Android/Fakemartで荒稼ぎする方法

先日、私たちのEMEA研究所のあるフランスで、Android/Fakemart という新たなトロイの木馬が発見されたという記事を目にしました。

このマルウェアは、Winamp Pro、あるいはBlack Market(Black MarketはAndroidのGoogle Playストアと同じタイプのもの)を装っていますが、これらのアプリが持つ機能は何も持っていません。その代わり、被害者の費用負担でプレミアム番号にSMSメッセージを送信し、複数のリモートサーバにコンタクトをとります。詳細はこちらをご覧ください。

プレミアム番号にSMSを送ることは、モバイルマルウェアが収益をあげるためによく用いる方法です。モバイルマルウェアのおよそ半分はSMSメッセージを送信します。しかし、おかしなことに、今回のマルウェアはフランスの赤ワインのウェブサイトにコンタクトしているので、どのように収益を上げているのか、もう少し知りたいと思ったのです。

とりあえず、安心してください。フランスの赤ワインは無関係でした。製造元に連絡してみると、彼らはワインのことはよく知っていましたが、コンピュータに関してはそれほど詳しくありませんでした。要するに、彼らのウェブホストがいつの間にか侵害され、それをマルウェア作成者たちが、インターネットへのアップロード機能をテストするために使っているようです。

SMSやボイスコールを使ったゲームを利用・悪用するのが、このマルウェアのビジネスモデルです。「プレイヤー」は所定のSMSをショートナンバーに送信してコードを受け取り、それを使ってクイズに答え、運が良ければ賞金を手にするというわけです。

ゲームの賞金。「Mise」の欄が支払う金額で、「Gains」の欄が賞金の額。
ゲームの賞金。「Mise」の欄が支払う金額で、「Gains」の欄が賞金の額。

得ることができる賞金に対し、支払わなければならない金額をよく見てください。お気づきですか? 賞金よりも多い額を支払わないといけないのです!

受け取れる賞金以上のものを支払わなければならないような愚かなゲームをする人がいるでしょうか?

マルウェア作成者たちです。もちろん、支払うのは被害者であって、作成者たちは賞金を受け取っているだけです。その仕組みを説明しましょう。

Android/Fakemartのビジネスモデル
Android/Fakemartのビジネスモデル - クリックで画像を拡大

このビジネスモデルには、Android/Fakemartに感染した電話を持つ被害者、複数のショートコードかプレミアム番号を扱う企業、あるいは転売業者、オンラインゲーム、そしてマルウェア作成者が関わっています。

彼らの目的は、被害者に知られることなくオンラインゲームをプレイさせ、賞金を盗むことです。ゲームをプレイする過程は以下のようになります。

  1. 所定のショートコードにSMSを送信(あるいはプレミアム番号に電話)
  2. コードを受け取る(プレイヤーを特定するためのもの)
  3. クイズに答え、正解すれば賞金を受け取る

マルウェア作成者たちは自分で支払うことなくプレイがしたいわけですから、このオンラインゲームに口座を登録します(賞金を受け取るため)。そして被害者に81038などのショートコードにSMSを送信させます。被害者は自分がSMSメッセージを送信していることには気づきません。マルウェアであるAndroid/Fakemartがこれを自動的に行います。

このオンラインゲームはこれらのショートコードと連携しているため、誰かがこうしたSMSメッセージを送信すると、オンラインゲーム側に通知が送られます。すると、今度はオンラインゲーム側から被害者にコード付きのSMSが送り返されます。Android/FakemartがこのSMSを傍受し、マルウェア作成者が管理するウェブサイトへ転送します。すると、マルウェア作成者は何も支払うことなく、オンラインゲームをプレイできます。オンラインゲーム上でコードを入力し、クイズに答えるのです。シンプルな3つの質問から成るクイズであるため、ロボットを実装してクイズに答えさせるのは簡単です。正解して賞金を受け取れる確率は3分の1というわけです。

フランスの主なオペレータには通知が出されており、このケースに関する詳しい調査が行われているところです。

このマルウェアのビジネスモデルに関して情報をくださった、Guillaume Lovetに感謝します。

- the Crypto Girl