Kaspersky LabがマルウェアRoaming Mantisについての続報をブログにて公開

マルウェアRoaming Mantisが27言語に対応し、欧州・中東も攻撃対象へ

Kaspersky Labは、2018年10月12日にマルウェアRoaming Mantisについての続報をブログにて公開しました。Roaming Mantisは、元々Android端末のみが攻撃対象となっていましたが、iosも攻撃対象に加わったことが明らかになりました。現在では27言語に対応し、アジア圏のみならず、欧州・中東にも広がっています。

また、攻撃方法も虚弱性のあるルータのDNS設定を改ざんし、Facebookなどの正規アプリをあたかも本物のように成りすましを行うことで、攻撃アプリを拡散していました。また、その手法が急速に進化を遂げており、仮想通貨マイニングやマルウェア配信エコシステムを利用する手法などを取り入れ、ますます拡大の一途を辿っているようです。

この手法は、日本を対象にしたマルウェアでは、別のAndroidマルウェアである「sagawa.apk」を再度利用した拡散手法が行われています。このマルウェアには二つの種類があり、様々な国を対象にしたものをタイプA、日本を対象にしたものをタイプBと呼びます。

タイプAのマルウェアを通じて電話番号やIP、メール/ID、パスワード、名前、住所、クレジットカード情報、銀行情報といった個人情報が最低でも4,800件盗まれていることが公表され、被害にあったデバイスはアメリカ39%、韓国18%、ロシア17%でした。

タイプBのマルウェアの感染経路として、代表的なものはリンク記載のSMSでした。しかも日本の宅配業者からの通知に見せかけているなど巧妙な手口であるため、普段そういったものに引っかからないという方でも、つい開いてしまうような心理的な罠が仕掛けられています。

この感染経路も、「新しいバージョンがあります。アップグレードしてください」などとメッセージをSMSで出し、ユーザーにマルウェアをインストールさせています。このマルウェアは、日本のプリペイドカードアプリがインストールされているか否かをチェックし、インストールされている場合、マルウェアは別の偽アプリを自動的にインストールさせるのです。

また、Roaming Mantisはprezi.comを通じた拡散も試みていました。prezi.comは、動的なプレゼンテーションを作成できるプレゼンツールを提供するサービスで、prezi.comで作成されたページにアクセスした人に無料コンテンツ（違法コンテンツ）を提供するという名目で利用者を呼び込みます。これは様々なメッセージを用意することで多様な人を詐欺サイトへ誘導することを目的としています。

ただ、prezi.comについては、Roaming Mantis側のミスのせいか、詐欺サイトへの誘導は機能していないようです。

Kaspersky Labは、Androidを利用しているユーザーに公式ストア以外のアプリのインストールを許可するオプションを無効にすることを推奨しています。また、端末の温度が心当たりがないにも関わらず異常な発熱をしているときなどは仮想マイニングが行われている可能性があります。

Android端末リセットの方法

手動でアプリでインストールされている場合は削除することで対応できますが、アプリが非表示になっていたりすると一般人に削除は困難です。

そういったときは一度端末を出荷時の設定にリセットをすることをおすすめします。

１．設定を起動します
２．システムからリセットをタップします。見つからない場合は検索からリセットと入力してください。
３．工場出荷状態に初期化・ネットワーク設定をリセット・設定をリセットのいずれかをします。おすすめは工場出荷状態に初期化です。
４．感染ファイルがある可能性があるため内部ストレージもすべて消去します

消去の際は、大事なデータはバックアップを取っておきましょう。ただ、データ内に感染ファイルがある可能性があるため、動画や画像のみをバックアップした後隔離し、プログラムデータは再インストールをするほうが安全です。