トレンドマイクロは1月26日、スマートフォンのパスワードを使用不能にしてユーザーが対策できないようにしてからネットバンキングを狙う「エメンタル作戦」をセキュリティブログで解説した。
エメンタル作戦は、不正アプリを利用してSMSのメッセージ(テキストメッセージ)を傍受し、ユーザの取引データを乗っ取るサイバー攻撃。2014年には、ヨーロッパや日本のネットバンキングを狙ったサイバー攻撃が確認されている。2016年になってから再びエメンタル作戦が確認されたという。
攻撃は2段階で、最初に不正アプリをスマートフォンに侵入させたのち、ホーム画面のパスワードをユーザが知らないものに再設定する。ユーザーがホーム画面にアクセスできなくなると、ネットバンキング上で不正な取引を実行する。これは、銀行口座を不正操作している間にユーザーの注意をそらしたり、携帯端末から銀行に連絡するのを防ぐためと考えられている。
不正アプリは、ネットバンキングで使うワンタイムパスワードを生成するように装っている。ワンタイムパスワードには本来の効力がなく、文字列のリストからパスワードをランダムに選択している。
|
偽のワンタイムパスワード生成アプリの画面例 |
ユーザーが気付かないうちに特定のURLもしくは電話番号と通信して、メッセージを送信する。これらのURLや電話番号には、共有設定ファイル「MainPref.xml」が保存される。
|
共有設定ファイル「MainPref.xml」 |
設定ファイル内には「USE_」から始まる以下の変数が定義されており、実行時に利用するURLが登録される。
|
|
環境設定ファイルの解析および設定 |
また、テキストメッセージを介してコマンドを受信して制御コマンドかどうかを確認する。例えば、コマンド「LOCK」は画面をロックするパスワードを初期化し、攻撃者は遠隔からリアルタイムで新しいパスワードを設定できる。こうなると、ユーザがスマートフォンを使用できなくなるなるが、攻撃者は「UNLOCK」のコマンドでロックを解除できる。
|
最新の不正アプリのコマンド一覧 |
コマンドは複数あり、例えば「GOOGL」はメッセージを送信してテキストメッセージを傍受し、「GOOGLE」は電話番号を削除し、テキストメッセージの傍受を中止する。また、「YAHOO」はC&CサーバーのURLを設定し、傍受したテキストメッセージを送信する。
|
|
テキストメッセージのコマンドによる携帯電話のロック、解除、パスワード変更 |
トレンドマイクロは、エメンタル作戦によって攻撃者がモバイル端末を遠隔から制御する可能性があるため、ユーザー側の対策としてファイルのバックアップを残し、セキュリティソフトを導入するように呼び掛けている。
