【注意喚起】宅配業者を語るSMSが届いたので、不正なアプリをインストールしてみた【偽URL】

冒頭挨拶

どーも不定期更新のガジェットぺろぺろです。めっきり寒くなってきましたが、いかがお過ごしでしょうか。

ブログのネタはたくさんあるのに更新が滞りがちですみません。TVゲームにハマってしまって更新が滞りがちです。。。

でも、今日は注意喚起も兼ねてブログを更新しました。

ん？荷物が届いた？？

昼から出かけていて、帰宅したのが16時半ごろ。帰ってきて、自宅マンションのロビーで自分宛の郵便物を漁っているとSMSが届いたんです。

下の写真がキャプチャです。電話番号は一部隠しています。

荷物に心当たりがあったのですが、到着予定日とは違う日にSMSが届きました。また、今までSMSで荷物の不在通知は来たことがなかったので、警戒しつつも開いてみると・・・

はい。URLがおかしいので成り済まし確定です。
以下のURLが記載されたSMSを受信したら即削除して下さい。

開くとどうなるのか・・・

アクセスしたらどうなるのか検証してみることにしました。

ここから下の行為は真似しないでください。

検証で使用するのはこちら。Xperia Z3です。数年前に使用していた古いスマホを用意して、初期化をしました。
SIMもSDカードも挿していません。

アクセスしてみると、佐川急便のサイトに酷似したサイトが表示されます。　URLを表示すると同時にAPKファイルがDLされました。

私の古いスマホはAKファイルが自動でDLされましたが、OSのバージョンや設定等によって挙動は異なるようです。なお、本物の佐川急便のサイトでは下のキャプチャのように設定マニュアルなんて表示されていません。

また、佐川急便のアプリはgooglePlayStoreやAppStoreでしか配信されていないので、それ以外ではインストールしないでください。

ブラウザを開いたらこんな感じで怪しげなAPKファイルがDLされます。

偽サイトのマニュアルにしたがって、怪しげなアプリをインストールしてみます。

やばいアプリをインストールしてみた

一応他のNW機器に影響を及ぼさないように、WI-FIを切断してからインストールしました。

インストールしようとすると、以下アクセス権を要求するようです。

ありとあらゆるアクセス権限を要求してきます。恐ろしい・・・

ちなみに上のキャプチャに表示されていたDLマネージャの時間と下のキャプチャの時間に矛盾ががあるのは後からDL画面のキャプチャを撮影したからです。

ざっと、要求されるアクセス権限を以下にまとめてみました。
ありとあらゆるアクセス権与えてしまいますので、絶対にインストールしないで下さい。

• SDカードのデータの読み取り
• 録音
• 機器のステータス、IDの読み取り
• 電話番号発信
• 発信先の変更
• アカウントの検索
• 連絡先の読み取り
• システム警告レベルの表示
• テキストメッセージの受信
• テキストメッセージの送信と表示
• メッセージの読み取り

色々変更されるよ

さらにインストールすると自動的に以下の設定が変更されます。

• 標準のメッセージアプリが偽佐川急便アプリに変更
• 偽佐川アプリがバックグラウンドで動き続ける

で、アプリを開いてみたもののフォアグラウンドでは特に動作はしませんでした。アプリを開いても何も画面等が表示されずに、ホーム画面に戻るだけです。おそらくバックグラウンドで動き続けているものと思います。

あと、気になるのがデバイスのロックを解除する画面の前に、　怪しい画面が開くことです。普通は電源ボタンを押すと下のようにロック解除画面が表示されますが・・・

偽佐川アプリを起動した状態だと、ロック解除の前になぞの黒い画面が表示されます。推測になりますが、ロック解除するパターンや数字を偽佐川アプリに読み取られる可能性がありますね。

ロック解除のために電源ボタンを押すと黒い画面が表示されるようになります。この黒い画面の状態でホームボタンや戻るボタンを押すとロック解除画面が常時されます。

インストールされたアプリの権限・動作を確認

インストールされたアプリの権限を「設定＞アプリ＞佐川アプリ＞許可」で再度確認しました。ありとあらゆる権限がこのアプリに与えられているのが分かると思います。非常に恐ろしいですね。ええ。

データ使用量はなし。試しに隔離されたNWを作ってWI-FIに接続してみましたが、特に通信はしませんでした。何かトリガーがあるのかも知れませんね。もしくはこのスマホの中身が空っぽだったから通信しなかったのかも。パケットキャプチャで検証しようとしましたが、しばらく待っても通信しないので諦めました。

IPAによると

怪しいSMSやメールは絶対に開かないようにしましょう。添付ファイルもNGです。

情報処理通信機構によると、SMSへアクセスすると以下の通り被害を受けるそうですが、それが実証できた形となりました。

不審なSMSのURLへは絶対にアクセスしないでください。

もしインストールしてしまったら

もし不正なアプリをインストールしてしまうと以下のような動作をするそうです。

• 遠隔操作によりスマホを操作されてしまう
• 同様の宅配業者を装ったSMSを自分のスマホが送信する
• スマホに保存されている連絡先等の情報が送信されてしまう

もし、誤ってインストールしてしまった場合は、真っ先に通信をOFFにしてください。機内モードにすれば外部への通信を遮断できますので、遠隔操作や情報の流出を防ぐことができます。

真っ先に機内モードにして、外部と通信できないようにしましょう。

次にアプリをアンインストールします。設定＞アプリ＞アプリ名＞アンインストールで可能です

怪しいアプリは即アンインストールです。

次に端末を初期化します。

設定画面からスマホを初期化しましょう

次に端末に端末に保存されていたアカウントのパスワードを変更します。不正なアプリによってアカウント情報が抜かれた可能性があるためです。googleやキャリア（AU,ドコモ等）、Twitter、フェイスブックetc・・・全てのアカウントのパスワードを変更して下さい。面倒でも実施してください。

次に不正な請求がなされていないか、キャリア決済の請求書や利用明細を確認します（WEB等）。不安であれば、キャリアへ問合せしてください。

1. 端末を機内モードにする
2. アプリをアンインストールする
3. 端末を初期化する
4. 端末に保存されていたアカウントのパスワードを全て変更する
5. 不正な請求がなされていないか確認する（WEBサイト等）
6. 不正な請求があった場合はキャリアへ相談する

以上となります。また、以下の情報通信機構のサイトにも同様のことが詳しく記載されていますので、ご参照ください

https://www.ipa.go.jp/security/anshin/mgdayori20180808.html

最後に

検証するために、スマホへインストールしてみましたが真似しないでください。

ありとあらゆる権限を取得する悪質なアプリです。何をされてもおかしくないです。

暇があればアプリを逆コンパイルして解析をしてみたいと思います。

以上、宅配業者を語るSMSが届いた件についてでした〜