ビデオ: 激ドã‚ ランファン 手コã‚.wmv (九月 2024)
モバイルセキュリティ会社Lookoutは本日、DefConで、ロシアでのAndroidマルウェア操作の驚くべき規模、範囲、複雑さを明らかにするレポートを発表しました。 報告書では、このロシアのマルウェアの大部分は地下にいる一人の個人からではなく、機械を製造する油分の多いマルウェアであることがわかりました。
SecurityWatchに話すと、上級研究員であり応答エンジニアのRyan Smithは、ロシアからのSMS詐欺マルウェアが会社が検出したマルウェア全体の30%を占めていることに気付いたときにLookoutの関心が高まったと説明しました。 6か月の間に、同社はAndroidマルウェアの生産と配布を中心に成長してきた家内工業を発見しました。
詐欺
Lookoutは、ロシアのSMSマルウェアの約60%を10の組織が担当していることを発見しました。 これらは、実際に悪意のあるアプリを生成する「マルウェアHQ」に集中していました。 これらのアプリは、ダウンロードされると、SMSショートコードを利用して、ワイヤレスキャリア経由で被害者に請求します。 米国では、これらは赤十字のような慈善団体に付随していることがよくあります。
詐欺の仕組みは次のとおりです。マルウェアHQは、ほぼすべてのように見えるように構成できる悪意のあるアプリケーションを作成します。 また、ワイヤレスキャリアでショートコードを登録および管理します。 アフィリエイト、またはMalware HQに代わって作業している人々は、マルウェアをカスタマイズし、Webサイトおよびソーシャルメディアを通じてマルウェアを販売します。
被害者は、アフィリエイトのWebサイトまたはソーシャルメディアのスパムを見つけて、悪意のあるアプリケーションをダウンロードします。 マルウェアが被害者のAndroidデバイスに到達すると、マルウェアは1つ以上のプレミアムSMSメッセージを送信します。通常、被害者の費用は3ドルから20ドルの間です。
Malware HQはショートコードを所有しているため、被害者のキャリアからお金を受け取ります。 彼らはカットを取り、残りをアフィリエイトに与えます。アフィリエイトはパフォーマンスに基づいて通常の従業員のように支払われているようです。 スミス氏は、Lookoutが5か月以上にわたって月に12, 000米ドルを稼いでいるアフィリエイトを観察し、これが有利で安定した「ビジネス」であることを示唆していると言います。
巨大で複雑な
これは非常に単純な詐欺であり、おそらくAndroidマルウェアでお金を稼ぐ最も直接的な方法です。 Lookoutの発見を際立たせているのは、業務の規模と奇妙な企業性です。
たとえば、マルウェアHQは、アフィリエイトがマルウェアをカスタマイズするのを驚くほど簡単にしました。 スミス氏によると、マルウェアHQは、アフィリエイトがマルウェアを簡単にカスタマイズできるようにするためのいくつかのテーマを作成しました。 「SkypeやGoogle Playなどのように見せることで、ユーザーにダウンロードを促し、本物だと信じ込ませることができます」とスミス氏は言います。
スミス氏は、マルウェアHQ組織も「他のアジャイルスタートアップのように」1〜2週間ごとに更新プログラムと新しいコードをプッシュしていると述べました。 これらの更新の多くは、「使用される前に復号化されるプログラムの部分を暗号化する」ことまで、セキュリティ会社を回避するために特別に設計されました。
運営の反対側では、アフィリエイトは仕事に非常に従事していますが、気まぐれでもあります。 スミスによると、アフィリエイトがさまざまなマルウェアHQの動作を比較するフォーラムやWebサイトがあります。 支払いの規則性は大きな懸念事項でしたが、顧客サービス(基本的にはアフィリエイトテクニカルサポート)が重要でした。 アフィリエイトが特定のマルウェアHQに不満を持っている場合、別のマルウェアHQに移行します。
Malware HQも、アフィリエイトを成功させるために邪魔になりません。 スミス氏によると、リングリーダーは、アフィリエイトに高額の賞金(一部は300, 000米ドル)で賞金を与えるという。 また、アフィリエイト向けの広告プラットフォームを作成し、どの地域でどの詐欺のパフォーマンスが向上しているかについてのより良い情報を提供しました。
シルバーライニング
犯罪がこのように大規模に行われ、正常性のすべての落とし穴があるのを見るのは恐ろしいですが、ここでいくつかの良いニュースがあります。 これらの詐欺のほとんどは、ロシアおよび周辺国以外では機能しない特定の短いコードを使用しているため、米国の読者は安心できます。
さらに重要なことに、スミスは、この詐欺の全範囲を解明することにより、より良い保護を提供できると説明しました。 「私たちは今、彼らの分布に結びつけることができます」とスミスは言いました。 会社は、コードだけでなく、頻繁に変更されることも多いようですが、サーバー、IPアドレス、およびその他のマーカーも除外できるようになりました。
これにより、詐欺師が完全に停止することはありません。 結局のところ、彼らがコードを変更するのに十分賢いなら、セキュリティ会社が彼らにいることを知るのに十分賢いのです。 しかし、スミスは、これは長期的には勝利になる可能性があると述べています。「彼らが行う必要のある変更を行うためには、彼らにとって費用がかかります。」
そして、ウォレットを狙うことはマルウェアと戦うための素晴らしい方法であることを知っています。
クリックして画像全体を表示
