ニセ基地局はこれまで主に、粋なスパムSMSメッセージ送信用に使われてましたが、最近フィッシングURLも多く送信されるようになりました。
今回の事例では、フィッシングサイトで個人銀行口座を窃取し、更に被害者にapk をダウンロードさせることで、SMSメッセージをインターセプト(窃取)するマルウェアを仕込ませるということがわかりました。
あるフリーランスのハッカーが、あまりにしつこい SMS スパムにイライラし、フィッシングサイトをハッキングし、更に落ちてきた apk を解析することによって、全貌を明らかにしてます。
※ニセ基地局とは:詐欺集団が車のトランク等に強力な携帯電話電波発射器をセットアップし、人流が多いところに設置し、電波カバー範囲内のユーザに強制送信をすることで、無差別SMSスパムを送信する仕組み。
※サイト SSSフォーラム より転載引用 ----------------- ここから
0x01フィッシングSMS受信
あるハッカーが街の中を歩いていたら、あるsms メッセージを受信:
【内容】あなたのモバイルポイントは182.5元に現金化することができます!直ちに サイト www.10086xx.com にアクセスして手続きを行ってください!
【発信番号】10086 (チャイナモバイルの総合サポート番号。ソフトバンクにおける 157 と同義)
発信者番号は 純正な 10086 なので、チャイナ・モバイルの真正性は問題ないはずですが、www.10086xx.com は明らかに怪しい URL 。この矛盾でニセ基地局が発信したものだと確信。
0x02 フィッシング・サイト探索
ハッカーは改めてPC 上にて、サイトwww.10086xx.com にアクセス。
携帯電話番号を入力し、現金化可能なポイントを表示するページが現れる。
ここで任意(デタラメ)な11桁番号を入力するも、 「182.5 元現金化」可能と表示された。そしてその他業務のリンクは全部本物の 10086.com サイトへと飛ぶように設定されていた。明らかにフィッシングサイトの特徴である。
0x03 フィッシングサイト侵入
まず入力フィールドに、手当たり次第文字列を入力し、送信ボタンを押す。すると、名前フィールドがなにやら制限に引っかかってエラーメッセージが表示された。
JS 要素で day.js における該当事項を確認。
「名前は4桁以上、30桁以内」という制限のみで、使用文字に関する制限は特になかった。
ここでクッキー窃取を行える XSS (セッション・ハイジャック)コードをわざと入力し、送信してみる。あとはフィッシングサイトの管理者がクリックしてくるのを待つ。
クッキーを受信、盗むことに成功。
URLにディレクトリ名 /admin/ を追加したところコントロール・パネルが表示され、そのままセッション・ハイジャックを行う。
コントロール・パネルにて被害者の銀行口座一覧を確認。
0x04 apk 分析
さて詐欺集団は被害者の口座情報のみだけでは満足せず、フィッシングサイトURLにアクセスし、口座情報を送信した被害者に引き続き「apk をダウンロードしてインストールしないと入金手続きは完了しない」と、マルウェアのインストールを催す。
詳細は割愛しますが、ハッカーは apk 分析により、このマルウェアはSMSにて受信した認証情報コード等を窃取し、更にこれら情報を受信する電子メールボックス(詐欺集団)のアドレスをも割り出した。
サイト SSSフォーラム より転載引用 ----------------- ここまで
あとがき
中国では詐欺集団がITを駆使しながら詐欺を深めていきながらも、正義心のあるホワイト・ハッカー達のボランティア活動によって少しづつ打撃を受けてもいます。社会の自浄効果と言ってもいいでしょうか。
これは今週 28日に来日し、CODEBLUEにて講演を行うWOOYUN(乌云,脆弱性ポータル)が広めようとしている、「IT ユーザ一人ひとり、個人レベルでセキュリティ能力・意識を上げなければ、真のセキュリティ向上への道のりは遠い」発想と異曲同工なものを感じました。