McAfeeは2月7日(米国時間)、「MoqHao evolution: New variants start automatically right after installation|McAfee Blog」において、サイバー攻撃グループ「Roaming Mantis」がAndroid向けマルウェア「MoqHao」の亜種の配布を開始したことを発見したとして、注意を呼び掛けた。McAfee Mobile Researchチームは、「非常に危険な手法によりマルウェアを実行することを確認した」と警戒を高めている。

  • MoqHao evolution: New variants start automatically right after installation|McAfee Blog

    MoqHao evolution: New variants start automatically right after installation|McAfee Blog

マルウェア「MoqHao」の亜種が発見、その特徴は?

McAfeeによると、マルウェア「MoqHao」は2015年に初めて確認されたマルウェアで、伝統的に韓国や日本などアジア諸国のユーザーを標的にしているという。このマルウェアの配布方法は、ショートメッセージサービス(SMS: Short Message Service)により悪意のあるアプリのダウンロードリンクを送信するというもので、これは新しい亜種でも変わらない。しかしながら、新しい亜種ではユーザーによるインストール後の起動が不要で、自動的に実行されてしまうという。

  • 宅配業者を装った悪意のあるSMSメッセージの例 - 提供:McAfee

    宅配業者を装った悪意のあるSMSメッセージの例  引用:McAfee

現在、この自動実行の手法は他のマルウェアでも悪用が広まっているとされる。McAfeeはこの手法についてGoogleに報告済みであり、Googleは将来のAndroidのバージョンにおいて自動実行を防止する緩和策を提供する予定としている。

  • 左は従来のMoqHao、右は自動実行する新しい亜種の動作 - 提供:McAfee

    左は従来のMoqHao、右は自動実行する新しい亜種の動作  引用:McAfee

発見された新しい亜種には日本語の他に、韓国、フランス、ドイツ、インドのテキストが含まれていることが確認されており、これらの国のAndroidユーザーが標的とみられている。主な機能は電話番号とショートメッセージサービス(SMS)を窃取することにあるとされ、インストール後にデフォルトのSMSアプリとして設定を試みる。

また、コマンド&コントロール(C2: Command and Control)サーバに接続し、追加のコマンドを実行する機能を持つ。追加のコマンドとしては連絡先、デバイス情報、インストールしているアプリ一覧、写真、SIM番号などを窃取する機能や、サイレントモードにて特定の番号に電話をかける機能などがある。

マルウェアへの対策

McAfeeはこの種のマルウェアを一般ユーザーが検出して対策することは困難として、デバイスを保護できる安全なアンチウイルスソフトウェアの導入を推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。