Android/Foncyがフランスで蔓延および増殖中

モバイルマルウェアがフランスから発生し、しかもフランスで増殖するという2つのことが一緒に起こることは、そうはありません。しかし、今回のFoncyと呼ばれるAndroidマルウェアはこのケースのようです。マルウェアを作成することは国家的なプライドを傷つけることになるでしょう。

Foncyは最初Denis Maslennikovによって発見されました。これはダイヤラーであり、すなわち、SMSメッセージをユーザの同意なしにプレミアム番号に送信します。それ自体は他に感染しません。被害者は多分、あたらしいマーケットプレイスから、このマルウェアをダウンロードしインストールするときに感染します。おそらく、ただ試してみたかったアプリケーションが、たまたまマルウェアだったということです。

そのアプリケーションの名前(SuiConFo)は、モバイルプランを追跡するためのフランス語の略語ですが、このアプリケーションは即座に弊社のフランスにあるアンチウイルス研究所に電話をかけてきました。それ以降、Karine de Pontevesと私はこのマルウェアの情報を追跡することができるようになりました。

このマルウェアはTrack Your Planと呼ばれる正規アプリケーションの、過去のバージョンのように見えます。しかし、コードサイニング証明書は決して類似していません。

suiconfo-legitimate
アプリケーションを追跡する正規プランのコンテンツ

suiconfo-infected
アプリケーションを追跡する悪意のあるプランのコンテンツ


フランスでは、マルウェアは本文に「STAR」がついた、4件のSMSを短縮番号81001に送信します。各SMSは4.50ユーロかかります。この短縮番号はSMS+番号で、フランスの会社に貸し出されているもので、顧客やその他の仲介業者に再度貸し出されています。Webを探してみると、請求書に苦情を申し立てているフランスのユーザが何人もいることが分かり、彼らは明らかにマルウェアに感染していたようです

complaint-l1

実際のところ、フランスの短縮番号81001はいくつかの詐欺に巻き込まれているようです。たとえば、以下のエンドユーザは、iPhone 4に当選した知らせ、そしてその本文に「STAR」をつけて81001にSMSを送信するように要求するメールを受信したと報告しています。そのメールはオランジュ(Orange)のFabrice Andreから送信されているようです。実際のところ、オランジュのFabrice Andreは存在していますが、このメールを送信している形跡は全くありません。オランジュのオペレーターはこの詐欺を意識しています。

Voila_Capture17

私たちは、フランスで開催されたフォーラムでの討論にも同意しています。そこでは、あるメンバーが81001を使ってあぶく銭を稼ぐ新しい方法を自慢していました。彼はStarPassのアカウント(StarPassはSMSを介する、極小のペイメントシステムです)を開き、それから81001にSMSを送信するように彼のFacebookの知り合いに要求すると説明していました。

wayne-truc
WeeyWayneは81001でお金を稼ぐ方法を説明しています。

受信した各4.50ユーロのSMSに対して、StarPassは作者に2ユーロ払い戻します。

btuye
各SMS 「A」(クライアントは4.5ユーロかかる)に対して、(フランスでは)2.00ユーロ受け取ります。

さらに、Android/Foncyは81001から入ってくるレスポンスをリッスンし、フランスの携帯電話番号06xxxxxxxxにSMSで応答を転送します。この携帯電話番号はSFR(フランスの携帯電話事業者)に属しており、SFRは通知され続けています。

フランスの携帯電話加入者は、異常なSMSの請求書に特に警戒すべきです。なぜなら、短縮番号81001および電話番号06xxxxxxxxはこのブログを書いている時点においても依然として蔓延しており、Android/Foncyも依然として出回っているからです。エンドユーザはオペレーターに申し立てるかフランスサービス33700に未承諾の迷惑メールを報告すべきです。

これまでの、フランスでの犠牲者の数がどれほどなのか把握していません。今後も情報を提供し続けるつもりです。

- the Crypto Girl