DNSハイジャックのマルウェア、多言語化し「iOS」も標的に--不正マイニングも

　これまで「Android」デバイスを攻撃して、情報を盗み取っていたマルウェアキャンペーンが、その手口に「iOS」デバイスを狙ったフィッシングと仮想通貨マイニング（採掘）を加え、急速に進化している。

　この「Roaming Mantis」という名のマルウェアは当初、東南アジアを中心に攻撃を仕掛けていたが、欧州と中東のユーザーも標的にできる機能が追加されるなど、アップデートされていることが分かった。

　攻撃者は感染を広めるために、英語、スペイン語、ヘブライ語、中国語、ロシア語、ヒンディー語など、27言語に対応させた。新たに加わった言語は、自動翻訳によって追加されている。

　Roaming Mantisの新たな手口は、前回のキャンペーンを調査したKaspersky Labの研究者らが詳細に解析した。同社のリサーチャーの石丸傑氏によると、「Roaming Mantisは短期間で非常に巧妙になっている」という。

　Roaming Mantis攻撃は、DNSハイジャックによって広まっている。ユーザーが、ウェブサイトから侵害されたルータにアクセスしようとすると、不正サイトに誘導される。そのサイトのランディングページは、端末の言語設定に合わせて表示されるようになっており、その数も当初の4言語から27言語へと増えている。

　不正サイトではポップアップが表示され、悪意のあるペイロードを配布する「facebook.apk」もしくは「chrome.apk」という名のファイルをダウンロードするように促される。研究者らによると、これらの悪意のあるapkファイルも27言語に対応するように強化されているが、表示されるメッセージは以前と同様に簡体字中国語だという。

　Roaming MantisはこれまでAndroidデバイスだけを標的としていたが、攻撃対象に「iPhone」も加わり、ユーザーがウェブブラウザから侵害されたDNSにアクセスすると、「App Store」に再びログインする必要があるとかたって、フィッシングサイトに誘導する。

　Appleのウェブサイトを模倣したページは「security.app.com」であると偽り、ユーザーID、パスワード、カード番号、カードの有効期限、CVV（セキュリティコード）などを盗もうとする。フィッシングサイトのHTMLソースもベンガル語とジョージア（旧称グルジア）語を除く25言語に対応している。

フィッシングサイトの例
提供：Kaspersky Lab

　研究者らは、Roaming MantisのランディングページのHTMLソースコードには、AndroidおよびiOS端末から機密情報を盗み取ろうとする以外にも、特別なスクリプトが含まれていることを発見した。それは仮想通貨のマイニングを試みるもので、ブラウザによって実行される。

　ユーザーがPCから不正ページに接続すると、JavaScript形式の「Coinhive」が稼働し、マシンのCPUを悪用して仮想通貨の「Monero」をマイニングしようとする。その他の攻撃と比べると、仮想通貨のマイニングはひっそりと行われるため、ユーザーはこの迷惑な作業によって性能が低下するまで、PCが感染したことに気づかない可能性がある。

　Roaming Mantisによる攻撃は、過去数カ月間に世界中に広まっており、最も感染件数が多いのはロシア、ウクライナ、インドである。また欧州と米国でも攻撃に成功している。

　これまで特定された被害は150件だが、Kaspersky LabはDNSハイジャックは検出が困難なため、「氷山の一角に過ぎない」可能性があると警告している。