これまで「Android」デバイスを攻撃して、情報を盗み取っていたマルウェアキャンペーンが、その手口に「iOS」デバイスを狙ったフィッシングと仮想通貨マイニング(採掘)を加え、急速に進化している。
この「Roaming Mantis」という名のマルウェアは当初、東南アジアを中心に攻撃を仕掛けていたが、欧州と中東のユーザーも標的にできる機能が追加されるなど、アップデートされていることが分かった。
攻撃者は感染を広めるために、英語、スペイン語、ヘブライ語、中国語、ロシア語、ヒンディー語など、27言語に対応させた。新たに加わった言語は、自動翻訳によって追加されている。
Roaming Mantisの新たな手口は、前回のキャンペーンを調査したKaspersky Labの研究者らが詳細に解析した。同社のリサーチャーの石丸傑氏によると、「Roaming Mantisは短期間で非常に巧妙になっている」という。
Roaming Mantis攻撃は、DNSハイジャックによって広まっている。ユーザーが、ウェブサイトから侵害されたルータにアクセスしようとすると、不正サイトに誘導される。そのサイトのランディングページは、端末の言語設定に合わせて表示されるようになっており、その数も当初の4言語から27言語へと増えている。
不正サイトではポップアップが表示され、悪意のあるペイロードを配布する「facebook.apk」もしくは「chrome.apk」という名のファイルをダウンロードするように促される。研究者らによると、これらの悪意のあるapkファイルも27言語に対応するように強化されているが、表示されるメッセージは以前と同様に簡体字中国語だという。
Roaming MantisはこれまでAndroidデバイスだけを標的としていたが、攻撃対象に「iPhone」も加わり、ユーザーがウェブブラウザから侵害されたDNSにアクセスすると、「App Store」に再びログインする必要があるとかたって、フィッシングサイトに誘導する。
Appleのウェブサイトを模倣したページは「security.app.com」であると偽り、ユーザーID、パスワード、カード番号、カードの有効期限、CVV(セキュリティコード)などを盗もうとする。フィッシングサイトのHTMLソースもベンガル語とジョージア(旧称グルジア)語を除く25言語に対応している。
研究者らは、Roaming MantisのランディングページのHTMLソースコードには、AndroidおよびiOS端末から機密情報を盗み取ろうとする以外にも、特別なスクリプトが含まれていることを発見した。それは仮想通貨のマイニングを試みるもので、ブラウザによって実行される。
ユーザーがPCから不正ページに接続すると、JavaScript形式の「Coinhive」が稼働し、マシンのCPUを悪用して仮想通貨の「Monero」をマイニングしようとする。その他の攻撃と比べると、仮想通貨のマイニングはひっそりと行われるため、ユーザーはこの迷惑な作業によって性能が低下するまで、PCが感染したことに気づかない可能性がある。
Roaming Mantisによる攻撃は、過去数カ月間に世界中に広まっており、最も感染件数が多いのはロシア、ウクライナ、インドである。また欧州と米国でも攻撃に成功している。
これまで特定された被害は150件だが、Kaspersky LabはDNSハイジャックは検出が困難なため、「氷山の一角に過ぎない」可能性があると警告している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」