイルスのペイロードが被害ユーザーの携帯デバイスにダウンロードされていました。
Svpengの実行ファイルとしては、以下のようなものが挙げられます(ここでの「.apk」という拡張子はAndroidのアプリファイルを示します):
2GIS.apk
AndroidHDSpeedUp.apk
Android_3D_Accelerate.apk.
Android_update_6.apk
Asphalt_7_Heat.apk
CHEAT.apk
Chrome_update.apk
Cut_the_Rope_2.apk
DrugVokrug.apk
Google_Play.apk
Instagram.apk
Mobogenie.apk
Root_Uninstaller.apk
Skype.apk
SpeedBoosterAndr6.0.apk
Temple_Run.apk
Trial_Xtreme.apk
VKontakte.apk
Viber.apk
WEB-HD-VIDEO-Player.apk
WhatsApp.apk
last-browser-update.apk
minecraftPE.apk
new-android-browser.apk
Установка.apk
犠牲となったユーザーの数はもっと少ない可能性があります。その理由は、トロイの木馬がシステム上で起動するにはダウンロードされたAPK ファイルが開かれる必要があったからです。
Kaspersky Labのサイバーセキュリティ研究者たちは、この攻撃が増殖するのを止めました。彼らは脆弱性についてGoogleに報告し、Androiデバイス用のChomeアップデートをリリースしました。このアップデートはAndroid スマホのブラウザにおける自動ダウンロードの習性に向けたものです。よってSvpeng トロイの木馬は攻撃を続けることができなくなりました。この猛攻は8月から11月までの約3ヶ月間続いていたものです。
出典: bleepingcomputer.com, securelist.com.
Read "Android ユーザーへの大規模攻撃、ようやく終結" in other languages
- El Ataque Masivo a Usuarios de Andruid Finalmente Ha Parado (es)
- Det omfattende angreb på Android-brugere er endelig stoppet (dk)
- L’Attaque Massive sur les Utilisateurs Android Finalement Stoppée (fr)
- Android 사용ìžì— 대한 주요 ê³µê²©ì´ ë§ˆì¹¨ë‚´ 중단ë˜ì—ˆìŠµë‹ˆë‹¤ (kr)
- Den massiva attacken på Android-användare har äntligen stoppats (se)
- De Grootschalige Aanval op Android Gebruikers Eindelijk Gestopt (nl)
- O ataque massivo contra utilizadores de Android finalmente parou (pt)